Birleşik Krallık

Britanya – Vaka İncelemeleri: Temas Takibi Bilgilerinin (Üçüncü Kişilere) Açıklanması

This DIY contact tracing app helps people exposed to COVID-19 remember who they metBu bölüm, aşağıdakileri gerçekleştiren kuruluşlar için bilgi sağlar:

  • Kendi amaçları için veri toplama,
  • Bir temaslı takip programını (planını) desteklemek için kişisel verilerin toplamanın hükümet tarafından gerekli tutulmaması yahut teşvik edilmemesi,
  • Bir temaslı takip programı kapsamında veri açıklayıp açıklanamayacağı hakkında endişeler olması.

Şayet kuruluşunuzun bu veriyi toplaması hükümet tarafından gerekli kılındıysa yahut teşvik ediliyorsa lütfen buradaki rehberimize bakın.

Vaka İncelemesi 1: Verinin, temaslı takibinde kullanılması amacıyla, “her ihtimale karşı” toplanması

Bir kuruluş, işlerinin gündelik bir parçası olarak kişisel verileri işlemektedir. Bu kuruluş, bazı firmaların müşteri, ziyaretçi ve çalışanlarının verilerini COVID-19 vakalarındaki temaslı takibine yardım amacıyla topladığının farkında olmakla birlikte bu işlemleri yapmaları hükümet tarafından hukuki olarak gerekli kılınan ya da teşvik edilen sektörler arasına girmemektedirler. Bu kuruluş da, her ne kadar normalde öyle yapıyor olmasalar da, bu verileri “her ihtimale karşı” toplamak istemektedir.

Veri Korumada Kilit Hususlar Nelerdir?

Kilit veri koruma ilkelerinden biri, veri minimizasyonudur, yani toplanan veriler yeterli, ilgili ve gerekli olan kısımla sınırlı olmalıdır. Temaslı takip programlarına yardım amacıyla müşteri, ziyaretçi ve çalışanlara ait verilerinin toplanması, sadece konaklama veya yakın temas hizmetleri gibi bazı iş alanlarına münhasırdır. Daha fazla bilgi için, İngiltere, İskoçya, Galler ve Kuzey İrlanda Hükümet kılavuzlarına bakınız.

Eğer organizasyon bu kılavuzların kapsamına alınmamışsa, temaslı takibinde gerekeceği düşünülerek “her ihtimale karşı” veri toplamamalıdır.

Vaka İncelemesi 2: Kişilerin, verilerinin temaslı takibi programlarında kullanılmak üzere paylaşılmasına itiraz etmesi

Bir yerel yönetim kurumu, çalışanlarının ve bu kişiler tarafından desteklenen kişiler hakkındaki verileri sosyal hizmetler bölümü aracılığıyla gündelik işlerinin bir parçası olarak işlemektedir. Bir temaslı takibi ekibi yönetimi arar ve COVID-19 testi pozitif çıkmış olan sosyal hizmetler çalışanı Jane ile temas halinde olmuş herkesin verisini ister. Yerel yönetim, Jane ile temas halinde olmuş tüm çalışanların ve vatandaşların kayıtlarına sahiptir fakat bu bilgileri paylaşabileceğinden emin değildir. Kurum, kişilerin buna rızası olmayabileceğinden ve bu işleme itiraz edebileceğinden endişelidir.

Yerel yönetim kurumu, hükümet kılavuzlarını kontrol eder ve kendilerinin bu verileri özel olarak temaslı takibine yardım amacıyla muhafaza etmesi gereken kuruluşlar arasında olmadıklarını anlar. Fakat bu verileri olağan iş akışında muhafaza etmesi nedeniyle bu verileri paylaşmadan önce neleri göz önünde bulundurması gerektiğini öğrenmek istemişlerdir.

Veri Korumada Kilit Hususlar Nelerdir?

Kamu sağlığı gibi kamu yararı bulunan durumlarda veri koruma kanunu verinin paylaşımına engel olmaz. Kuruluşlar, temaslı takibi ekiplerinin talebi halinde, eğer aksi yönde hareket edilmesiyle ilgili zorunlu nedenler yoksa, verileri paylaşabilirler.

