Birleşik Krallık

Britanya – Aşılama ve COVID Durum Kontrolleri

25 Temmuz 2021 /

Çalışanlarımın, müşterilerimin veya ziyaretçilerimin COVID durumlarını kontrol edebilir miyim?

İnsanların COVID durumlarını kontrol etmeye karar vermeden önce, neye ulaşmaya çalıştığınız ve insanlara COVID durumlarını sormanın bu amaca ulaşmakta nasıl yardımcı olacağı konusunda net olun.

İngiltere’de ikamet edenler artık NHS COVID pass kullanarak COVID durumlarını gösterebilirler. COVID durumu bir kişinin COVID-19 bulaştırma riskini gösterir ve aşı ile test verisine dayanmaktadır. İngiltere’deki düşük bulaştırma riskli insanlar NHS uygulaması veya 119 hattı üzerinden ya da çevrimiçi olarak COVID Pass edinebilirler. İskoçya ve Kuzey İrlanda’da ikamet eden kişiler, İngiltere’de bulunan yerleşkeleri ziyaret etmeleri gerektiğinde COVID durumlarını gösteren diğer araçları kullanabilirler.

Bir kişinin COVID durumu, özel sağlık bilgileri gibi özel nitelikli veridir. Bu veriyi kullanmanız adil, ilgili ve belirli bir amacın gerçekleştirilmesi için gerekli olmalıdır.

Veri koruma, COVID Durum kontrollerini gerçekleştirirken değerlendirilmesi gereken pek çok faktörden yalnızca bir tanesidir. Şunları dikkate almalısınız:

  • İş Hukuku ve çalışanlarınızla olan sözleşmeleriniz (Şayet çalışanlarınızın COVID durumlarını kontrol etmeyi düşünüyorsanız),
  • Sağlık ve güvenlik gereksinimleri, ve
  • Gizlilik hakları dahil olmak üzere eşitlikler ve insan hakları.

Ayrıca bulunduğunuz endüstrideki diğer düzenlemelerin yanı sıra mevcut kamu sağlığı tavsiyeleri ile Birleşik Krallık’ta bulunduğunuz bölgedeki en son hükümet rehberlerini de dikkate almalısınız.

İnsanların COVID durumlarını kontrol etme ya da kaydetme gerekçeniz açık, gerekli ve şeffaf olmalıdır. Bu bilgiler için bir kullanım belirleyemiyorsanız ve “her ihtimale karşı” bu bilgileri kaydediyorsanız ya da öngördüğünüz hedefe bu bilgiyi toplamadan da erişebiliyorsanız, bu bilgiyi toplamayı haklı göstermeniz çok olası değildir.

İçinde faaliyet gösterdiğiniz sektör, personelinizin yaptığı işin türü ve işyerinizdeki sağlık ve güvenlik riskleri insanların COVID durumlarını kontrol etmekte zorlayıcı nedenleriniz olup olmadığını değerlendirmenize yardımcı olacaktır.

Bu bilginin kullanımı herhangi bir şekilde çalışanlara, müşterilere yahut ziyaretçilere karşı adil ya da meşru olmayan bir işlem yapılmasına neden olmamalıdır. Bu bilgiyi yalnızca makul şekilde beklenebilecek amaçlar için kullanmalısınız. İnsanlara adilce davranmalı ve COVID durum bilgisinin toplanması yahut kullanılması bir kişi üzerinde negatif bir sonuca yol açacak gibiyse bunu gerekçelendirebilir olmalısınız.

Şayet bu bilginin kullanılması kişiler üzerinde yüksek bir risk doğurma (örn istihdam fırsatlarının yahut hizmet sunmanın reddi) olasılığına sahipse bu durumda bir veri koruma etki değerlendirmesi yapmanız gerekir.

İnsanların COVID durumlarını kontrol etmeye karar verirsem Birleşik Krallık GDPR’ı uygulanır mı?

