COVID-19 salgınının hızla yayılmasıyla birlikte farklı sektörde faaliyet gösteren pek çok şirket, çalışanlarını ve iş faaliyetlerinin güvenliğini sağlamak amacıyla bazı ek önlemler almaktalar. Bu kapsamda şirketler, salgın öncesinde gerçekleştirmedikleri bazı veri işleme faaliyetlerini devreye almışlardır. Aşağıda bizlere en sık sorulan soruları derledik ve Türk veri koruma kurallarına istinaden analizlerimiz ile uygulamaya yönelik tavsiyelerimizi paylaşıyoruz.

Soru Değerlendirme İlgili Hükümler

1. COVID 19: Çalışanların Kişisel Verilerinin İşlenmesi

1.1. Virüs salgının önlenmesi ve genel sağlığın korunması amacıyla çalışanların ateş ölçümü yapılabilir mi veya virüs semptomlarını gösterip göstermediğine yönelik sorular sorulabilir mi?

Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla çalışanların ateş ölçümü yapılabilir ve virüs semptomlarını gösterip göstermediği sorulabilir.

Kişisel Verilerin Korunması Kanunu'nun ("KVKK" veya "Kanun") 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından ateş ölçümü yapılabilecektir. Teşhis amaçlı ateş ölçümünü sır saklama yükümlülüğü altındaki kişiler (iş yeri hekimi veya bir sağlık personeli) yürütecek ise, çalışanın aydınlatılması yeterli olacaktır. Ancak bu taramayı sır saklama yükümlülüğü altındaki kişiler (iş yeri hekimi veya bir sağlık personeli)yürütmeyecek ise kişinin aydınlatılmasının yanı sıra açık rızasının alınması gerekmektedir.

Sorulacak sorulara ilişkin kayıtlar muhafaza edilecek ise, söz konusu kişisel verilerin işlenmesi esnasında Kişisel Verileri Koruma Kurulu'nun ("Kurul") 2018/10 sayılı Kararı'nda düzenlenen güvenlik önlemlerinin alınması gerekmektedir. Bu kişisel verilerin, işlenmesine ilişkin zorunluluğun ortadan kalkması ile birlikte ilk periyodik imha işleminde imha edilmesi uygun olacaktır. İmha edilmeye ilişkin kayıtların ise, en az üç yıl süre ile saklanması gerekmektedir.

Kişisel Verileri Koruma Kurumu ("Kurum") tarafından yayımlanmış olan Kamuoyu Duyurusu'nda da mevzuata uygun davranılması halinde söz konusu verilerin işlenmesinin işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri çerçevesinde mümkün olduğuna yer verilmiştir.

Kişisel Verilerin Korunması Kanunu, Madde 4, Madde 5/1, Madde 6/3, Madde 7/1, Madde 10

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Madde 7/3

1.2. Çalışanlara son 14 gün içinde ziyaret ettiği ülkeler ve bu ülkeleri ziyaret eden kişiler ile temas edip etmediği sorulabilir mi?

Evet. Genel ilkelere uyulması ve kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla çalışanlara son 14 gün içinde ziyaret ettiği ülkeler ve bu ülkeleri ziyaret eden kişiler ile temas edip etmediği sorulabilir.

Kanun'un 4. maddesi gereğince, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Soruların ise kapalı uçlu olması (Evet/Hayır) ve değerlendirmeye esas teşkil etmeyecek soruların sorulmaması (örneğin kimlerle yurtdışında olduğu hangi şehirde bulunduğu gibi) uygun olacaktır. Kanun'un 10. Maddesi çerçevesinde en geç kişisel verilerin elde edilmesi sırasında, çalışan bu kapsamda aydınlatılmalıdır.

Sorulacak sorulara ilişkin kayıtlar muhafaza edilecek ise, söz konusu kişisel verilerin işlenmesine ilişkin zorunluluğun ortadan kalkması ile birlikte ilk periyodik imha işleminde imha edilmesi uygun olacaktır. İmha edilmeye ilişkin kayıtların ise, en az üç yıl süre ile saklanması gerekmektedir.

Kişisel Verileri Koruma Kurumu tarafından yayımlanmış olan Kamuoyu Duyurusu'nda da mevzuata uygun davranılması halinde söz konusu verilerin işlenmesinin işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri çerçevesinde mümkün olduğuna yer verilmiştir.

