Loading...

28.05.2020

Covid-19 Salgınının Önlenmesi Kapsamında Alınan Tedbirlerin Kişisel Verilerin Korunması Mevzuatı Çerçevesinde Değerlendirilmesi

COVID-19 Salgınının Önlenmesi Kapsamında Alınan Tedbirlerin Kişisel Verilerin Korunması Mevzuatı Çerçevesinde Değerlendirilmesi

COVID-19 salgınının hızla yayılmasıyla birlikte farklı sektörde faaliyet gösteren pek çok şirket, çalışanlarını ve iş faaliyetlerinin güvenliğini sağlamak amacıyla bazı ek önlemler almaktalar. Bu kapsamda şirketler, salgın öncesinde gerçekleştirmedikleri bazı veri işleme faaliyetlerini devreye almışlardır. Aşağıda bizlere en sık sorulan soruları derledik ve Türk veri koruma kurallarına istinaden analizlerimiz ile uygulamaya yönelik tavsiyelerimizi paylaşıyoruz.

1 - COVID-19: Çalışanların Kişisel Verilerinin İşlenmesi

1.1.   Virüs salgının önlenmesi ve genel sağlığın korunması amacıyla çalışanların ateş ölçümü yapılabilir mi veya virüs semptomlarını gösterip göstermediğine yönelik sorular sorulabilir mi?

Kısa Yanıt: Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla çalışanların ateş ölçümü yapılabilir ve virüs semptomlarını gösterip göstermediği sorulabilir.

Açıklama: Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından ateş ölçümü yapılabilecektir. Teşhis amaçlı ateş ölçümünü sır saklama yükümlülüğü altındaki kişiler (iş yeri hekimi veya bir sağlık personeli) yürütecek ise, çalışanın aydınlatılması yeterli olacaktır. Ancak bu taramayı sır saklama yükümlülüğü altındaki kişiler (iş yeri hekimi veya bir sağlık personeli) yürütmeyecek ise kişinin aydınlatılmasının yanı sıra açık rızasının alınması gerekmektedir.

Sorulacak sorulara ilişkin kayıtlar muhafaza edilecek ise, söz konusu kişisel verilerin işlenmesi esnasında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2018/10 sayılı Kararı’nda düzenlenen güvenlik önlemlerinin alınması gerekmektedir. Bu kişisel verilerin, işlenmesine ilişkin zorunluluğun ortadan kalkması ile birlikte ilk periyodik imha işleminde imha edilmesi uygun olacaktır. İmha edilmeye ilişkin kayıtların ise, en az üç yıl süre ile saklanması gerekmektedir.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanmış olan Kamuoyu Duyurusu’nda da mevzuata uygun davranılması halinde söz konusu verilerin işlenmesinin işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri çerçevesinde mümkün olduğuna yer verilmiştir.

İlgili Mevzuat: Kanun Madde 4, 5/1, 6/3, 7/1, 10; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Madde 7/3.

1.2.   Çalışanlara son 14 gün içinde ziyaret ettiği ülkeler ve bu ülkeleri ziyaret eden kişiler ile temas edip etmediği sorulabilir mi?

Kısa Yanıt: Evet. Genel ilkelere uyulması ve kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla çalışanlara son 14 gün içinde ziyaret ettiği ülkeler ve bu ülkeleri ziyaret eden kişiler ile temas edip etmediği sorulabilir.

Açıklama: Kanun’un 4. maddesi gereğince, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Soruların ise kapalı uçlu olması (Evet/Hayır) ve değerlendirmeye esas teşkil etmeyecek soruların sorulmaması (örneğin kimlerle yurt dışında olduğu hangi şehirde bulunduğu gibi) uygun olacaktır. Kanun’un 10. Maddesi çerçevesinde en geç kişisel verilerin elde edilmesi sırasında, çalışan bu kapsamda aydınlatılmalıdır. Sorulacak sorulara ilişkin kayıtlar muhafaza edilecek ise, söz konusu kişisel verilerin işlenmesine ilişkin zorunluluğun ortadan kalkması ile birlikte ilk periyodik imha işleminde imha edilmesi uygun olacaktır. İmha edilmeye ilişkin kayıtların ise, en az üç yıl süre ile saklanması gerekmektedir.

Kurum tarafından yayımlanmış olan Kamuoyu Duyurusu’nda da mevzuata uygun davranılması halinde söz konusu verilerin işlenmesinin işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri çerçevesinde mümkün olduğuna yer verilmiştir.