Birleşik Krallık GDPR’ı (BK GDPR) kişisel verinin belirli şekildeki “işlenmesine” uygulanır. Şayet yalnızca COVİD pasaportlarını (ister basılı döküman, ister dijital bir cihazda tutulan pasaport olsun) gözle kontrol ediyorsanız ve buna dair herhangi bir bilgi saklamıyorsanız, bu bir “işlemeye” neden olmaz. Bu nedenle söz konusu faaliyet BK GDPR’ın kapsamı dışında kalacaktır.

Ancak, kontrolleri dijital olarak gerçekleştiriyorsanız (örneğin, pasaportta yer alan QR kodun taranması), bu veriyi kaydetmiyor olsanız dahi kişisel veri işlemeye neden olacaktır. Bu nedenle de BK GDPR uygulanacaktır

Herhangi bir kişisel veriyi kaydediyorsanız, ister gözle ister dijital kontrollerde, bu durumda kişisel veri işliyor olacaksınız ve BK GDPR uygulanacaktır.

İnsanların COVID durumlarının kontrolünde hangi hukuki temeli kullanmalıyım?

Şayet insanların COVID durumlarının kontrolü için iyi bir neden varsa, bu bilgiyi işlemek için uygun bir hukuki temelin olması da yüksek olasılıktadır. İşlevlerini yerine getiren kamu kurumları için, kamu görevi geçerli olabilir. Diğer kamu veya özel işverenler için meşru menfaat büyük olasılıkla uygun olacaktır, ancak kuruluşunuz için kendi değerlendirmenizi yapmanız gerekir.

Bir kişinin COVID durumu, veri koruma kanununa göre “özel nitelikte kişisel veri” statüsü ile korunan sağlık verisidir. Bu daha fazla korunmasına ihtiyaç duyulduğu anlamına gerekir. İşleme için 9. maddedeki koşullardan birini belirlemeniz gerekir. Değerlendirebileceğiniz iki şey şunlardır:

  • İstihdam durumu veya,
  • Kamu sağlığı durumu.

Şayet kamu sağlığı durumuna dayanmaya niyetliyseniz, ya işleme faaliyetinin bir sağlık uzmanı tarafından gerçekleştirildiğinden emin olmalı ya da insanlara COVID durumlarını gizli olarak ele aldığınızı ve bunu yalnızca açıkça tanımlanmış durumlarda ifşa edeceğinizi belirtmelisiniz

İşçi ve işveren arasındaki güç dengesizliği göz önünde bulundurulduğunda nedeniyle bir istihdam ilişkisinde rıza nadir olarak uygundur. Benzer şekilde işyerine girişin bir şartı olduğu durumlarda COVID pasaportunun kontrolü için rızanın uygun olması pek olası değildir. Zira böyle bir  durumda rızayı “özgürce verilmiş” olarak değerlendiremezsiniz. BK GDPR’daki rıza hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Personelin, müşterilerin ya da ziyaretçilerin COVID durumlarını işlerken başka ne yapmalıyız?

COVID durum sertifikasyonu uygulamanızı gerekçelendirebileceğinize karar verdiyseniz, açık ve şeffaf olmalısınız. Bu bilgiyi neden toplamaya ihtiyaç duyduğunuzu ve ne için kullanacağınızı insanların anladığından emin olmalısınız.

Bu verilerin toplanmasının güvenli olduğundan emin olmalısınız. Borçlu olduğunuz tüm gizlilik yükümlülüklerine uymalı ve bu yapmanız için meşru ve haklı bir neden olmadıkça bir kişinin COVID durumunu rutin olarak ifşa etmemelisiniz.

Ayrıca bilgiyi gerektiğinden daha uzun süre tutmadığınızdan ve veriyi insanların makul bir şekilde beklemeyeceği şekillerde kullanmadığınızdan emin olmalısınız. Çoğu durumda muhtemelen birinin yalnızca COVID durum sertifikasını ya da pasaportunu kontrol etmeniz yeterlidir ve herhangi bir bilgiyi saklamanız gerekmez. Tuttuğunuz herhangi bir kaydı veya bilgi saklamayı açıkça gerekçelendirmeniz gerekir.