Kişisel Verilerin Korunması Kanunu, Madde 4, Madde 5/2(f), Madde 7/1, Madde 10

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Madde 7/3

1.3. Covid-19 pozitif olan bir çalışan hakkında diğer çalışanlar bilgilendirilebilir mi?

Kişisel veri içermeyen genel bir bilgilendirme olması şartıyla, evet. Genel ilkelere uyulması şartıyla ve kişinin kim olduğunun belirtilmemesi yoluyla şirkette Covid-19 testi pozitif olan bir çalışanın olduğu hakkında diğer çalışanlar bilgilendirilebilir.

Kanun'un 4. maddesi gereğince, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu doğrultuda, Covid-19 testi pozitif olan kişinin mahremiyeti ile işverenin çalışanları için sağlıklı ve güvenli bir çalışma ortamı sağlama yükümlülüğü arasında bir denge kurulması gerekmektedir.

Konuya ilişkin olarak Kişisel Verileri Koruma Kurumu tarafından yayımlanmış olan Kamuoyu Duyurusu'nda da belirtildiği üzere, Covid-19 testi pozitif olan çalışanın isminin veya çalışanı belirleyici bilgilerin (örneğin, unvanı, ekibi gibi) diğer çalışanlara bildirilmemesi uygun olacaktır. Kamuoyu Duyurusu'nda da şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilebileceği ancak çalışanın şirket içindeki unvanı ya da ekibi gibi çalışanın kim olduğunun tespitini sağlayacak detayların paylaşılmaması gerektiği ifade edilmiştir. Bu kapsamda, yapılacak bir duyuruda, ilgili kişinin kim olduğunun tespitine yol açabilecek kadar bilgi paylaşılmamasına önem verilmelidir.

Kişisel Verilerin Korunması Kanunu, Madde 4

1.4. Şirket yerleşkelerinde termal kamera kullanılabilir mi?

Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla şirket yerleşkelerine termal kamera kullanılabilir.

Her halükarda, çalışanlara ve ziyaretçilere şirket yerleşkesini ziyaret etmeden bu bilgilendirme titiz bir şekilde Kanun'un 10. Maddesine uygun olarak yapılmalıdır. Ziyaretçiler için kişiler henüz yerleşkeye gelmeden önce ziyaret etmesi halinde genel sağlığın korunması ve temini amacıyla termal kamera uygulamasının yürütüleceği bildirilebilecek ve görüşmelerini video konferans/telefon yolu ile de gerçekleştirebileceğine ilişkin yönlendirme yapılabilecektir.

Kanun'un 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından termal kamera ile vücut ısısı ölçümü yapılabilecektir. Bu izlemeyi sır saklama yükümlülüğü altındaki kişiler yürütmeyecek ise, kişi yerleşkeyi ziyaret ediyorsa kişilerin aydınlatılmasının yanı sıra, açık rızasının alınması gerekmektedir. Ancak kişi açık rıza vermeyi tercih etmiyorsa görüşmesini telefon/video görüşme yoluyla yapabileceği belirtilmelidir.

Kişisel Verilerin Korunması Kanunu, Madde 4, Madde 5/1, Madde 6/3, Madde 10

1.5. Covid-19 pozitif olan bir çalışana ilişkin bilgiler kamu kurum ve kuruluşları ile paylaşılabilir mi?

Evet. Genel ilkelere uyulması ve sağlık verilerinin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla Covid-19 testi pozitif olan çalışana ilişkin bilgiler yetkili kamu kurum ve kuruluşları ile paylaşılabilir.

Mevzuatımız; işverenlerin, çalışanlarını, alt-çalışanlarını ve onların işverenlerini ve ilgili diğer kurumları, işyerindeki sağlığı olumsuz yönde etkileyen veya olumsuz yönde etkileme potansiyeli olan (ve ciddi ve yakın bir tehlike olarak nitelendirilebilecek) konularda ve bu konulara ilişkin alınan koruyucu ve önleyici tedbirlere dair bilgilendirmede bulunmasını öngörmektedir.

Kanun'un 6. maddesi gereğince, sağlık verileri kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu doğrultuda kişinin aydınlatılması şartıyla sır saklama yükümlülüğü altındaki kişiler tarafından çalışanın Covid-19 testine ilişkin pozitif sonucu yetkili kamu kurum ve kuruluşları ile paylaşılabilecektir. Bu bilgilendirmeyi sır saklama yükümlülüğü altındaki kişiler yürütmeyecek ise, kişilerin aydınlatılmasının yanı sıra, açık rızasının alınması gerekmektedir.