İlgili Mevzuat: Kanun Madde 4, Madde 5/2(f), Madde 7/1, Madde 10; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Madde 7/3

1.3.   COVID-19 pozitif olan bir çalışan hakkında diğer çalışanlar bilgilendirilebilir mi?

Kısa Yanıt: Kişisel veri içermeyen genel bir bilgilendirme olması şartıyla, evet. Genel ilkelere uyulması şartıyla ve kişinin kim olduğunun belirtilmemesi yoluyla şirkette COVID-19 testi pozitif olan bir çalışanın olduğu hakkında diğer çalışanlar bilgilendirilebilir.

Açıklama: Kanun’un 4. maddesi gereğince, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu doğrultuda, COVID-19 testi pozitif olan kişinin mahremiyeti ile işverenin çalışanları için sağlıklı ve güvenli bir çalışma ortamı sağlama yükümlülüğü arasında bir denge kurulması gerekmektedir. Konuya ilişkin olarak Kurum tarafından yayımlanmış olan Kamuoyu Duyurusu’nda da belirtildiği üzere, COVID-19 testi pozitif olan çalışanın isminin veya çalışanı belirleyici bilgilerin (örneğin, unvanı, ekibi gibi) diğer çalışanlara bildirilmemesi uygun olacaktır. Kamuoyu Duyurusu’nda da şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilebileceği ancak çalışanın şirket içindeki unvanı ya da ekibi gibi çalışanın kim olduğunun tespitini sağlayacak detayların paylaşılmaması gerektiği ifade edilmiştir. Bu kapsamda, yapılacak bir duyuruda, ilgili kişinin kim olduğunun tespitine yol açabilecek kadar bilgi paylaşılmamasına önem verilmelidir.

İlgili Mevzuat: Kanun Madde 4.

1.4.   Şirket yerleşkelerinde termal kamera kullanılabilir mi?

Kısa Yanıt: Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla şirket yerleşkelerine termal kamera kullanılabilir.

Açıklama: Kanun’un 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından termal kamera ile vücut ısısı ölçümü yapılabilecektir. Bu izlemeyi sır saklama yükümlülüğü altındaki kişiler yürütmeyecek ise, kişi yerleşkeyi ziyaret ediyorsa kişilerin aydınlatılmasının yanı sıra, açık rızasının alınması gerekmektedir. Ancak kişi açık rıza vermeyi tercih etmiyorsa görüşmesini telefon/video görüşme yoluyla yapabileceği belirtilmelidir.

Her halükarda, çalışanlara ve ziyaretçilere şirket yerleşkesini ziyaret etmeden bu bilgilendirme titiz bir şekilde Kanun’un 10. Maddesine uygun olarak yapılmalıdır. Ziyaretçiler için kişiler henüz yerleşkeye gelmeden önce, ziyaret etmesi halinde genel sağlığın korunması ve temini amacıyla termal kamera uygulamasının yürütüleceği bildirilebilecek ve görüşmelerini video konferans/telefon yolu ile de gerçekleştirebileceğine ilişkin yönlendirme yapılabilecektir.

İlgili Mevzuat: Kanun Madde 4, Madde 5/1, Madde 6/3, Madde 10.

1.5.   COVID-19 pozitif olan bir çalışana ilişkin bilgiler kamu kurum ve kuruluşları ile paylaşılabilir mi?

Kısa Yanıt: Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla COVID-19 testi pozitif olan çalışana ilişkin bilgiler yetkili kamu kurum ve kuruluşları ile paylaşılabilir.

Açıklama: Mevzuatımız; işverenlerin, çalışanlarını, alt-çalışanlarını ve onların işverenlerini ve ilgili diğer kurumları, işyerindeki sağlığı olumsuz yönde etkileyen veya olumsuz yönde etkileme potansiyeli olan (ve ciddi ve yakın bir tehlike olarak nitelendirilebilecek) konularda ve bu konulara ilişkin alınan koruyucu ve önleyici tedbirlere dair bilgilendirmede bulunmasını öngörmektedir.

Kanun’un 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından çalışanın COVID-19 testine ilişkin pozitif sonucu yetkili kamu kurum ve kuruluşları ile paylaşılabilecektir. Bu bilgilendirmeyi sır saklama yükümlülüğü altındaki kişiler yürütmeyecek ise, kişilerin aydınlatılmasının yanı sıra, açık rızasının alınması gerekmektedir.

