5 SORUDA COVID -19 ve KVKK

5 SORUDA COVID -19 ve KVKK

COVID-19 ile Mücadelede Kişisel Verilerin Korunması Hakkında Dikkat Edilmesi Gereken İncelikli Noktalar Nelerdir?

İşyerinizdeki bir çalışana COVID-19 tanısı kondu, ailesi karantinaya alındı ve tedavisine başlandı. İşveren olarak diğer çalışanlara bu durumu bildirmeli misiniz?

Çalışanların sağlığını korumak ve iş planlamasını mevcut koşullara uyarlamak amacıyla evden çalışma düzenine geçtiniz. Çalışanlar kişisel bilgisayarları ile şirket e-postalarını cevaplıyor ve şirket ağına uzaktan bağlanıyor. Şirketinizin gizli bilgileri ve müşterilerinizin kişisel verileri çalışanların ev bilgisayarından erişilebilir hale geldi. Olası bir veri güvenliği ihlali sebebiyle sorumluluğunuzun doğmaması için hangi önlemleri almalısınız?

İşyerinde çalışanların seyahat geçmişlerini size bildirmelerini isteyebilir, giriş ve çıkışlarda ateşlerini ölçerek genel sağlık kontrolünden geçirebilir misiniz?

Giriş

COVID-19 ile etkin mücadelede başta sağlık verileri olmak üzere pek çoğu özel nitelikli olan kişisel verinin işlenmesi kaçınılmazdır. Şüphesiz “küresel bir salgın ile mücadele” kişisel verilerin işlenmesi için son derece meşru bir sebeptir. Bununla birlikte, sebep ne kadar geçerli olursa olsun; veri işleme faaliyetlerinin amaçla bağlantılı, sınırlı ve ölçülü olması gereği ortadan kalkmamaktadır. Bir başka deyişle, çağın tanıklık ettiği en büyük küresel salgın ile mücadelede dahi kişisel verilerin işlenmesi, saklanması, üçüncü kişi ve kurumlarla paylaşılması birtakım kurallara tabidir.

Bu kurallara uyulmaması halinde veri sorumlusunu idari, hukuki ve cezai sorumluluğu doğabilecektir. Kişisel Verileri Koruma Kurumu (Kurum) tarafından kesilebilecek idari para cezalarının 1.802.636 TL’ye kadar çıkabilmektedir.  İhlaller ayrıca manevi ve maddi tazminat davalarına konu olabilmektedir. Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı olarak işlenmesi ve paylaşılmasına ilişkin suç tipleri düzenlenmiştir. Tüm bunlar dikkate alındığında, salgınla mücadelede kişisel veri güvenliğine ilişkin kuralların önemini yitirmediği görülecektir.

Bu bilgi notunda Kişisel Verileri Koruma Kanunu ve ilgili ikincil düzenlemeleri bağlamında COVID-19 pandemisi ile mücadelede veri sorumlusunun dikkat etmesi gereken incelikli noktaları ele alacağız.

SORU 1 – COVID-19 ile mücadelede ağırlıklı olarak hangi kişisel veriler işlenmektedir?

  • COVID-19 ile mücadelede kişilerin öncelikle sağlık verileri işlenmektedir. Sağlık verisi KVKK kapsamından özel nitelikli kişisel veridir ve işlenmesi özel kurallara tabidir.
  • Kişilerin son 14 gün içerisinde seyahat ettikleri yerler, görüştükleri kişiler ile elbette isim, TC kimlik no, ev ve iş adresleri de işlenen kişisel veriler arasındadır.

SORU 2- COVID-19 ile mücadele esnasında kişisel verilerin işlenmesinde temel kurallar nelerdir?

  • Gizlilik:  Temel kural; COVID-19 hastalarının verilerinin açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü kişiye ifşa edilmemesidir. COVID-19 tanısı almış kişinin adı-soyadı, yaşadığı ve çalıştığı yer, son 14 gün içerisinde görüştüğü kişiler gibi özel hayata ilişkin verileri ancak ve ancak paylaşılmasının zorunlu olduğu hallerde üçüncü kişilere açıklanmalıdır.
  • Veri minimizasyonu:  COVID-19 salgınının yayılmasını önlemek amacıyla kişisel verilerin açıklanmasının gerektiği durumlarda, verilerin yalnızca bu amaçla ilgili olan kısmının paylaşılması; mümkünse kişisel veri sahiplerinin tanımlayıcı özelliklerinin ifşa edilmemesi, özel hayatın gizliliğinin mümkün olduğunca korunması gerekmektedir.
  • Aydınlatma yükümlülüğü: COVID-19 tanısı alan kişinin verilerinin üçüncü kişilerle paylaşılması gereken her durumda öncesinde veri sahibinin bilgilendirilmesi gerekmektedir. Örneğin işveren tarafından çalışanlara işyerinde COVID-19 tanılı bir çalışma arkadaşlarının bulunduğunun açıklanması gerekebilir. Ancak COVID-19 tanısı almış kişi bu konuda önceden aydınlatılmalıdır.

