1) UZAKTAN EĞİTİM PLATFORMLARI HAKKINDA KAMUOYU DUYURUSU -07/04/2020-
Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir. Buna ilişkin kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5 inci ve/veya 6 ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerekmektedir.
Bununla birlikte uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu gözlemlenmektedir. Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kanun’un 9 uncu maddesinde belirtilen şartlara uygun olmayan aktarımların Kanunun ihlali anlamına gelebileceği unutulmamalıdır.
Bu bağlamda, uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili gerekli incelemeler gerçekleştirilmelidir.
2) COVID-19 İLE MÜCADELEDE KONUM VERİSİNİN İŞLENMESİ VE KİŞİLERİN HAREKETLİLİKLERİNİN İZLENMESİ HAKKINDA KAMUOYU DUYURUSU -09/04/2020-
Kanun’un 28 inci maddesinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla;
– Salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine,
– Genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun yukarıda bahsi geçen hükmü kapsamında değerlendirilmektedir.
Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.
Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkması sebebiyle buna ilişkin gerekli tedbirlerin alınması gerekmektedir.
3) BAĞLAYICI ŞİRKET KURALLARI HAKKINDA KAMUOYU DUYURUSU -10/04/2020-
Bilindiği üzere Kişisel Verileri Koruma Kurulu (“Kurul”), Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiştir. Bu kapsamda Kurul, taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde de veri sorumlusu tarafından yurt dışına veri aktarımı mümkün olabilmektedir.
Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir. Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, www.kvkk.gov.tr sitesinde yer alan formu doldurup gerekli talimatları izleyerek Kurula, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Kurul, aynı zamanda yayınladığı bir doküman ile taahhütname sürecinde olduğu için bağlayıcı şirket kurallarında bulunması gereken temel hususları da ayrıca belirtmiştir.