Konuya ilişkin olarak Kurum tarafından yayımlanmış olan Kamuoyu Duyurusu’nda Kanun’a ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabileceği düzenlenmiştir. Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliğinde COVID-19 (yeni corona virüsü hastalığı), bildirimi zorunlu bulaşıcı hastalıklar arasında sayılmıştır.

İlgili Mevzuat: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu; Kanun Madde 4, Madde 5/1, Madde 6/3, Madde 8, Madde 10, Madde 28/1 (ç)1.

2- COVID-19: Ziyaretçi ve Müşterilerin Kişisel Verilerinin İşlenmesi

2.1.   Ticari elektronik ileti onayı bulunmaksızın, COVID-19 nedeniyle çalışma saatlerinin azaltılması veya perakende satışların durdurulması gibi önlemler hakkında müşterilere bilgilendirici iletiler gönderilebilir mi?

Kısa Yanıt: Devamlı sözleşmesel ilişki olan durumlar için, ileti içerisinde ticari tanıtım olmamak kaydıyla evet; diğer hallerde, hayır.

Açıklama: Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca devam eden abonelik, üyelik gibi ilişkilerde gerçekleştirilecek bildirimler için önceden ileti onayı alınması gerekmemektedir. Dolayısıyla devamlı hizmet sunulan ticari ilişkileri (örn. Bireysel bankacılık ilişkisi, telekomünikasyon, elektrik, doğalgaz, su vb. abonelikle sunulan hizmetler, spor salonu üyelikleri) etkileyebilecek çalışma düzenlerinde yaşanan değişikliklerin bildirilmesi için önceden izin alınmasına gerek bulunmayacaktır. Ancak bu bilgilendirme mesajları içerisinde ürün/hizmet tanıtımı yapılmaması gerekmektedir.

Diğer yandan, devam eden bir müşteri ilişkisi bulunmayan perakende, otomotiv, turizm, gıda gibi sektörler açısından yukarıda ifade edilen istisnaya dayanılarak ticari ileti onayı olmaksızın bildirim gönderilmesi mümkün olmayacaktır.

İlgili Mevzuat: Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik Madde 6(2).

2.2.   Genel müdürlük / mağaza / bayi / şube vb. yerlere girişlerde müşterilerin ateşleri ölçülebilir mi?

Kısa Yanıt: Ölçümü yapan kişinin sağlık personeli olması ya da açık rıza alınması kaydıyla, evet.

Açıklama: KVKK uyarınca sağlık verileri kamu sağlığının korunması, koruyucu hekimlik amaçlarıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. İlgili ölçümlerde ifade edilen amaçlar güdüldüğü ve ölçümü yapan kişinin sır saklama yükümlülüğü altındaki sağlık personeli olduğu sürece açık rıza alınmaksızın ölçümler yapılabilecektir.

Ancak bu noktada Kanun kapsamındaki kişisel veri işlenirken gözetilecek genel ilkelerin gözetilmesi gerektiği hatırlanmalıdır. Örn. Kişilerin çalışanlarla doğrudan temasta bulunmadığı yerleşkelerde de ölçüm yapılması verilerin “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edecektir. Veya ilgili ölçümlerin sonuçlarının sağlık risklerinin ortadan kalkmasıyla birlikte yok edilmemesi verilerin “işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi” genel ilkesiyle çelişecektir.

Ölçümlerin sır saklama yükümlülüğü altında bulunan kişiler tarafından gerçekleştirilmemesi durumunda, ilgili kişilerin açık rızalarının alınması gerekebilecektir. İlgili ölçümlerin gerçekleştirilmesi öncesinde her halükarda kişilerin aydınlatıldığından emin olunması gerekmektedir.

İlgili Mevzuat: Kanun Madde 5/1, Madde 6(3).

2.3.   COVID-19 ya da benzeri bir sağlık durumu nedeniyle çalışamayan bir çalışana ulaşmaya çalışan bir üçüncü kişiye ne şekilde bilgilendirme yapılmalıdır?

Kısa Yanıt: İlgili çalışanın sağlık durumu hakkında bilgi paylaşılmadan bir yanıt verilmelidir.

Açıklama: Sağlık durumu nedeniyle işinin başında olamayan bir çalışana ulaşmaya çalışan üçüncü kişilere ilgili çalışanın sağlık durumu hakkında herhangi bir geri bildirim verilmeksizin, ‘çalışanımız uygun değil’, ‘bir süre iş yerinde olmayacak’ şeklinde bilgi verilmesi yeterlidir. Bu durum çalışanın sağlık verilerinin şirket tarafından işlenmesine yönelik olarak açık rıza vermiş olması halinde de geçerlidir zira bilgilerin şirket tarafından işlenmesi ile bu bilgilerin üçüncü taraflarla paylaşılması farklı veri işleme faaliyetleridir.