Konuya ilişkin olarak Kişisel Verileri Koruma Kurumu tarafından yayımlanmış olan Kamuoyu Duyurusu'nda Kanun'a ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabileceği düzenlenmiştir

6331 sayılı İş Sağlığı ve Güvenliği Kanunu

Kişisel Verilerin Korunması Kanunu, Madde 4, Madde 5/1, Madde 6/3, Madde 8, Madde 10, Madde 28/1 (ç)

2. COVID 19: Ziyaretçi ve Müşterilerin Kişisel Verilerinin İşlenmesi

2.1. Ticari e-ileti onayı bulunmaksızın, COVID-19 nedeniyle çalışma saatlerinin azaltılması veya perakende satışların durdurulması gibi önlemler hakkında müşterilere bilgilendirici iletiler gönderilebilir mi?

Devamlı sözleşmesel ilişki olan durumlar için, ileti içerisinde ticari tanıtım olmamak kaydıyla evet; diğer hallerde, hayır.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca devam eden abonelik, üyelik gibi ilişkilerde gerçekleştirilecek bildirimler için önceden ileti onayı alınması gerekmemektedir. Dolayısıyla devamlı hizmet sunulan ticari ilişkileri (örn. Bireysel bankacılık ilişkisi, telekomünikasyon, elektrik, doğalgaz, su vb. abonelikle sunulan hizmetler, spor salonu üyelikleri) etkileyebilecek çalışma düzenlerinde yaşanan değişikliklerin bildirilmesi için önceden izin alınmasına gerek bulunmayacaktır. Ancak bu bilgilendirme mesajları içerisinde ürün/hizmet tanıtımı yapılmaması gerekmektedir.

Diğer yandan, devam eden bir müşteri ilişkisi bulunmayan perakende, otomotiv, turizm, gıda gibi sektörler açısından yukarıda ifade edilen istisnaya dayanılarak ticari ileti onayı olmaksızın bildirim gönderilmesi mümkün olmayacaktır.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, Madde 6(2)

2.2. Genel müdürlük / Mağaza/bayi/şube vb. yerlere girişlerde müşterilerin ateşleri ölçülebilir mi?

Ölçümü yapan kişinin sağlık personeli olması ya da açık rıza alınması kaydıyla, evet.

KVKK uyarınca sağlık verileri kamu sağlığının korunması, koruyucu hekimlik amaçlarıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. İlgili ölçümlerde ifade edilen amaçlar güdüldüğü ve ölçümü yapan kişinin sır saklama yükümlülüğü altındaki sağlık personeli olduğu sürece açık rıza alınmaksızın ölçümler yapılabilecektir.

Ancak bu noktada Kanun kapsamındaki kişisel veri işlenirken gözetilecek genel ilkelerin gözetilmesi gerektiği hatırlanmalıdır. Örn. Kişilerin çalışanlarla doğrudan temasta bulunmadığı yerleşkelerde de ölçüm yapılması verilerin "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırılık teşkil edecektir. Veya ilgili ölçümlerin sonuçlarının sağlık risklerinin ortadan kalkmasıyla birlikte yok edilmemesi verilerin "işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi" genel ilkesiyle çelişecektir.

Ölçümlerin sır saklama yükümlülüğü altında bulunan kişiler tarafından gerçekleştirilmemesi durumunda, ilgili kişilerin açık rızalarının alınması gerekebilecektir.

İlgili ölçümlerin gerçekleştirilmesi öncesinde her halükarda kişilerin aydınlatıldığından emin olunması gerekmektedir.

Kişisel Verilerin Korunması Kanunu, Madde 5/1, Madde 6(3)

2.3. COVID-19 ya da benzeri bir sağlık durumu nedeniyle çalışamayan bir çalışana ulaşmaya çalışan bir üçüncü kişiye ne şekilde bilgilendirme yapılmalıdır.

İlgili çalışanın sağlık durumu hakkında bilgi paylaşılmadan bir yanıt verilmelidir.

