Duyurular

Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,

Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.

108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin yıl dönümü olan Avrupa Veri Koruma Günü, 28 Ocak 2021 Perşembe Günü Kurumumuz Konferans Salonunda gerçekleştirilecek bir etkinlikle kutlanacaktır. Etkinlik, COVID-19 salgını nedeniyle bu yıl hibrit etkinlik formatına uygun şekilde, hem fiziksel olarak hem de çevrimiçi şekilde gerçekleştirilecektir.

Etkinliğe fiziksel olarak sadece konuşmacılar kabul edilecek olup program, YouTube kanalımızdan canlı olarak yayınlanacaktır.

https://www.youtube.com/channel/UCfaHe7HUKUvX9SFWVPQDa7w

PROGRAM

10:00 Açılış ve Protokol Konuşmaları
İstiklal Marşı ve Saygı Duruşu
Sayın Prof. Dr. Faruk BİLİR – Açılış Konuşması – KVKK Başkanı
Sayın Abdulhamit GÜL – Adalet Bakanı (Teşrifleri halinde)

BİRİNCİ BÖLÜM
VERİ TEMELLİ EKONOMİ
11:00 – 11:25
Prof. Dr. Mehmet GÜNAL – Hacı Bayram Veli Üniversitesi Öğretim Üyesi
Veri Ekonomisinin Dünü, Bugünü ve Geleceği

11:25 – 11:50
Prof. Dr. Mustafa ALKAN – Gazi Üniversitesi Öğretim Üyesi
Veri Miktarının Ekonomik Büyümeye Etkisi

11:50 – 12:15
Doç. Dr. Mesut Serdar ÇEKİN – Türk Alman Üniversitesi Öğretim Üyesi
Kişisel Verilerin Hukuki Niteliği ve Veri Temelli Ekonomi Bağlamında Hukuk Politikalarına Etkisi

12:15 – 13.30 ÖĞLEN ARASI

İKİNCİ BÖLÜM
DİJİTAL ÇAĞDA KİŞİSEL VERİLERİN KORUNMASI
13:30 – 13:55
Prof. Dr. Çetin ELMAS – Gazi Üniversitesi Öğretim Üyesi
Kişisel Veriler ve Yapay Zekâ

13:55 – 14:20
Doç. Dr. Behçet Uğur TÖREYİN – İstanbul Teknik Üniversitesi Öğretim Üyesi
Makine Öğrenmesi Tekniklerinin Kullanımına İlişkin Güncel Bilgiler

14:20 – 14:45
Dr. Öğretim Üyesi Çiçek ERSOY – İstanbul Teknik Üniversitesi Öğretim Üyesi
Dijital Reklam Ve Pazarlama Trendleri Ve Bunların Kişisel Verilerin Korunması Açısından Değerlendirilmesi

14:45 – 15:10
Dr. Öğretim Üyesi Sinan Sami AKKURT – Konya Selçuk Üniversitesi Öğretim Üyesi
Sosyal Ağlardaki Veri İlkelerine Medeni Hukuk Perspektifinden Bir Bakış

15:10 – 15:30 ARA

ÜÇÜNCÜ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI ALANINDA GÜNCEL GELİŞMELER
15:30 – 15:55
Dr. Öğretim Üyesi Elif KÜZECİ – Bahçeşehir Üniversitesi Öğretim Üyesi
Yeni Teknolojiler ve Güncel Gelişmeler

15:55 – 16:20
Demet ARSLANER KEKLİKKIRAN – KVKK Hukuk İşleri Dairesi Başkanı
Yurtdışına Veri Aktarımı

16:20 – 16:45
Seçil KOYUNCU – KVKK Başkanlık Müşaviri
Unutulma Hakkı Kararı, Son Yayımlanan İlke Kararı Ve Kurulun Aydınlatma Yükümlülüğüne İlişkin Duyurusu

Toplantıda yapılan ön değerlendirme sonucunda;
* Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
* Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
* Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
* WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı
hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.

Kurul tarafından süreçle ilgili 08.02.2021’te yeniden bir değerlendirme yapılacağı duyurulmuştur.

Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinde kişisel verilerin işlenme şartları, 6 ncı maddesinde ise biyometrik verilerin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir. Bu noktada, kişisel verilerin Kanunun 5 inci ve/veya 6 ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerekmektedir.
Bununla birlikte uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu gözlemlenmektedir. Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kişisel Verilerin Korunması Kanununun 9 uncu maddesinde belirtilen şartlara uygun olmayan aktarımların Kanunun ihlali anlamına gelebileceği unutulmamalıdır.
Bu bağlamda, uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararı göz önünde bulundurulmalıdır.