İlgili Mevzuat: Kanun Madde 6/3.

2.4.   Şirketler (örn. perakende şirketleri, fuar organizatörleri, oteller), yetkili bir kamu kurumundan gelen bilgi talebi üzerine kamu sağlığının korunmasına ilişkin nedenlerle müşterileri, ziyaretçileri ve çalışanları hakkında bilgileri kamu kurumları ile paylaşabilir mi?

Kısa Yanıt: Evet. KVKK kapsamında 5. maddede ifade edilen veri işleme şartlarından birinin bulunduğu hallerde kişisel veriler ilgili kişinin rızası olmaksızın aktarılabilir.

Açıklama: Yetkili kamu kurumlarınca iletilen bilgi ve belge taleplerinin yanıtlandırılması esnasında çoğu durumda “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” kanuni veri işleme şartına dayanılabilecektir.

Bu noktada dikkat edilmesi gereken en temel husus, aktarılan bilgiler içinde sağlık verisi bulunuyorsa bu durumda Kanun’un 6. maddesi gereğince söz konusu veriler kişinin açık rızası alınmadan, kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından aktarılabilecektir. Ancak sır saklama yükümlülüğü altında olmayan kişiler veri aktarımını gerçekleştirecek ise, ilgilinin açık rızası alınması uygun olacaktır.

Kurul tarafından 2018/10 Sayılı Kararda belirlenmiş “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” alınmalıdır.

İlgili Mevzuat: Kanun Madde 6/3, Madde 8/2, Madde 28/1(ç).

3- COVID-19: Evden Çalışma - Değerlendirilmesi Gereken Gizlilik Temelli Konular

3.1.   Salgın sırasında kuruluşların personelinin birçoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kısa Yanıt: İşlenen kişisel verilerin güvenliğini sağlamaya yönelik gerekli tedbirler alınmalıdır. Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir.

Açıklama: Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu özellikle engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir. Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

İlgili Mevzuat: Kanun Madde 12(1).

3.2.   Evden çalışan personeller işleri gereği sistemlerdeki özel nitelikli kişisel verilere erişim sağlarken veya özel nitelikli kişisel verileri aktarırken nelere dikkat etmelidir?

Kısa Yanıt: Özel nitelikli kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerine ve veri güvenliği önlemlerine uygun hareket edilmelidir.

Açıklama: Evden çalışan personellerin şirket sistemlerine erişerek özel nitelikli kişisel veriye erişmeleri sırasında veri sorumlusu işveren şirket tarafından gerekli güvenli önlemlerinin alınmış olması önem arz etmektedir. Bu çerçevede başta Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı’na uygunluğun sağlanması gerekmektedir. Özellikle; “en az iki kademeli kimlik doğrulama sisteminin sağlanması” ve aradaki bağlantının VPN ya da başka bir yöntemle şifreli olarak sağlanması önem arz etmektedir.

İlgili Mevzuat: Kanun Madde 12; Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı.

3.3.   Evden çalışma kapsamında video kamera kullanılması zorunlu tutulabilir mi?

Kısa Yanıt: Veri minimizasyonu ilkesi kapsamında, işin gereği zorunlu olmadıkça kamera kullanımının da zorunlu tutulmaması gerekmektedir.

Açıklama: Çalışanlardan evden çalışma sürelerinin tamamı boyunca video kameranın açık bulundurulmasının talep edilmesi/zorunlu tutulması Kanun uyarınca ancak ilgili ilgili faaliyetin Kanun’un 4. maddesindeki genel ilkelere uygun olması durumunda mümkündür.

Çalışma saatleri boyunca olmamakla beraber spesifik bir toplantı ve benzeri iş görüşmelerinde ise görüntülü konuşmanın zorunlu kılınıp kılınamayacağı, ilgili işin görüntülü konuşmayı gerektirmesi ile yakından ilişkilidir. Genel ilkelere uyulması ve kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla belirli hallerde video kamera ile görüşmelerin gerçekleştirilmesi zorunlu kılınabilecektir. İşin gereği görüntülü konuşmanın zorunlu olmaması halinde ise çalışanın tercihi doğrultusunda ilerlenmesi gerekecektir.

İlgili Mevzuat: Kanun Madde 4.

