Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 9.maddesinde kişisel verilerin yurt dışına aktarımı esasları düzenlenmiştir. Bu düzenlemeye göre, güvenli ülkeler arasında sayılmayan ülkelere yapılacak aktarımlarda, aktarımın yapılacağı kişi ve aktarımı yapacak kişi arasında imzalanan bir taahhütname ile Kuruldan izin alınması gerekmektedir. Ancak güvenli ülkeler Kurum tarafından henüz açıklanmamıştır ve Kurum’un yayınladığı "Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler"den de gördüğümüz üzere güvenli ülkelerin belirlenmesinin zaman alması muhtemeldir. Güvenli ülkelerin henüz açıklanmamış olması sebebiyle kişiler Kuruldan izin alma yoluna gitse de bu süreçte de birtakım zorluklar mevcuttur. Bu zorlukları da göz önünde bulundurarak Kurum, Bağlayıcı Şirket Kuralları müessesini açıklamış ve çok uluslu şirket toplulukları için veri aktarımını kolaylaştıracak yöntemi duyurmuştur. Duyurulan bu yöntemde de Kuruldan izin alma süreci yürütülecektir. Ancak belirtmek gerekir ki, Kurum tarafından farklı bir alternatif gösterilmiş olsa da güvenli ülkelerin henüz açıklanmamış olması sebebiyle yurt dışına aktarımdaki soru işaretleri hala giderilmemiştir. Ayrıca aşağıda da açıklayacağımız üzere Bağlayıcı Şirket Kuralları başvurusunun Kurum tarafından 1 yılda sonuçlandırılacağının ve bu sürenin 6 aylık sürelerle uzatılabileceğinin açıklanması bu sürecin de kısa sürmeyeceğini göstermektedir.

T.C. Cumhurbaşkanlığı tarafından karantina altındaki kişilerin ve bölgelerin hareketlerinin gözlemlenmesini amaçlayan "Pandemi İzolasyon Takip Projesi" duyurulmuş; duyuruda, proje amacının salgının yayılmasını önleyici analizlerin yapılması olduğu belirtilmiştir.

Sağlık Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu Başkanlığı ve tüm GSM operatörlerinin iş birliği ile gerçekleştirilecek projede kişilerin lokasyon bilgilerinin GSM operatörleri eliyle devlet kurumları tarafından izlenecek olmasının, kişisel veri güvenliğini ve özel hayatın gizliliğini ihlal edebileceği ihtimali ortaya çıkmıştır.

Konuya ilişkin Kişisel Verileri Koruma Kurumu 09.04.2020 tarihinde bir duyuru yayınlayarak salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla lokasyon verisinin yetkili kurum ve kuruluşlarca işlenmesinin, KVKK’nın 28. maddesi uyarınca istisna kapsamında değerlendirileceği; yani bu faaliyet için Kanunun uygulanmayacağını açıklamıştır.

Tüm Dünyanın gündeminde olan Covid-19 Koronavirüs salgını sebebiyle birçok şirket evden çalışma uygulamasına geçti. Ancak bazı şirketler teknik alt yapı yetersizlikleri sebebi ile evden çalışma uygulamasına geçemezken bazıları ise teknik altyapılarında kurgulamaları gereken sistemlerin farkında olmadan ve gerekli önlemleri almadan evden çalışma uygulamasına geçtiler.

Konu ile ilgili KVK Kurumu ve ICO tarafından yayınlanan sıkça sorulan sorular rehberleri içerisinde “Evden çalışmak için ne tür güvenlik önlemleri alınması gerekir?” sorusu veri korumanın evden çalışmanın karşısında bir bariyer olmadığı, normal koşullarda gerekli olan güvenlik önlemlerinin evden çalışma sırasında da uygulanması gerektiği şeklinde yanıtlanmıştır.

Ulusal Siber Olaylara Müdahale Merkezi’nin, korona virüs salgını tedbirleri kapsamında yayınladığı Güvenli 'Uzaktan Çalışma' Kuralları Rehberi içerisinde sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan kuralların geçici süreliğine oluşturulması, mümkün olduğu durumlarda uzaktan bağlantılar için "kaynak IP" kısıtlaması yapılması, erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınması, risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izin verilmediğinden emin olunması önlemlerinin öneminden bahsedilmektedir.

Peki, uzaktan çalışma uygulamasına geçen şirketler teknik anlamda hangi hususlara dikkat etmelidir?

Covid-19 virüsü sebebiyle organizasyonlar tarafından gerekli önlemler alınmaya başlanmış; bu önlemler kapsamında çalışanlar veya üçüncü kişilerin sağlık verileri de dahil olmak üzere kişisel verilerine yetkisiz şekilde ulaşma ihtimali ortaya çıkmıştır. Organizasyonlar, bu önlemleri alırken kişilerin hak ve özgürlüklerine doğrudan temas edecek ihlallerden kaçınmalıdır. Bu süreçte organizasyonlar alacakları tedbirlerde aşağıda açıklayacağımız yöntemleri izleyebilirler:

1. Uzaktan Çalışma

İş sürekliliğinin sağlanması amacıyla bir organizasyon bu süreçte uzaktan çalışma kararı alabilir. Bu hâlde, hâlihazırda yeterli teknik altyapısı bulunmayan organizasyonlar, uzaktan çalışmanın etkili uygulaması konusunda birtakım güçlüklerle karşılaşabilirler. Örneğin kamu sağlığını korumak adına alınan bu önlem kapsamında, kişiler arasındaki iletişimin sağlanması için şirket telefonu kullanmayan kişilerin şahsına ait telefon numaraları, diğer çalışanlar, iş ortakları, müşteriler, tedarikçiler vb. üçüncü kişiler ile paylaşılabilir. Bu aktarım/paylaşım faaliyetinin meşru bir amacı olmakla birlikte, kişilerin açık rızasına dayanması gerektiği malumdur. Kişilerin açık rıza vermediği yahut açık rızasını geri çektiği durumda ise kişiye bir şirket hattı sağlamak uygun çözüm olacaktır.