Sağlık durumu nedeniyle işinin başında olamayan bir çalışana ulaşmaya çalışan üçüncü kişilere ilgili çalışanın sağlık durumu hakkında herhangi bir geri bildirim verilmeksizin, 'çalışanımız uygun değil', 'bir süre iş yerinde olmayacak' şeklinde bilgi verilmesi yeterlidir.

Bu durum çalışanın sağlık verilerinin şirket tarafından işlenmesine yönelik olarak açık rıza vermiş olması halinde de geçerlidir zira bilgilerin şirket tarafından işlenmesi ile bu bilgilerin üçüncü taraflarla paylaşılması farklı veri işleme faaliyetleridir.

Kişisel Verilerin Korunması Kanunu, Madde 6/3

2.4. Şirketler (örn. Perakende şirketleri, fuar organizatörleri, oteller), yetkili bir kamu kurumundan gelen bilgi talebi üzerine kamu sağlığının korunmasına ilişkin nedenlerle müşterileri, ziyaretçileri ve çalışanları hakkında bilgileri kamu kurumları ile paylaşabilir mi?

Evet.

KVKK kapsamında 5. maddede ifade edilen veri işleme şartlarından birinin bulunduğu hallerde kişisel veriler ilgili kişinin rızası olmaksızın aktarılabilir. Yetkili kamu kurumlarınca iletilen bilgi ve belge taleplerinin yanıtlandırılması esnasında çoğu durumda "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması" kanuni veri işleme şartına dayanılabilecektir.

Bu noktada dikkat edilmesi gereken en temel husus, aktarılan bilgiler içinde sağlık verisi bulunuyorsa bu durumda Kanun'un 6. maddesi gereğince söz konusu veriler kişinin açık rızası alınmadan, kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örneğin iş yeri hekimi veya bir sağlık personeli) tarafından aktarılabilecektir. Ancak sır saklama yükümlülüğü altında olmayan kişiler veri aktarımını gerçekleştirecek ise, ilgilinin açık rızası alınması uygun olacaktır. Kurul tarafından 2018/10 Sayılı Kararda belirlenmiş "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" alınmalıdır.

Kişisel Verilerin Korunması Kanunu, Madde 6/3, Madde 8/2, Madde 28/1(ç)

3. COVID 19: Evden Çalışma – Değerlendirilmesi Gereken Gizlilik Temelli Konular

3.1. Salgın sırasında kuruluşların personelinin birçoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

İşlenen kişisel verilerin güvenliğini sağlamaya yönelik gerekli tedbirler alınmalıdır.

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu özellikle engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.

Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Kişisel Verilerin Korunması Kanunu, Madde 12(1)

3.2. Evden çalışan personeller işleri gereği sistemlerdeki özel nitelikli kişisel verilere erişim sağlarken veya özel nitelikli kişisel verileri aktarırken nelere dikkat etmelidir?

Özel nitelikli kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerine ve veri güvenliği önlemlerine uygun hareket edilmelidir.

Evden çalışan personellerin şirket sistemlerine erişerek özel nitelikli kişisel veriye erişmeleri sırasında veri sorumlusu işveren şirket tarafından gerekli güvenli önlemlerinin alınmış olması önem arz etmektedir. Bu çerçevede başta Kişisel Verileri Koruma Kurulu'nun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı'na uygunluğun sağlanması gerekmektedir. Özellikle; "en az iki kademeli kimlik doğrulama sisteminin sağlanması" ve aradaki bağlantının VPN ya da başka bir yöntemle şifreli olarak sağlanması önem arz etmektedir.

Kişisel Verilerin Korunması Kanunu, Madde 12

Kişisel Verileri Koruma Kurulu'nun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı

3.3. Evden çalışma kapsamında video kamera kullanılması zorunlu tutulabilir mi?

Veri minimizasyonu ilkesi kapsamında, işin gereği zorunlu olmadıkça kamera kullanımının da zorunlu tutulmaması gerekmektedir.

Çalışanlardan evden çalışma sürelerinin tamamı boyunca video kameranın açık bulundurulmasının talep edilmesi/zorunlu tutulması Kanun uyarınca ancak ilgili ilgili faaliyetin Kanun'un 4. maddesindeki genel ilkelere uygun olması durumunda mümkündür.