İtiraz Hakkı

Temaslı takibi için veri paylaşımının zorunlu tutulmadığı ve yerel yönetim kurumunun hukuki sebep olarak, kamu görevinin ifasına ya da meşru menfaatlere dayanmayı seçmesi halinde Birleşik Krallık (UK) Genel Veri Koruma Tüzüğü (GDPR) ’ı kişilere, verilerinin işlenmesine itiraz etme hakkını tanımıştır. Kişilerin kesin bir şekilde kişisel verilerinin başkalarına açıklanmasına itiraz etmesi halinde yerel yönetim kurumu bu itirazları göz önünde bulundurmalıdır. Bununla birlikte, yerel yönetim kurumunun kişilere, verilerinin ne şekilde işlendiği hakkında hangi bilgilerin verildiği ve kişilerin verilerinin temaslı takibi ekipleri ile paylaşılmasının onların makul beklentileri çerçevesinde olup olmadığını da değerlendirmesi gerekmektedir.

Ancak bu koşullarda itiraz hakkı mutlak değildir. Zira bu durumda yerel yönetim kurumu itiraza rağmen, verinin paylaşılmasında kamu yararının kişisel yarardan ya da herhangi bir gizlilik yükümlüğünden üstün olduğu hususunda tatmin olması halinde, verileri yine de temaslı takibi ekibiyle paylaşabilir.

Herhangi bir kişi verisinin paylaşılması hususunda itiraz hakkını kullanmasa bile kuruluş, gelen veri paylaşım talepleri değerlendirmek ve o şartlar altında (bilginin açıklanmasının) gerekli ve orantılı olmasını sağlamakla yükümlüdür. Bunlarla birlikte kuruluş veri minimizasyonu ve veri doğruluğu gibi diğer veri koruma ilkelerine uyma hususunda da dikkatli olmalıdırlar.

Verilerin paylaşılması konusunda itiraz edilmesi durumunda, kuruluşların gerekçelerini meşrulaştırabilmeleri ve kararlarını açıkça belgeleyebilmeleri önem arz etmektedir.

Vaka İncelemesi 3: Temaslı Takibi Amacıyla Bilgi Toplayan ve Paylaşan Okullar

Birtakım ebeveynler, çocuklarının bilgilerinin temaslı takibi ekipleriyle paylaşılmasına itiraz ettiklerini veya rıza göstermediklerini belirterek bir liseye başvurmuştur.

Bu kişiler COVID-19 vakası yaşamamış ya da temaslı takibi ekipleri tarafından aranmamıştır ancak her ihtimale karşı hazırlıklı olmaya çalışmaktadırlar. Okul, halihazırda kayıtlar, sınıf listeleri ve veli iletişim bilgilerine sahip olduğu için ekstra bilgi toplamaya ihtiyaç duymamaktadır. Fakat verilerin temaslı takibi ekipleriyle paylaşılması için rızalarını istemek üzere tüm ebeveynlere bir mektup göndermeyi düşünmektedirler.

Veri Korumada Kilit Hususlar Nelerdir?

Okulun temaslı takibi programına bilgi sağlaması mecburi değildir ancak bu durum, okulun talep edilen her bilgi için veli onayına ihtiyaç duyduğu anlamına da gelmemektedir. Veri koruma mevzuatı kuruluşlara gerekli, makul ve orantılı olduğu durumlarda veri paylaşma olanağı tanımaktadır. Salgın koşullarında, temaslı takibi programıyla kamu sağlığı nedeniyle veri paylaşılması, aksi yönde hareket edilmesiyle ilgili zorunlu nedenler yoksa makuldur.

Birleşik Krallık (UK) Genel Veri Koruma Tüzüğü (GDPR) veri paylaşımı için çeşitli yasal dayanaklara sahiptir. Açık rıza, bu gibi durumlarda veri paylaşımı için güvenilecek en uygun yasal dayanak olmayabilir. Bunun yerine okulun temaslı takibi programıyla veri paylaşımı için kamu görevi ya da meşru menfaat gerekçelerine dayanması daha uygun olabilir.

Temaslı takibi programı ile veri paylaşımına ve yasal dayanağına ilişkin daha fazla bilgi için lütfen yasal dayanak üzerine hazırlanmış kılavuzumuzu inceleyin.

Eğer okul, kamu görevinin ifası ya da meşru menfaat gerekçelerine dayanmayı tercih ederse, GDPR bireylere kişisel verilerinin işlenmesine itiraz etme hakkı vermektedir. Okul, veli ya da vasinin görüşlerini ve kendi kişisel verilerinin ya da çocuklarına ait kişisel verilerin açıklanmasına şiddetle karşı çıkma nedenlerini dikkate almalıdır. Okul ayrıca velilerin, vasilerin ve çocukların verilerini nasıl ele aldıkları hususunda bu kişilere ne şekilde bilgi verdiği ve okulun temaslı takibi programıyla bu kişilerin verilerini paylaşıyor olmasının onların makul beklentileri dahilinde olup olmadığını dikkate almalıdır. Ancak bu durumlarda itiraz hakkı mutlak değildir.