3.4.   Evden çalışma kapsamında kamera kullanılan hallerde nelere dikkat edilmesi gerekir?

Kısa Yanıt: Kişisel verilerin güvenliğinin sağlanmasına özen gösterilmelidir.

Açıklama: Evden çalışma kapsamında kamera kullanılan hallerde hem çalışanın kendisinin hem de çalışanın evinde bulunan kişilerin (aile üyeleri vb.) gizliliğinin korunması gerekecektir. Bu bağlamda gerçekleştirilen video görüşmelerde çalışanın arka planı bulanıklaştırabilmesi, diğer bir deyişle gizliliği artırıcı teknolojilerin çalışanların kullanımına sunulması örnek verilebilecektir. Ayrıca münhasıran evde kamera kullanımı nedeniyle kişi hakkında elde edilen (ancak iş ortamında elde edilmesi mümkün olmayan; örneğin kişinin aile üyelerine ilişkin) verilerin işlenmemesi gerekmektedir.

Bununla birlikte evden çalışma kapsamında kamera kullanımı amacıyla kullanılan yazılımların bazılarının bulut hizmet sağlayıcılar aracılığıyla hizmet vermesi ve bu yazılımlara ait veri merkezlerinin yurt dışında bulunması söz konusu olabilmektedir. Veri merkezleri yurt dışında olan platformların kullanılması durumunda yurt dışına veri aktarımı söz konusu olacağından, Kanun’un 9. Maddesinde belirtilen şartlara uygun olmayan aktarımların Kanun’un ihlali anlamına gelebileceği unutulmamalıdır.

Bu bağlamda, söz konusu bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kurul tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler)” ile Kurulun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı göz önünde bulundurulmalıdır.

İlgili Mevzuat: Kanun Madde 12; Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler); Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı.

3.5.   Evden çalışma kapsamında gerçekleştirilen video görüşmelerine ait görüntüler kayıt altına alınabilir mi? Kayıt altına alınan video görüntüleri üçüncü tarafların erişimine açık olarak yayınlanabilir mi?

Kısa Yanıt: Veri minimizasyonu ilkesi kapsamında, işin gereği zorunlu olmadıkça video görüntüleri kayıt altına alınmamalı ve üçüncü tarafların erişine açılmamalıdır.

Açıklama: Evden çalışma kapsamında gerçekleştirilen video görüşmelerine ait görüntüler, ancak işin gereği zorunlu olduğu takdirde ve bu görüntülerin kayıt alına alınacağı kişilere açık ve net bir biçimde bildirilmek suretiyle kaydedilebilecektir. Kayıt altına alınması zorunluluk teşkil eden haller mevcut olabilmekle beraber bu görüntülerin kamuya açık mecralarda (örneğin sosyal medya hesaplarında) yayınlanması için video görüntülerde yer alan kişilerin aydınlatılması ve açık rızalarının alınması gerekecektir.

İlgili kişilerin yüzleri belirgin ise (tanınabilecekleri görüntüler söz konusu ise) aynı zamanda Fikir ve Sanat Eserleri Kanunu’na uygun olarak ilgili hakların yayını gerçekleştirecek işverene devredilmesinin gerekebileceği unutulmamalıdır.

İlgili Mevzuat: Kanun Madde 4.

4- Salgın Sürecinde Kişisel Verilerin Korunması Kurumu ile Diğer Kamu Kurum ve Kuruluşları

4.1. COVID-19 salgınına ilişkin kamu kurum ve kuruluşları ile otoritelerce ne tür yönlendirmeler yapıldı?

Kısa Yanıt: COVID-19 salgınına ilişkin olarak Emniyet Genel Müdürlüğü, İçişleri Bakanlığı ve Kültür ve Turizm Bakanlığı tarafından alınması gereken ilave önlemler yayımlanmıştır.

Açıklama: Bu kapsamda Emniyet Genel Müdürlüğü’nün internet sitesinde yayımlanan ve 81 il valiliğine gönderilen yazıda, özel güvenlik görevlilerinin görev yaptıkları alanlara giriş yapacak kişiler üzerinde önceden eğitimi verilmek üzere termal kamera ve gelişmiş ateş ölçerler ile uygulama yapmalarında herhangi bir sakınca görülmediği bildirilmiştir. Yazıda söz konusu bu uygulamanın, ülkemizde Corona virüsü salgını ile ilgili Sağlık Bakanlığı tarafından alınan tedbir ve önlemler devam ettiği süre içerisinde geçerli olacağı ifade edilmiştir.