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

İlk olarak Çin’in Wuhan kentinde ortaya çıkan ve son dönemde tüm dünyaya yayılan Covid-19 (“Koronavirüs”) salgınına karşı, gerek devletler tarafından gerek ise bireysel olarak birçok tedbir alınmaktadır. Son dönemde ülkemizde de Koronavirüs’ün yol açtığı salgın hastalığa yakalananların sayısının artması sebebiyle işverenler tarafından da farklı tedbirler alınmaya başlanmıştır. Ancak işverenlerin uygulamak istedikleri birçok tedbirin karşısına 7 Nisan 2016 tarihli, 29677 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Korunması Kanunu çıkmaktadır. Bu doğrultuda işverenlerin tedbirleri uygularken, sonradan herhangi bir idari para cezasıyla karşılaşmaması adına KVKK kapsamındaki yasal yükümlülüklerini yerine getirmeye devam etmesi gerekmektedir.

İşverenin KVKK uyarınca aydınlatma yükümlülüğü devam etmektedir.

KVKK’nın 10. Maddesi uyarınca veri sorumluları, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi anında veri sahiplerini aydınlatmakla yükümlüdür.
Aydınlatma yükümlülüğünün kapsamı ise bahse konu hüküm ile belirlenmiş olup veri sorumlusu işveren tarafından gerçekleştirilecek aydınlatmanın,

• Veri sorumlusunun kimliğini,
• Hangi kişisel verilerin hangi amaçla işleneceğini,
• Kişisel verilerin elde edilme yöntemlerini,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini ve veri sahiplerinin haklarını içermesi gerekmektedir.

Bu doğrultuda, işverenler tarafından her ne kadar Koronavirüs’ün yol açtığı salgın hastalığın yayılmasını önlemek adına tedbirler alınsa da, bahse konu tedbirlerin uygulanması esnasında sağlık verilerinin işlenmesinin söz konusu olması halinde işverenlerin çalışanlarını aydınlatma yükümlülüğü devam etmektedir.

Örneğin; işveren tarafından işyerine giriş esnasında çalışanların ateşinin ölçülmesinin istenilmesi, evden çalışıldığı dönemde sağlık durumlarının tespiti adına doğrudan sağlığına ilişkin sorular yöneltilmesi veya çalışanların yakın dönemde yurt dışı temasının bulunup bulunmadığına ilişkin sorular yönetilmesi durumunda, işverenler öncelikle çalışanlarını aydınlatmakla yükümlüdür.
Sağlık verileri KVKK uyarınca özel nitelikli kişisel veri olup bu doğrultuda bahse konu verilerin işlenebilmesi adına işverenin açık rıza alması gerekmektedir.

KVKK’nın 6. maddesi, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde olup bahse konu hüküm uyarınca sağlık verileri özel nitelikli kişisel veri olarak değerlendirilmiştir.
Aynı maddenin ikinci fıkrasında ise özel nitelikli kişisel verilerin ancak ve ancak veri sahiplerinin açık rızasının mevcut olması durumunda işlenebileceği hüküm altına alınmıştır.

Bu doğrultuda işverenler, her ne kadar Koronavirüs’ün sebep olduğu salgın hastalığının yayılmasını önlemek adına tedbirler alsa da, bahse konu tedbirlerin uygulanması esnasında sağlık verilerinin işlenmesinin söz konusu olması halinde çalışanlarının açık rızalarını da almakla yükümlüdür. Başka bir ifade ile, salgın hastalık ile mücadele edilmesi KVKK’da belirtilen yükümlülüklerin askıya alındığı anlamına gelmemektedir.
Dolayısıyla işveren tarafından işyerine giriş esnasında çalışanların ateşinin ölçülmesinin istenilmesi, evden çalışıldığı dönemde sağlık durumlarının tespiti adına doğrudan sağlına ilişkin sorular yöneltilmesi durumunda, işverenler aydınlatma yükümlülüğüne ek olarak çalışanlarının açık rızalarını almakla yükümlüdür. Açık rıza vermeyen çalışanların sağlık verileri ise herhangi bir surette işveren tarafından işlenmemelidir.

KVKK m.6/3 uyarınca sağlık verileri sır saklama yükümlülüğü altında bulunan işyeri hekimleri tarafından açık rıza aranmaksızın işlenebilecektir.
KVKK m.6/3 ile beraber sağlık verilerinin işlenebilmesi adına istisna hükmü getirilmiş olup, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi mevzuatta belirtilen birtakım amaçlar doğrultusunda sağlık verileri, veri sahibinin açık rızası aranmaksızın sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilecektir.