Özetle kural;

1- Mümkün olduğu kadar gizli tut, 2- Gizli tutamayacağın durumlarda mümkün olduğu kadar az veri ifşa et, 3- Her durumda önceden ilgiliyi bilgilendir olmalıdır.

SORU 3 – Çalışanların sağlığını korumak ve iş planlamasını mevcut koşullara uyarlamak amacıyla işyerinde evden çalışma düzenine geçtik. Çalışanlar kişisel bilgisayarları ile şirket e-postalarını cevaplıyor ve şirket ağına uzaktan bağlanıyor. Şirketin işlediği kişisel verilerin çalışanların evdeki bilgisayarlarından erişilebilir hale gelmesi sorun yaratır mı? Olası bir veri güvenliği ihlali sebebiyle sorumluluğumun doğmaması için hangi önlemleri almalıyım?

Kişisel Verileri Koruma Kurumu tarafından yayınlanan 27 Mart 2020 tarihli Kamuoyu Duyurusunda;

  • Kişisel verilerin korunması mevzuatının, evden çalışmanın önünde bir engel olmadığı,
  • Salgın esnasında kişilerin kendi bilgisayarlarını ve diğer iletişim ekipmanlarını kullanarak evden çalışmasının veri güvenliği ihlali sayılmayacağı,
  • Buna karşın işverenin kişisel verilerin güvenliğini sağlamaya yönelik gerekli tüm idari ve teknik tedbirleri alması gerektiği,
  • Veri güvenliği ihlali riskini asgariye indirmek adına sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi gerektiği,
  • Çalışanların kişisel bilgisayarlarında güncel anti-virüs programlarının ve güvenlik duvarının bulunması gerektiği,
  • Çalışanların evde çalışacakları süre esnasında veri güvenliğinden sorumlu oldukları konusunda bilgilendirilmeleri gerektiği,

ifade edilmiştir.

Özetle; evden çalışma uygulamasına geçen işverenlerin çalışanlarını veri güvenliği konusunda yeniden bilgilendirmeleri ve güncel anti-virüs programları ile güvenlik duvarı kullanmaları konusunda uyarmaları KVKK’ya uyum açısından faydalı olacaktır.

SORU 4 – İşyerindeki bir çalışana korona tanısı kondu, ailesi karantinaya alındı ve tedavisine başlandı. Şirket olarak bu durumdan diğer çalışanları haberdar etmeli miyiz?

  • Evet, haberdar etmelisiniz. İşverenin, çalışanlarının sağlığına ve güvenliğine özen gösterme yükümlülüğü vardır. Gerek özen yükümlülüğünü yerine getirmek, gerekse salgının yayılmasını önlemek için işyerinde tespit edilen bir vaka olması halinde, diğer çalışanların bilgilendirilmesi gerekmektedir.
  • Buna karşın Kurum’un 27 Mart 2020 tarihli Kamuoyu Duyurusunda ifade edildiği üzere:
    • Bilgilendirme yaparken COVID-19 tanısı konmuş kişinin olabildiğince az kişisel verisinin ifşa edilmesi (veri minimizasyonu),
    • Genele yapılan bilgilendirmede COVID-19 tanısı almış kişinin açık kimlik bilgilerinin mümkün olduğunca verilmemesi,
    • Ve her şekilde COVID-19 tanısı almış olan kişinin, diğer çalışanlara bilgilendirme yapılacağı konusunda işveren tarafından önceden aydınlatılması

gerekmektedir.

Kurum tarafından paylaşılan örnek duyuru yönlendiricidir:

 “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…

SORU 5 – İşyerinde çalışanların son 14 güne ilişkin seyahat geçmişlerini yöneticilerine bildirmelerini isteyebilir miyim? İşyeri giriş ve çıkışlarında çalışanların ve ziyaretçilerin ateşini ölçebilir miyim?

Seyahat edilen yerler hakkında İşveren’e bildirim yapılmasını önerebilir ve ilgililere ateş ölçümü gibi sağlık kontrolü imkanı tanıyabilirsiniz. Ancak bunu zorunlu tutamazsınız. Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli Kamuoyu Duyurusunda bu konuya ilişkin:

  • İşverenin, çalışanlarının sağlığına ve güvenliğine özen gösterme yükümlülüğünün bulunduğunu,
  • İşverenin işyeri bazında risk değerlendirmesi yapması gerektiğini;
  • Öyle ki, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan çalışanların olması halinde, İşverenin ilgili kişilerden bilgi talep edebileceğini,
  • Ancak bu bilgi talebinin “dikkatlere sunma” şeklinde yapılması gerektiğini

ifade etmiştir.

Özetle; İşveren çalışanlarına özel hayatlarına ilişkin bir bilgiyi paylaşmaları yönünde baskı yapamaz. Çalışanları zorla sağlık muayenesine sokamaz. Ancak nedenlerini ortaya koyarak bu konuda kolaylaştırıcı ve teşvik edici bir tutum sergileyebilir.

By

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir