Avrupa

Avrupa Veri Koruma Denetmeni – İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Taraması Rehberi – Geniş Özet

9 Ağustos 2021 Tarihli

İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Taraması Rehberi

GENİŞ ÖZET

  1. Giriş

İşyerine dönüş stratejileri antijen test sonuçlarını kullanmayı, personelin aşı durumunu kaydetmeyi yahut AB Dijital COVID Sertifikalarından faydalanmayı içeriyor. İş sağlığı ve güvenliği mevzuatı, işyerinde iş sağlığı ve güvenliği önlemlerinin alınmasını öngörüyor fakat diğer yandan bu tür girişimler kişisel verilerin korunması hakkına ve özel hayata müdahale niteliği taşıyabilir ve kişilerin ayrımcılığa uğramasına neden olabilir. Bu türden tedbirlerin uygulanması bir kişinin işyerine girip girmemesinin değerlendirilmesinde hassas sağlık verisi işlenmesi anlamına gelebilir, bu nedenle de bireylerin hak ve özgürlükleri üzerindeki etkisini en aza indirmek için çok dikkatli bir değerlendirme yapılmalıdır. Bu tür değerlendirmeler ise işyeri risk değerlendirmeleri ile ilintili olmalı, değerlendirmelerde epidemiyolojik durum, aşılanma ve bağışıklık oranları ile güncel kamu sağlığı düzenlemeleri ve rehberleri gibi birçok faktör göz önünde bulundurulmalıdır.

  1. AB Kurumlarının İşyerine Dönüş Stratejileri ve Ulusal Hukukla Karşılıklı Etkileşim

İşyerine dönüş stratejileri kapsamında müdahaleci önlemler kullanmaya karar vermeden önce bu türden önlemlerin alınmasının ulusal mevzuat kapsamında uygulanabilir olup olmadığı mutlaka değerlendirilmelidir. Örneğin ulusal mevzuat, bu tür bir önlemin alınmasını gerektiriyor ya da yasaklıyor olabilir. Ayrıca ulusal sağlık otoriterleri ile veri koruma denetim kurumlarının konuya ilişkin güncel rehber ve tavsiyeleri de değerlendirmede mutlaka dikkate alınmalıdır.

  1. AB Kurumlarında COVID Aşılanma Durumunun İşlenmesi

Bireylerin (çalışan olan- olmayan ya da ziyaretçiler dahil) aşılanma verilerinin toplanmasında mutlaka ulusal hukuka dayanmalıdır.

Şu anda aşılama çalışmaları gönüllülük temelinde yürütülmektedir, bunun anlamı da aşılamanın, sağlık ve sosyal hizmetler gibi belli bazı sektörler dışında ulusal mevzuat kapsamında zorunlu bir güvenlik tedbiri olarak değerlendirilemeyeceğidir. Bir işverenin, çalışanından aşılanma verisi ya da buna dair delil talep etmesi ulusal aşılama politikalarının gönüllü yapısını ve yetişkin bireylerin kendi tedavileri ile ilgili bilinçli karar verme haklarını öngören özerklik ilkesini zayıflatabilir.

Aşılanma verisi hassas sağlık verisidir ve bu verinin işlenmesi, kişisel verilerin korunması hakkı ile özel hayatın korunması hakkını ihlal edebilir. Böyle bir müdahale ise, kişisel nedenlerle (örneğin hamilelik ya da altta yatan ciddi sağlık problemleri) aşı olmayı erteleyen ya da aşı olmaktan vazgeçen kişiler üzerinde baskıya neden olabilir. Bu tür veriler, çalışan organizasyonu için kullanılıyorsa verilerin gizliliğini korumak zor olabilir. Dahası, örneğin kişilerin sağlık durumları temelinde, kişilerin ayrımcılığa uğramasına neden olabilir.

Aşıların zorunlu tutulması, hükümet seviyesinde değerlendirilmesi gereken bir husus olduğundan aşılanma verilerinin toplanmasına dair tedbirlerin alınıp alınmayacağı, tek tek kurumlar nezdinde değerlendirilmemelidir.

  1. Kümelenmiş (Toplu) Aşılama Verilerinin Kullanılması

İşe dönüş stratejilerinin bir parçası olarak antijen test sonuçlarının toplanmasını ya da AB Dijital COVID sertifikaları şeklinde sağlık verilerinin işlenmesini değerlendirmeden önce tasarımda veri koruma ve veri minimizasyonu ilkeleri ile uyumlu olarak sağlık verilerinin kümelenmiş şekilde kullanılması değerlendirilmelidir. Kümelenmiş sağlık verisi bireylerin sağlık bilgilerine erişmeye izin vermediğinden anonim veridir ve Tüzüğün kapsamına girmez. Örnek olarak kümelenmiş veriler şöyledir:

  • Belli bir zaman dilimin içinde COVID-19’a karşı aşılanmış ya da aşıya karşı olan çalışanların yüzdesi,
  • COVID-19’a karşı aşılanmamış olan ya da aşı durumu bilinmeyen çalışanların yüzdesi.

Aşılanma bilgisine sahip olan (işyeri) sağlık hizmetleri bu tür kümelenmiş verilerin hazırlanması ile görevlendirilebilir. Kümelenmiş verinin anonimleştiğinden emin olmak için, verinin ilgili olduğu grubun yeteri kadar büyük olduğundan emin olunmalıdır ki böylece çalışanlar, bu bilgilerden hareketle birbirlerinin aşı durumları hakkında çıkarsama yapamasınlar.

Sağlık hizmetlerindeki veri (aşılama ya da iyileşme verisi) güncel olmayabileceğinden çalışanları (işyeri) sağlık hizmetlerine güncel bilgiyi sağlama noktasında teşvik etmek için bu verinin yalnızca sağlık hizmetleri tarafından işlendiğinden emin olunmalu ve işleme, özgür rıza temelinde yapılmalıdır.

AB Kurumları ayrıca aşılanmış ve aşılanmamış çalışanların yüzdesini görebilmek adına anket yapmayı da düşünebilirler. Bu anketler gönüllülük esasına dayalı ve anonim olmalıdır. Kurum, kullandığı anket sistemlerinin anonimlik güvencesini (bu anketler isim ya da e-posta adresi toplamasa bile IP adresi toplayabilir) sağladığından emin olmalıdır. Açık uçlu cevaplardan bireylerin belirlenebilmesi riski olduğundan açık uçlu sorulardan (kesinlikle gerekli olmadığı sürece) kaçınılmalıdır.

Şayet anket cevaplarından bir kişiye ulaşılabiliyorsa artık bireyselleşmiş bir anket söz konusudur ve bu da tüzüğün kapsamına girer. Böyle durumlarda, bireylere katılımın gönüllülük esasına dayalı olduğu açıkça belirtilmeli ve katılımcılar, anketin hangi amaçla yapıldığı ve toplanan verilerin ne şekilde kullanılacağı konusunda aydınlatılarak, ankete katılımın bireylerin özgür rızası ile gerçekleştiğinden emin olunmalıdır. Anket yapılırken veri minimizasyonu ve yalnızca gerektiği kadar bilginin toplanması ilkelerine uygun davranılmalıdır.

  1. AB KURUMLARINDA ANTİJEN TEST SONUÇLARININ KULLANILMASI

Bu tür test sonuçlarının, işyerine girişleri süzme ya da çalışanların durumlarını tarama amacıyla kullanmadan önce bu uygulamanın hukuka uygun olup olmadığı değerlendirilmelidir. Şayet ulusal hukukta hukuki bir temel yok ise, AB hukukuna göre hukuki bir temel oluşturulmalıdır.

  • Tüzüğün kapsamı dışında kalan antijen testlerinin hukuka uygunluğu

Antijen test sonuçlarını kullanmanın kişisel veri işleme olup olmadığı değerlendirilmelidir. Şayet test sonuçları yalnızca görsel (gözle) olarak (örn. Test cihazının gösterilmesi ya da bir binaya veya toplantıya girerken, QR kodu taratmaksızın sonucun gösterilmesi) teyit ya da kontrol ediliyorsa ve sonuçlar bir yere kaydedilmiyor yahut belgelendirilmiyorsa, bu durumda burada artık bir kişisel veri işlemeden söz edilmez, bu nedenle de bu durum Tüzük kapsamı dışında kalır. Zira burada tamamen ya da kısmen otomatik olan yollarla bir kişisel veri işleme söz konusu değildir, bu verilerin kaydedilmesi de söz konusu değilse artık bir veri kayıt sisteminin parçası olma yahut bunu amaçlama da söz konusu olmadığı için otomatik olmayan yollarla veri işlemeden de söz edilemez.

Ancak, test sonuçlarını kaydetmeksizin dahi antijen testleri fiziksel bir müdahaleye neden olabilir ve işyerine girişte yahut bir etkinliğe katılırken işverenin böyle bir prosedür izlemesi, kişinin özel hayatının korunması hakkına müdahale teşkil edebilir. Bu nedenle bu tedbir, hukuka uygunluk, gereklilik ve orantılılık koşullarını sağlamalıdır. Bu koşulları değerlendirirken müdahaleci ve rahatsız hissettiren bir prosedür ile çalışanların bu prosedüre tabi tutulma sıklığının çalışan üzerindeki etkisi de dikkate alınmalıdır. Özellikle izolasyon ve karantina tedbirlerinde antijen testlerinin çeşitli durumlarda tutarlı şekilde sonuç vermeyebileceği de değerlendirilmelidir.

Hangi özel koşullarda (fiziki iş ortamı ve bir grup çalışan gibi) antijen testi yaptırılacağına karar verirken, AB kurumları antijen testlerinin kullanılmasıyla ilgili en güncel kamu sağlığı rehber ve tavsiyelerini dikkate almalıdır. Öte yandan AB ve DSÖ’nün işyerinde antijen testleri kullanılmasına dair rehberi, antijen testlerinin diğer risk azaltıcı tedbirlerin kullanılamadığı yüksek riskli sektörlerde (örn. sağlık ve sosyal hizmetler, hapishaneler ve bulaşı riskinin yüksek olduğu iş ortamlarında ön safhalarda çalışanlar) kullanılmasını tavsiye etmektedir.

ECDC ve EU-OSHA rehberleri de antijen testlerinin tamamlayıcı olabileceğini ancak işyeri sağlığı ve güvenliği ile farmasötik olmayan müdahalelerin yerini alamayacağını belirtmektedir. Dahası EDPS, bir tedbir olarak bireylerin hak ve özgürlüklerine müdahale etme gerekliliğinden söz edebilmek için öncelikle diğer daha az müdahaleci tedbirlerin yeterli olmadığının gösterilmesi gerektiğini hatırlatmaktadır.

  • Tüzük kapsamındaki antijen testlerinin hukuka uygunluğu

Tedbirin amacının yerine getirilmesi adına, kesinlikle gerekli olmadığı sürece antijen testlerinin bir yere kaydedilmesinden kesinlikle kaçınılmalıdır. Test sonuçlarının sistematik olarak bir veri kayıt sisteminin parçası olarak kaydedildiği ya da QR kod taraması yapıldığı durumlarda, bu faaliyet kişisel veri işlendiği anlamına gelecektir ve bu nedenle de GDPR md. 5(1)’deki hukuka uygunluk şartları karşılanmalıdır.

Ayrıca antijen test sonuçları sağlık verisi olduğundan, bu verilerin işlenmesi Tüzüğün 10(2). Maddesindeki koşullara da tabi olacaktır.

AB kurumu, gönüllülük temelinde antijen testi yapılmasını önerse dahi, söz konusu istihdam ilişkisi bağlamında ve işveren ile işçi arasındaki güç dengesizliğinin yapısı nedeniyle çoğu durumda rıza, antijen testi sonuçlarının işlenmesi için geçerli bir hukuki temel sunmaz. Benzer şekilde rızanın, çalışan olmayan kişiler (örn temizlik personeli, güvenlik personeli, ziyaretçiler) için de geçerli bir hukuki temel sunması çok mümkün görünmemektedir. Özgür rızadan söz edebilmek için antijen testinin, işyeri dışında ayrı bir yerde yapılması ve test yaptıran ya da yaptırmayan çalışanların kimliğinin tespit edilmesi olasılığının bulunmaması gerekir.

EDPS, çalışanların sağlığı ve güvenliğini korumak için bir tedbir olarak antijen test sonuçlarının işlenmesinde 10(2)(b)’nin uygun bir zemin olabileceğini düşünmektedir. Aynı mantıkla, işlemenin hukuki temeline dair gerekliliğin Çalışan Tüzüğü’nün 1(e)(2) maddesince karşılanması ihtimali de vardır.

Bahsi geçen kapsamda antijen testlerinin hukuka uygunluğunu sağlamak adına, AB kurumları söz konusu tedbirin alınmasının gerekli ve ölçülü olduğunu ortaya koyabilmelidirler. Burada belirtilen değerlendirmelere bakıldığında çalışanların zorunlu ve herhangi bir ayrım gözetmeksizin, sistematik olarak taranmasının bir AB kurumu için hukuka uygun olduğunu söylemek çok mümkün görünmemektedir.

Antijen testleri iyi bir şekilde tanımlanmış, sınırlı istihdam koşullarında gerçekleştirilmelidir. Bu durumlarda da uygulama, bir icra kararı ile desteklenmelidir. İcra kararı, antijen testleri ile ilgili kişisel veri işleme faaliyetinin çalışanları enfeksiyon riskine karşı korumak için gerekli olduğunu, uygulamanın ve uygulamaya konu olacak personelin kapsamının net bir tanımını ve uygulamanın gerçekleştirileceği zaman aralığını (ne zaman sona ereceği) açık ve ikna edici bir şekilde ortaya koymalıdır.

AB Kurumlarının çalışan olmayan, örneğin dış tedarikçiler, kişilerin de antijen testleri ile ilgili kişisel verileri işlemesinin gerekli olduğunu düşündüğü durumlarda yukarıda bahsedildiği şekilde alınacak bir icra kararı ile desteklenmek kaydıyla, Çalışan Tüzüğünün 1(e)(2) maddesine benzer bir hukuki temel oluşturabilmeleri mümkündür. Bu icra kararı, AB Kurumu ve kurum çalışanı olmayan işveren arasında imzalanacak ve yukarıda belirtilen tedbirleri belirtecek bir anlaşma ile tamamlanmalıdır.

AB kurumu ve çalışan olmayan işveren ile yapılacak anlaşma, ilgili kişiler üzerindeki etkiyi en aza indirmek adına şu gerekli teminatları düzenlemelidir:

  • Sonuçların kaydedilmesini sınırlandıran sistemler ve prosedürler kullanın,
  • Geçersiz ya da pozitif sonuçlara ilişkin olarak açık ve adil protokollere yer verin,
  • Çalışanların ve çalışan olmayanların, nasıl ve neden sağlık verilerinin işleneceği, saklama süresi ve kimlerin bu veriye erişebileceği ile ilgili olarak tam bir şekilde aydınlatılması hükmüne yer verin,
  • Veri işlemenin güvenliğini ve gizliliğini sağlayacak idari ve teknik tedbirlere yer verin.
  1. AB DİJİTAL COVID SERTİFİKALARININ KULLANILMASI

AB Dijital COVID sertifikası, 1 Temmuz 2021’de tüm AB Üye Devletlerinde uygulamaya girmiştir. Bu uygulamanın amacı, COVID – 19 salgını süresinde vatandaşların AB içerisinde güvenli şekilde serbest dolaşımını kolaylaştırmaktır. Sertifika, karşılıklı çalışabilir ve makine tarafından okunabilir bir QR kod özelliği sunmakta, sertifikaya kağıt formatında ya da akıllı telefon uygulamaları aracılığıyla erişilebilmektedir. Bu sertifika kişinin COVID-19’a karşı aşılandığı, negatif test sonucu bulunduğu ya da hastalıktan iyileştiğine dair kanıt sunmaktadır.

  • Hukukilik

AB Dijital Sertifika Tüzüğü’nün birincil amacı COVID-19 salgını süresince AB vatandaşlarının ve üçüncü ülke yurttaşlarının AB’de hukuki bir şekilde kalması ya da ikamet etmesi için AB içerisindeki serbest dolaşımı kolaylaştırmaktır. Diğer amaçlar için ise AB Dijital Sertifika Tüzüğü, veri işlemenin hukuki temelinin ulusal bir kanunla sağlanmasını şart koşmaktadır. AB kurumları söz konusu olduğunda, icra kararı ile desteklenmiş AB Çalışan Tüzüğü’nün 1(e)(2) maddesi, ulusal kanun olarak yorumlanmalıdır.

  • AB Hukuku Gereğince Hukuka Uygunluk

Sertifikaların Tüzüğün kapsamına girip girmediği ve ne şekilde girdiği hususu, AB Kurumlarının bu sertifikaları ne şekilde kullanacaklarına bağlıdır. EDPS şu senaryoları birbirinden ayırmaktadır:

  1. Bir AB Kurumu, sistematik olarak sertifikaları ya da bir veri kayıt sisteminin parçası olarak (içerdiği) bilgileri kaydetme niyetindedir,
  2. Bir AB Kurumu, QR kodları taramayı da içerecek şekilde sertifikaları dijital olarak doğrulama niyetindedir,
  3. Bir AB Kurumu, basılı kağıt kopyaların kontrolünü içerir bir şekilde manuel bir doğrulama ya da dijital sertifikayı manuel olarak kontrol etme niyetindedir.

(1) ve (2) No’lu senaryolarda, Tüzüğün 2(5). Maddesinde tanımlanan şekilde bir kişisel veri işleme söz konusudur ve Tüzükteki hukuka uygunluk şartları karşılanmalıdır.

(3) No’lu senaryo, Tüzüğün kapsamına girmez ancak istihdam düzenlemelerinde gizli sağlık verilerinin paylaşılması gerekliliği Temel Haklar Şartı’nın 7. Maddesinde düzenlenen özel hayatın korunması hakkına bir müdahaleye neden olabilir. Bu nedenle böyle bir tedbirin Temel Haklar Şartı’nın 52(1) maddesinde düzenlenen hukukilik, gereklilik ve ölçülülük koşullarına uygun olması gerekir ve burada hukuken kabul edilebilir bir ihlalden söz edilebilmek için dikkatli bir değerlendirme yapılmalıdır.

  • AB Dijital COVID Sertifikasının Tüzüğe Konu Şekilde Kullanılması

Aşılama durumu, ister COVID PCR/antijen test sonucu ya da isterse de daha önce COVID enfeksiyonu geçirildiğinin delili olsun, hassas sağlık verisidir ve bu nedenle bu verilerin işlenmesi Tüzüğün 5(1) ve 10. Maddelerinin her ikisindeki katı hukukilik eşiğini sağlamalıdır.

EDPS, çalışanların sağlığı ve güvenliğini korumak amacıyla bir tedbir olarak AB Dijital COVID Sertifikalarının hukuken işlenebilmesi için 10(2)(g) veya 10(2)(i) maddelerinin, özellikle de ulusal mevzuat ve kamu sağlığı rehberleri, sertifikaların daha yaygın kullanılmasını zorunlu kılıyorsa, uygun bir temel sunabileceğini düşünmektedir. Açık rızaya dayalı olarak verinin işlenmesi ile ilgili olarak 6.6.’ya bakınız.

Çalışan Tüzüğü’nün 1(e)(2) maddesi potansiyel olarak işlemeye hukuki bir temel sağlayabilir. Ancak sağlık ve güvenliğe ilişkin genel bir hüküm olarak, ne Tüzüğe göre hukuka uygunluk gereksinimlerini ne de AB Dijital COVID Sertifikası Tüzüğündeki gereksinimleri karşılaması olası görünmektedir.

Bu eşiğe ulaşmak için, AB Kurumları işlemenin kapsamı, boyutu ve amacını tanımlayan ve ilgili kişilerin temel haklarına olan etkilerini sınırlayan garantileri net şekilde ortaya koyan bir icra kararı almalıdır.

Çalışan olmayan kişilerin AB Dijital COVID Sertifikalarının işlenmesinin hukuki temeli de benzer şekilde bir AB Kurumu icra kararı ile tamamlanmış Çalışan Tüzüğü’nün 1(e)(2) maddesi ile AB Kurumu ile çalışan olmayan işveren arasında akdedilecek bir sözleşmeye dayandırılabilir.

AB Dijital COVID Sertifikası işlemeyi getiren herhangi bir AB Kurumu icra kararı, düzenli, zorunlu bir gözden geçirmeyi gerektiren bir  hüküm [sunset clause] içermeli ve işlemenin gerekli ile ölçülü olduğuna dair gerekçeleri ortaya koymalıdır.

Sertifikaları istihdam bağlamında kullanmak adına başka bir amaçla kullanılmasının hedefi, bulaşı riskini azaltmak ve çalışanları enfeksiyondan korumak olabilir. Bu tedbirin gerekliliğinin değerlendirilmesi AB Kurumları, genel popülasyondaki enfeksiyon tekrarlanma sıklığı, ilgili işyerindeki bulaşı dinamikleri ve personelin maruz kalma riski dahil olmak üzere salgın bağlamında işyeri risk değerlendirmelerine dayanan parametrelerin tamamını değerlendirmeye almalıdır.

