Avrupa Veri Koruma Denetmeni – İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Durum Taraması Rehberi – Yönetici Özeti

Avrupa Veri Koruma Denetmeni (EDPS) 09.08.2021 tarihinde İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Durum Taraması Rehberi’ni yayımladı. 16 sayfadan oluşan bu rehberin, aşağıda “yönetici özeti” kısmına yer verilmiştir.

Yönetici Özeti 

Birçok AB kurumu, ajans ve organı (EUI’lar), işyerinde bulaşı riskini azaltmak için bir araç olarak çalışanların, tedarikçilerin ve ziyaretçilerin bağışıklık ya da bulaşı durumlarını taramayı da içeren “işyerine dönme” stratejilerini değerlendiriyorlar. Bu tür tedbirler AB Dijtal Sertifikalarını doğrulamayı, antijen testleri kullanmayı ya da çalışanların aşı durumlarının kaydını öngörebilir.

EDPS bu türden tedbirler uygularken dikkatli olunması ve 2018/1725 Sayılı AB Tüzüğü’ne (Tüzük) uygun hareket edildiğinden ve bireysel hak ve özgürlüklere olan etkinin en aza indirildiğinden emin olmak için çok özenli bir şekilde değerlendirme yapılması gerektiğini düşünmektedir. Hukuka uygunluk kısmen ev sahibi Üye Devletin ulusal mevzuatına bağlı olabilir ve EDPS, AB Kurumlarını alacakları aksiyonların yerel mevzuat, ilgili ulusal Veri Koruma Otoritesinin en güncel kamu sağlığı rehber ve tavsiyeleriyle aynı çizgide olduğundan emin olmaları konusunda uyarmaktadır.

Antijen testi  ya da AB Dijital COVID sertifikalarının kullanılmayı değerlendiren AB Kurumları, bunların kullanılmasının Tüzüğün kapsamında kalıp kalmadığını teyit etmelidirler: Test sonucunun veya kağıt ortamındaki yahut dijital COVID sertifikasının, sonrasında bir yere işlemeksizin ya da kayıt altına alınmaksızın, manuel olarak doğrulanması Tüzük kapsamında kalan bir kişisel veri işleme olarak nitelendirilmeyecektir. Antijen testlerinin  ya da COVID sertifikalarının QR kod taramasını içeren bir şekilde doğrulanması ya da bir yere işlenmesi ya da sonuçların kaydedilmesi Tüzüğün 10. maddesi kapsamındaki kısıtlamaların konusu olacaktır. Prensip olarak, bu tür bir işlem için yasal dayanak, ilgili kişinin temel hak ve menfaatlerini korumak için yeterli önlemleri sağlayan bir AB Kurumunun yürütme kararı ile desteklenen AB personel düzenlemelerinin 1(e)(2) maddesi ile sağlanabilir.

EDPS, bahsi geçen  COVID aşılamalarının gönüllülük esasına dayalı şu anki yapısına ve AB Dijital COVID Sertifikalarının uygun olduğunda kullanılmasına halel getirmeksizin , AB Kurumları tarafından  bireylerden aşılama durumlarına dair kanıt istenmesinin hukuki bir temeli olmadığını düşünmektedir. Ancak AB Kurumları, işyeri risk değerlendirmelerini desteklemek adına kümelenmiş, anonim hale getirilmiş personel aşılanma verilerini toplayabilirler. Bu açıdan, kümelenmiş personel aşılanma verilerinin analiz edilmesi  mahremiyeti daha fazla ihlal eden tedbirler alınmasından önce atılması gereken önemli bir adım olabilir.

AB Kurumları, bireylerin özel hayatlarının ve kişisel verilerin korunmasına dair temel haklarına müdahaleyi meşrulaştırmak için dikkatli bir şekilde gereklilik ve ölçülülük değerlendirmesi yapmalıdırlar. Antijen testi ile ilgili verinin işlenmesi, yalnızca çalışanın riske maruz kalma riskinin yüksek olduğu ve çalışma ortamının daha az müdahaleci tedbirlerin alınmasını imkansız kıldığı özel çalışma koşullarında meşrulaştırılabilir. AB Dijital COVID Sertifikasının işyerinde işlenmesi yalnızca AB Kurumları tarafından diğer seçenekler (ile) mahremiyeti daha az ihlal eden tedbirler eledikten sonra ve katı şekilde belirlenmiş parametrelere göre dikkate alınmalıdır.  Kullanım, bu işlemeyi meşrulaştıran olağanüstü koşullar devam ettiği sürece devam etmeli ve düzenli olarak tekrar değerlendirilmelidir.

Genel olarak AB Kurumları kesinlikle gerekiyor olmaksızın ve kanunda öngörülmeksizin kişisel veri kaydeden ve saklayan doğrulama süreçlerinden kaçınmalıdırlar. İşyerine giriş hakkı elde edebilmek için bir araç olarak zorunlu sertifika kontrolü yalnızca otomatik işleme süreçlerine dayanmamalı ve doğrulama süreçlerinde anlamlı bir insan müdahalesi olmasına izin verilmelidir.