Covid-19 ve KVKK ilişkisi salgının ilk şokunu atlattıktan sonra, şirketlerin çözmeye çalıştığı birincil konular arasında yer almaktadır. Tüm dünyada ve şu anda da ülkemizde etkili olan COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini en aza indirmek adına kamu kurum ve kuruluşları başta olmak üzere bazı özel şirketler de önlemlerin alınması adına çalışmalarını devam ettirmektedir. Bu önlemlerin alınması sırasında çoğu kişisel ve özel nitelikli kişisel verilerin de işlenmesi kaçınılmaz bir hal almaktadır.
- Kişinin adı soyadı
- TC kimlik numarası
- iş yeri,
- seyahat bilgileri,
- sağlık bilgileri
vb. olarak sıralanabilir.
COVID-19 ve KVKK: Pandemi Sebebiyle Kişisel Verileri Koruma Kapsamında Alınması Gereken Önlemler Nelerdir ?
Veri sorumluları ve veri işleyenler bu süreçte 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özellikle kanun hükümlerine uygun olarak hareket etmeli, veri güvenliğine yönelik gerekli idari ve teknik tedbirleri almaya devam etmelidir.
COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. KVKK kapsamında işlenmesi gereken sağlık bilgileri kararlarının dayanağı, Sağlık Bakanlığı’ nın talimatlarına uygun olarak işlenmelidir.
COVID-19 virüsü salgını sebebiyle birçok şirket uzaktan / evden çalışma modeline geçmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu evden çalışmanın önünde engel teşkil etmemektedir. Ancak KVKK kapsamında kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Bu konu özellikle KVKK’ya dair AB Mevzuatı olan GDPR ve Kişisel Verilerin Korunması Kanunu makalemizde AB Boyutuyla da irdelenmektedir.
Bununla birlikte uzaktan çalışma modelinin devam etmesi ve yaygınlaşması sonucu şirketlerin karşı karşıya olduğu siber riskler artabilir. Gelecek dönemde, siber güvenliğin sağlanması, ağların ve verilerin korunması şirketlerin ana gündeminde olan başlıklardan biri olacaktır. Uzaktan çalışma risklerinin minimize edilmesi adına anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması, veri aktarımının güvenli şekilde yapılmasında her türlü tedbir çalışanlar ve veri sorumluları tarafından alınmalıdır. Konunun uluslararası boyutunu incelemek isteyenler ise Kişisel Verilerin Korunması Uluslararası ve Türkiye Boyutu makalemize göz gezdirebilirler.
Çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.
Tüm bunlara ek olarak, çalışanların da uzaktan çalışma modelinde dikkatli olmaları gereken hususlar bulunmaktadır. Örneğin, çalışanlar video konferans görüşmelerinin fotoğraflarını sosyal medya üzerinden paylaşıp, biyometrik veriler gibi hassas verileri bile veri sahibinin onayı / rızası olmadan ister istemez açığa çıkarabilmektedir. Ya da şirket ağ bağlantısı yerine başka bağlantılardan internete bağlanıp, veri güvenliklerini riske atabilmektedirler. Veri sorumlusunun, tüm ilgili kişilere içinde bulunduğumuz bu süreçte dikkat edilmesi gereken noktaları hakkında eğitimler vermesi ve önlemleri alması gerekmektedir.
Kişisel Verileri Koruma Kurulu tarafından, 31 Aralık 2019 olarak verilen son kayıt süresi, farklı veri sorumluları için farklı tarihler verilerek 2020 Haziran ayına kadar uzatılmıştı. Haziran tarihine kadar özel şirketlerin VERBİS’e kayıt işlemini tamamlaması ve bu süreçte gerekli olan önlemlere devam edilmesi beklenmektedir.
Kadir Ayaz
Takım Lideri | Turquality & Management Consulting
Özge Ata
Consultant | Turquality & Yönetim Danışmanlığı