Legal Alert on the Public Announcement of Personal Data Protection Authority re. the Processing of Personal Data during the Coronavairus Outbreak

The Personal Data Protection Authority made a public announcement with regards to the Processing of Personal Data within the scope of the fight against COVID-19

In a nutshell:
• It is stated that processing various personal data, including sensitive personal data (e.g. data concerning health), is inevitable, due to the measures being taken against the epidemic.

• The general principles in Personal Data Protection Law no.6698 (“Law no.6698”) are reiterated. It is emphasized that all personal data processing activities within the scope of the fight against the spread of COVID-19 should be carried out by keeping and abiding these principles in mind.

• It is stated that the preventive, protective and informative activities of the public institutions are within the scope of exemptions.

• It is further stated that, since the employers have a legal obligation to protect the health and safety of their employees and to provide a safe workplace, the employers have justified reasons to ask their employees and visitors to provide information as to whether they have recently visited the countries affected by the virus and/or as to whether they have any symptoms of the disease. It is also stated that such request for information should have a strong rationale based on the necessity and proportionality principles and risk assessment.

• It is pointed out that the explicit consent of the employees should be obtained for processing the data relating to health, and that processing personal data relating to health without obtaining the explicit consent of the employees can only be carried out by the occupational physicians, provided that other conditions are met. Therefore, it should be underlined that the companies which do not have to employ an occupational physician, may face difficulties in practice. It is emphasized that in order to process personal data other than the sensitive personal data (e.g. information regarding the countries they have recently visited) without obtaining the explicit consent of the data subject, the personal data processing conditions in Article 5 of the Law no.6698 should be taken into account.

• It is underlined that the employers should inform their personnel about the cases in the workplaces, but the names of individuals who carry the virus should not be disclosed unless it is necessary.

• It is reminded that, within the framework of Article 8 of the Law no.6698 and under the provisions stipulated in other relevant laws on contagious diseases, employers can share the personal data of those carrying the contagious diseases with the health institutions.

• It is emphasized that sharing personal data, especially those health relating data, through social media accounts and similar channels may constitute a crime within the scope of Article 136 of the Turkish Criminal Code No. 5237.

Kişisel Verileri Koruma Kurumu tarafından COVID-19 ile mücadele kapsamında kişisel verilerin işlenmesine yönelik kamuoyu duyurusu yayınladı.
Özetle:
• Salgına karşı alınan önlemler doğrultusunda özel nitelikli kişisel veriler de (örneğin sağlıkla ilgili veriler) dahil olmak üzere pek çok kişisel verinin işlenmesinin kaçınılmaz olduğu belirtilmiştir.

• KVKK’daki temel ilkeler tekrar hatırlatılmış ve COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin bu ilkeler göz önünde bulundurularak gerçekleştirilmesi gerektiği vurgulanmıştır.

• Kamu kurumlarının yürütülen önleyici, koruyucu ve istihbari faaliyetlerinin istisna kapsamına girdiği belirtilmiştir.

• İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunması sebebiyle çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri olduğu, ancak bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerektiği belirtilmiştir.

• Sağlık verilerinin işlenmesi açısından çalışanın açık rızasının alınması gerektiği, diğer şartların karşılandığı durumda sağlık verilerinin açık rıza alınmaksızın ancak iş yeri hekimleri tarafından işlenebileceği belirtilmiştir. Bu durumda iş yeri hekimi çalıştırma zorunluluğu bulunmayan şirketlerin pratikte zorluklar yaşayabileceğinin altı çizilmelidir. Özel nitelikli kişisel veri olmayan verilerin (örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi) açık rıza alınmadan işlenebilmesi açısından ise Kanunun 5 inci maddesindeki kişisel veri işleme şartlarının dikkate alınması gerektiği vurgulanmıştır.

• İşverenlerin işyerlerindeki vakalar hakkında personeli bilgilendirmesi gerektiği, ancak bilgilendirme yapılırken zorunlu olmadıkça virüs taşıyan bireylerin isimlerinin paylaşılmaması gerektiğinin altı çizilmiştir.

• Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel verilerin işveren tarafından sağlık kuruluşları ile paylaşılabileceği hatırlatılmıştır.

• Sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceğinin altı çizilmiştir.
Detaylara aşağıdaki linkten ulaşabilirsiniz:
https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

2020-04-01T16:34:13+00:00