Doktorlar, hemşireler, sağlık personeli sır saklama yükümlülüğü altında bulunan kişilere örnek olarak gösterilebilecektir.
Bu doğrultuda işverenler, Koronavirüs’ün sebep olduğu salgın hastalığının yayılmasını önlemek adına işyerinde alacağı tedbirlerde, sağlık verilerini işyeri hekimleri aracılığıyla işlediği takdirde, çalışanlarını yalnızca aydınlatmakla yükümlüdür.

Örneğin; işveren tarafından işyerine giriş esnasında çalışanların ateşlerinin işyeri hekimleri aracılığıyla ölçülmesi veya işyerine giriş esnasında işyeri hekimleri aracılığıyla Koronavirüs belirtisi gösterip göstermediğine dair sorular yöneltilmesi halinde, işverenin yalnızca aydınlatma yükümlülüğü bulunmaktadır. Sır saklama yükümlülüğü altında olan kişiler tarafından sağlık verilerinin işlenmesinin söz konusu olması sebebiyle herhangi bir açık rıza süreci yürütülmesine gerek bulunmamaktadır.

Ancak önemle belirtmek gerekir ki, işveren tarafından sağlık verilerine herhangi bir şekilde erişilmemesi, çalışanların işlenen kişisel verilerinin yalnızca işyeri hekimlerince hazırlanan sağlık dosyasında tutulması gerekmektedir. Aksi takdirde işverenlerin aydınlatma yükümlülüğüne ek olarak çalışanlarının açık rızalarını alma yükümlülüğü de gündeme gelebilecektir.

SİCİLE KAYIT YÜKÜMLÜLÜĞÜ HAKKINDA KAMUOYU DUYURUSU

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Kişisel verilerin korunması kanunu ve uygulamaları kapsamında mükelleflerin VERBİS’ e kayıt için son tarih olan 30.06.2020 tarihine kadar kayıt yaptırmaması ve yahut yapılan kayıtların hukuka aykırı olması ve yasalarla temellendirilmemiş olması halinde yine mükellefler cezalarla karşılaşacaktır.

Kanunda idari para cezaları şu şekilde gösterilmiştir.

a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 2020 : Alt Sınır: 9.012 TL- Üst Sınır: 180.263 TL
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 2020 : Alt Sınır: 27.037 TL- Üst Sınır: 1.802.640 TL
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 2020 : Alt Sınır: 45.062 TL- Üst Sınır: 1.802.640 TL
d) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 2020 : Alt Sınır: 36.050 TL- Üst Sınır: 1.802.640 TL.
Kurumun kestiği cezalarda “fikri içtima” değil “gerçek içtima” esastır ve böylece kurum aynı somut olaya ilişkin birden fazla ihlal tespit etmesi halinde birden ceza kesebilecek ve verilen cezalar üst sınırları dahi aşabilecektir.

Tüm dünya ülkelerinin ve insanlığın içinde bulunduğu Koronavirüs salgını sürecinde ortak ilgi alanı, pandemiyi sınırlandırmak için gerekli önlemleri almak koronavirus salgını evrimini takip etmek için çeşitli gözetim (surveyans) çözümleri oluşturmaktır. Bunun içinde teknoloji kaynaklarından faydalanmak kaçınılmaz olmuştur. Cep telefonları ve çeşitli mobil uygulamalar aracılığı ile konum verilerine ulaşmak bu dönemde giderek daha önemli hale gelmiştir. Bu şekilde işlenen kişisel verilerin elde edilmesiyle,
• Hastalığı taşıyan kişilerin tespiti,
• Hastalanma riski bulunan kişilerin tespiti,
• Hasta kişilerle temasa geçenlerin tespiti,
• Virüsün yayılma haritasının belirlenmesi,
• Virüsün yayılabileceği risk altındaki alanların tespiti,
• Tedavi ve karantina uygulanması,
• Karantinaya alınanların kontrolü,
• Sokağa çıkma yasağının uygulanması,
• Kalabalık yerlerin tespiti,
• Enfeksiyon zincirlerinin izlenmesi,
• Nüfus hareketlerinin izlenmesi sağlanır.
Bu yöntemle salgının evrimini gerçek zamanlı olarak takip ederek birçok hayatın kurtarılması ve salgının yayılması engellenecektir.
Toplum sağlığının korunması ve kamu güvenliğinin sağlanması için bu tür yöntemler veri koruma hukukuna uygun, temel ilkeler çerçevesinde ve orantılı olması şartıyla yasaldır. Ayrıca yasal eylemler ülkenin virüsle mücadele tedbirlerini de engellememektedir.
Konum verisi kişisel veri niteliği taşıdığı için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda açıkça belirtilmiştir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak Covid-19 salgın durumu söz konusu olduğu için aynı kanunun 28. Maddesi’ndeki istisna kapsamında ilgili kişinin onayını almaksızın, kişisel verilerin kamu sağlığı yetkilileri tarafından toplanması ve işlenmesi uygun görülmüştür.
6698 sayılı Kişisel Verileri Koruma Kanunu’nun ilgili maddesi şu şekilde ifade edilmiştir.
İstisnalar MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

Veri güvenliği de bu aşamada dikkat edilmesi gereken önemli bir konudur. Böyle büyük bir çapta toplanmış hassas konum verilerinin kullanımı, herhangi bir veri sızma riski endişesini de beraberinde getirmekte, verilerin yetkisiz kişilere aktarılmamasını sağlama, uygun güvenlik önlemleri, idari ve teknik tedbirleri alma, gizlilik kuralları hazırlama zorunluluğu kaçınılmazdır.