Bir itirazla karşılaştığında okul, itirazın ya da veri paylaşımının yarattığı herhangi bir riskin, kamu sağlığı nedeniyle bilginin açıklanmasındaki kamu yararına ağır basıp basmadığını göz önünde bulundurmalıdır. Okul, kamu sağlığı nedenleriyle yapılacak açıklamanın veli, vasi ya da çocuğun menfaatine üstün geldiğini ortaya koyması halinde yine de işleme devam edebilir ve veriyi temaslı takibi programıyla paylaşabilir.

Herhangi bir soru veya şikayet olması durumunda okul, gerekçelerini ve karar alma süreçlerini açık bir şekilde belgelendirmelidir.

Şayet gerekiyorsa okul, temas takibi için verileri zaten elinde bulundurmalıdır. Veli ya da vasiye rızalarını sordukları mektuplar göndermek yerine okul, veli ve vasiler ya da bu kişilerin çocukları hakkında bir takım detayları temaslı takibi (Ulusal Sağlık Servisi Test ve Takip [NHS Test & Trace] ve diğerleri) amacıyla paylaşabilecekleri konusunda ilgili kişileri açık bir şekilde aydınlatmalıdır. Okul ayrıca elinde tuttuğu verilerin doğruluğundan olduğundan emin olmak, velilerin irtibat bilgilerinin güncelliğini sağlamak için ebeveynlere sorarak bu verileri gözden geçirmelidir.

Vaka İncelemesi 4: Gizlilik Yükümlülüğü Olan Kuruluşların Temaslı Takibi Programına Kişisel Verileri Bildirmesi

Bir danışmanın COVID-19 testi pozitif çıkmıştır ve yakın temasta olduğu kişilerin bilgileri için kendisine başvurulmuştur. Danışman, hastalarına karşı sır saklama yükümlülüğü altında olduğundan bu veriyi ifşa edemeyeceği hususunda kaygı duymaktadır.

Veri Korumada Kilit Hususlar Nelerdir?

Gizlilik yükümlülüğünün olduğu durumlarda, veri sorumlusu (yani danışman) verileri açıklamadan önce yakın temasta olduğu kişilerin açık rızalarını sormak isteyebilir. Rızanın özgürce ve tam olarak bilgilendirmeye dayalı olarak verilmesini sağlamak için gerekli olan yüksek rıza eşiğini karşılamaları gerekir. Rehberimiz bu hususta daha fazla detaya sahiptir.

Rıza aramanın uygun olmadığı ya da veri sorumlusunun rıza alamadığı durumlar da olabilir.

Bu durumlarda,  örneğin veriyi açıklamanın kamu yararına hizmet için gerçekten gerekli olduğu veya bireysel menfaate göre daha üstün geldiği durumlarda gizlilik yükümlülüğü hükümsüz kalabilir.

Kişisel verilerin bir temaslı takibi programına bildirilmesi durumunda, COVID-19 ile enfekte olabilecek birine tavsiyede bulunulması veya (bu kişinin) tedavi edilmesi amacıyla temas takip ekipleriyle bilgi paylaşılmış olacağı için kamu yararına hizmet edilmesi mümkündür. Fakat veri sorumluları, hastalarıyla olan ilişkilerinin niteliğini ve bu paylaşımın onlara herhangi bir zarar ya da sıkıntı yaratıp yaratmayacağını dikkate almalıdır.

Veri sorumlularını, profesyonel ilişki içerisinde oldukları kişilere karşı, temaslı takibi programı tarafından kendilerine ulaşılması halinde verilerin onlarla paylaşılacağı hakkında, haberdar etmek suretiyle açık ve şeffaf olmaya teşvik ediyoruz. Bu husus yazılı olarak bilgilendirmeye ya da sözlü olarak hastaya açık bir şekilde anlatmakla sağlanabilir.

Teşekkür Notu:

Yazının çeviri aşaması  Dr. Ahmet Haşim Alagüney  ve Necati Kerim Belviranlı  tarafından gerçekleştirilmiştir. Katkılarından dolayı kendilerine teşekkür ederiz.

Konuyla ilgili ayrıca bkz.

İngiliz Veri Koruma Kurumu – Aşılama ve COVID Durum Kontrolleri

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!