COVID durum verisini hala işlemeniz gerekip gerekmediğini düzenli olarak gözden geçirmelisiniz.

Çalışanlarımın aşı durumu ile ilgili bilgiyi kaydedebilir miyim?

COVID durumuyla ilgili olarak yukarıda belirtilen tavsiyeler, çalışanlarınızın aşı durumunu kontrol etmek ve kaydetmek için de geçerlidir. Ancak, dikkate alınması gereken bazı ek faktörler vardır.

Çalışanlarınızın aşılama durumunu kaydetme sebebiniz açık ve gerekli olmalıdır. Bu bilgi için kullanımınızı belirleyemiyorsanız ve “her ihtimale karşı” olarak kaydediyorsanız veya bu verileri toplamadan hedefinize ulaşabiliyorsanız, bu bilgileri toplamayı haklı çıkarmanız pek olası değildir. Ayrıca aşı teklifini kabul etmenin, bir dizi faktörden etkilenebilecek kişisel bir karar olduğunu da göz önünde bulundurmalısınız.

İçinde faaliyet gösterdiğiniz sektör, personeliniz yaptığı işin türü ve işyerinizdeki sağlık ve güvenlik riskleri personelinizin COVID-19 aşısı olup olmadığını kaydetmeniz için hukuki sebepleriniz olup olmadığına karar vermenize yardımcı olmalıdır. Örneğin, çalışanlarınız:

  • COVID-19 ile enfekte olanlarla karşılaşma olasılığı daha yüksek olan bir yerde çalışmaktadır, ya da,
  • Klinik olarak hassas bireyler için risk oluşturabilir.

Bu çalışan aşılama durumunu toplamak için gerekçenizin bir parçasını oluşturabilir. Bununla birlikte yalnızca gözlemleme amacıyla kimlerin aşılandığına dair kayıtları tutmak isterseniz, bu bilgiyi tutmayı gerekçelendirmeniz daha zor olacaktır.

Bu bilginin toplanması çalışanlara karşı adil olmayan ya da haksız bir işlem yapılmasına neden olmamalıdır ve bu bilgiyi yalnızca makul şekilde beklenebilecek amaçlar için kullanmalısınız. Personele adil şekilde davranmalısınız ve bu bilginin toplanması bir çalışan için negatif bir sonuç doğurması muhtemel ise, bunu gerekçelendirebiliyor olmalısınız.

Şayet bu bilginin kullanılması kişiler üzerinde yüksek bir risk doğurma (örn istihdam fırsatlarının reddi) olasılığına sahipse bu durumda bir veri koruma etki değerlendirmesi yapmanız gerekir.

Topladığınız veriyi doğru bir şekilde kaydetmeli ve toplama ile depolamanın güvenli olduğundan emin olmalısınız. Bu verilerin toplanmasının güvenli olduğundan emin olmalısınız. Borçlu olduğunuz tüm gizlilik yükümlülüklerine uymalı ve bu yapmanız için meşru ve haklı bir neden olmadıkça bir kişinin aşı durumunu rutin olarak ifşa etmemelisiniz.

Eğer aşılama bilgisini kaydediyorsanız, bilgiyi gerektiğinden daha uzun süre tutmadığınızdan ve veriyi insanların makul bir şekilde beklemeyeceği şekillerde kullanmadığınızdan emin olmalısınız.

Kaynak için bkz. 

Bunlara da bakmak isteyebilirsin

ICO; inceleme, düzenleme ve yaptırım yetkisini nasıl kullandığı konusunda ilgili kişileri görüş bildirmeye davet ediyor
6 Şubat 2022
Birleşik Krallık İlk Derece Mahkemesi, ICO Tarafından GDPR Kapsamında Verilen İlk Para Cezasını Üçte İki Oranında İndirdi
29 Ağustos 2021
ICO’nun Özel Nitelikli Kişisel Verilerin Alenileştirilmesi Hukuki Sebebine Dair Açıklamaları
22 Ekim 2022

One Comment

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!