Covid-19 ile Mücadelede Konum Verisinin İşlenmesi Ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde herkesi etkileyen Covid-19 (Koronavirüs) virüsüne karşı alınan önlemler kapsamında bazı ülkeler teknolojik imkanlardan da yararlanmaya başladı. Koronavirüs yayılımını önlemek ve hastalığın kaynağını bulmak için kullanılan Filyasyon Yöntemi’nde (Hastalığı taşıyan veya taşıma ihtimali olanların temasa geçtikleri kişilerin belirlenmesi), sağlık, iletişim ve konum bilgisi alınan bazı mobil uygulamalarda, virüsün yayılım haritası gibi sitelerde kişisel veriler işlenmektedir.

Pandemi sebebiyle toplum sağlığının korunması için yetkili kurum ve kuruluşların bu tür yöntemleri kullanmalarında bir sakınca olmadığı yasal olarak bildirilmiştir. Bu noktada elbette kişisel verilerin güvenliği gözetilmelidir. Bu güvenliği sağlamak için her türlü teknik ve idari tedbir alınmalı ve veri işlenmesini gerektiren sebep ortadan kalktığı durumda kişisel veriler silinmeli ya da yok edilmelidir.

Konum verisinin, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri olduğu açıktır. Fakat, Covid-19 Pandemisi hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler

COVID-19 virüsü salgınının yayılmasını engelleme döneminde TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi bir çok kişisel verinin yanında özel nitelikli kişisel veriler de (sağlık verileri vb.) işlenmek durumunda kalıyor.

COVID-19 sürecinde işlenen kişisel verilerin hukuka uygun olarak işlenmesi ve alınan önlemlerin hukukun genel ilkelerine uygun olması, temel hak ve özgürlüklere zarar vermemesi önemlidir. Bu kişisel veri işleme faaliyetleri gerekli, amaca uygun, sınırlı ve ölçülü olmalıdır.

Veri Sorumlularının Dikkat Etmesi Gereken Noktalar Nelerdir?

6698 sayılı Kanunda Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
• İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanuna Uygunluk

6698 sayılı Kişisel Verilerin Korunması Kanununun 6’ncı maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilir.

Covid-19 gibi salgın hastalık durumunda ise sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması adına, koruyucu hekimlik, tıbbi teşhis, tedavi vb. gibi durumlar için yetkili kurum ve kuruluşlar tarafından kişinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.

Ayrıca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenmiştir. Kişisel verilerin bunlara uygun olarak işlenmesi gerektiği unutulmamalıdır.

Aydınlatma Yükümlülüğü

Kişisel verileri işleyen veri sorumluları,

• Kişisel verilerin toplanma sebebi,
• Kişisel verilerin saklanma süresi bilgilerini açık bir dil kullanarak ilgili kişilerin kolay erişebileceği bir şekilde sağlamalıdır.

Gizlilik

COVID-19 virüsünün yayılmasını önleme döneminde de kişisel veriler açık ve zorunlu bir gerekçe olmaksızın 3.tarafla paylaşılmamalıdır, gerekli idari ve teknik tedbirler alınmalıdır.

Sosyal medya hesaplarında ve online kanallarda özel kişisel veri kapsamına giren sağlık verileri ve diğer kişisel verilerin hukuka aykırı olarak paylaşılması 5237 sayılı Türk Ceza Kanunu’nun 136. maddesi kapsamında suç teşkil eder. Bu konuda dikkat edilmelidir.

Veri Minimizasyonu

Verilerin işlenmesi noktasında, gerekenden fazla kişisel veri işlenilmemesine dikkat edilmemesine ve amaca uygun sınırlı veri işlenmesi önemlidir.

VERBİS’E kayıt için son tarih 31.12.2019 iken bu süre Kurul tarafından muhtemelen son kez 30.06.2020 tarihine kadar uzatılmıştır. Sürenin sonuna kadar kayıt yapılmaması ve yahut yapılan kayıtların hukuka aykırı olması ve yasalarla temellendirilmemiş olması halinde yine şirketler cezalarla karşılaşacaktır.