Çalışma saatleri boyunca olmamakla beraber spesifik bir toplantı ve benzeri iş görüşmelerinde ise görüntülü konuşmanın zorunlu kılınıp kılınamayacağı, ilgili işin görüntülü konuşmayı gerektirmesi ile yakından ilişkilidir. Genel ilkelere uyulması ve kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebeplerinin sağlanması şartıyla belirli hallerde video kamera ile görüşmelerin gerçekleştirilmesi zorunlu kılınabilecektir. İşin gereği görüntülü konuşmanın zorunlu olmaması halinde ise çalışanın tercihi doğrultusunda ilerlenmesi gerekecektir.

Kişisel Verilerin Korunması Kanunu Madde 4

3.4. Evden çalışma kapsamında kamera kullanılan hallerde nelere dikkat edilmesi gerekir?

Kişisel verilerin güvenliğinin sağlanmasına önem gösterilmelidir.

Evden çalışma kapsamında kamera kullanılan hallerde hem çalışanın kendisinin hem de çalışanın evinde bulunan kişilerin (aile üyeleri vb.) gizliliğinin korunması gerekecektir. Bu bağlamda gerçekleştirilen video görüşmelerde çalışanın arka planı bulanıklaştırabilmesi, diğer bir deyişle gizliliği artırıcı teknolojilerin çalışanların kullanımına sunulması örnek verilebilecektir. Ayrıca münhasıran evde kamera kullanımı nedeniyle kişi hakkında elde edilen (ancak iş ortamında elde edilmesi mümkün olmayan; örneğin kişinin aile üyelerine ilişkin) verilerin işlenmemesi gerekmektedir.

Kişisel Verilerin Korunması Kanunu Madde 12

3.5. Evden çalışma kapsamında gerçekleştirilen video görüşmelerine ait görüntüler kayıt altına alınabilir mi? Kayıt altına alınan video görüntüleri üçüncü tarafların erişimine açık olarak yayınlanabilir mi?

Veri minimizasyonu ilkesi kapsamında, işin gereği zorunlu olmadıkça video görüntüleri kayıt altına alınmamalı ve üçüncü tarafların erişine açılmamalıdır.

Evden çalışma kapsamında gerçekleştirilen video görüşmelerine ait görüntüler, ancak işin gereği zorunlu olduğu takdirde ve bu görüntülerin kayıt alına alınacağı kişilere açık ve net bir biçimde bildirilmek suretiyle kaydedilebilecektir. Kayıt altına alınması zorunluluk teşkil eden haller mevcut olabilmekle beraber bu görüntülerin kamuya açık mecralarda (örneğin sosyal medya hesaplarında) yayınlanması için video görüntülerde yer alan kişilerin aydınlatılması ve açık rızalarının alınması gerekecektir. İlgili kişilerin yüzleri belirgin ise (tanınabilecekleri görüntüler söz konusu ise) aynı zamanda Fikir ve Sanat Eserleri Kanunu'na uygun olarak ilgili hakların yayını gerçekleştirecek işverene devredilmesinin gerekebileceği unutulmamalıdır.

Kişisel Verilerin Korunması Kanunu Madde 4

4. COVID 19: Salgın Sürecinde Kurum ile İlişkiler

4.1. Kanun kapsamında belirlenmiş olan süreler, COVID-19 salgını esnasında da geçerli midir?

Evet, ancak Kurul mevcuttaki olağanüstü koşulları gözeteceğini açıklamıştır.

Kişisel verilerin korunması mevzuatı kapsamında veri sahibi başvurularının veri sorumlusu tarafından sonuçlandırılması için 30 gün, veri ihlal bildirimlerinin yapılması için öngörülen 72 saat gibi bazı süreler öngörülmüştür. Ayrıca öngörülen bu sürelerin özel durumlarda uzatılması için herhangi bir istisnai hal, mevzuatta düzenlenmemiştir. Dolayısıyla bu sürelerin mutlak olduğu söylenebilir.

Ancak Kurum tarafından yayımlanmış olan Kamuoyu Duyurusu'nda Kurul'un her bir başvuru ya da veri ihlal bildirimi özelinde veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından içinde bulunulan olağanüstü koşulların gözeteceği ifade edilmiştir. Kurul bahsedilen bu süreleri dikkate almayacağını ya da bu süreleri uzattığını açıklamamakla birlikte, uygulamada alınacak kararlar açısından daha esnek davranma ihtimali olduğunun sinyalini vermiştir.

Kişisel Verilerin Korunması Kanunu, Madde 13(2)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.