İkinci olarak, kümelenmiş personel aşılama verilerinin toplanması yoluyla belirlenebilir (bkz 4) ve bu adım AB Dijital COVID Sertifikalarının işlenmesinde önce değerlendirilmesi gerekli bir ön koşuldur.

Ölçülülük, AB Dijital COVID Sertifikalarının işlenmesinin bireylerin temel haklarındaki etkisinin gösterilmesini gerektirir; bu aşılanmamış çalışanlara işyerine girebilmek için bir PCR testi ya da antijen testi yaptırmaları gibi herhangi bir potansiyel yükümlülük getirilerek mahremiyet hakkına müdahale edilmesini de içerir. AB Dijital COVID Sertifikalarının doğrulanmasına dayanan herhangi bir işyerine zorunlu dönüş stratejisi yalnızca ilgili tüm çalışanlara tam aşılama imkânı sunulması halinde haklı görülebilir. Bu da stajyerler ya da genç çalışanlara adil olmayan bir şekilde farklı muamele yapılmadığından emin olunması ve sertifikaların gelecekteki geçerliliğinin ‘güçlendirici’ aşı dozlarının uygulanmasına bağlandığı durumların da dikkate alınmasını gerekmektedir.

Doğrulamanın nasıl yapıldığına bağlı olarak (örn. manuel olarak kontrol edilmesi yahut kişisel veri içeren QR kodların kaydedilmesi), sertifikalar gizli bilgileri ifşa edebilir ve bir kişinin aşı olıp olmadığı hakkında çıkarım yapılmasına izin verebilir. Bu da aşılamanın gönüllü niteliğini zayıflatabilir ve çalışanların damgalanması ile işyerinde ayrımcılığa uğramasına yol açabilir.

Bu nedenlerle AB Dijital COVID Sertifikalarının, AB Kurumlarına dönüş kapsamında hukuka uygun bir şekilde kullanılması, mahremiyete daha az müdahale eden alternatiflerin değerlendirilmesinden sonra ve katı şekilde tanımlanmış parametreler dikkate alınarak düşünülmelidir.

  • AB Dijital COVID Sertifikaları ve Otomatik Bireysel Karar Alma

AB Dijital COVID Sertifikasının fiili olarak uygulanma şekline bağlı olarak Tüzüğün 24’üncü maddesinde düzenlenen otomatik bir bireysel karar alma söz konusu olabilir. Örneğin işyerine girişleri otomatik olarak süzmek için QR Kod taramasını içeren dijital bir doğrulama varsa böyle bir durum söz konusu olabilir.

Bu, bireyler üzerinde hukuki etkiye benzer şekilde büyük bir etki doğuran otomatik karar alma süreci olarak nitelendirilebilir. Bu noktada belirtmek gerekir ki 24’üncü madde dahil olmak üzere Birlik Hukukunda, işyeri ve sağlığı güvenliği amacıyla tamamen otomatik bir sürece dayanarak işyerine girişlere izin veren ya da yasaklayan bir düzenleme bulunmamaktadır. Buna karşılık Tüzüğün 10(2)(a) maddesine göre, tam otomatik doğrulama sistemi yalnızca ilgili kişinin açık rızasına dayanıyorsa hukuka uygun olabilir. Dolayısıyla genellikle istihdam ilişkisi bağlamında verilen bir açık rızanın geçerli olmadığı ve kural olarak bu durumda da geçerli olamayacağı dikkate alındığında, AB Kurumları işyerine girişlere izin vermek için QR kod taramasına bağlı tam otomatik sistemleri kullanmamalıdır.

Böyle bir durumda yalnızca otomatik karar alma süreçlerine dayanılmamalı, sürece anlamlı bir insan müdahalesi dahil edilmelidir. Anlamlı insan müdahalesi, yetkili ve görevli bir kişinin doğrulama sürecine katılması ve belirli durumlarda alınan kararlara müdahale edebilmesi (kararı geçersiz kılması ya da ilgili kişiye yol göstermesi gibi) demektir. Mesela çalışanlardan birisi otomatik okumada bir hata olduğunu iddia ediyorsa, bu karara bir müdahale söz konusu olabilmelidir.

  • AB Dijital COVID Sertifikalarının İşlenmesinin İşletmesel Yönleri

AB Dijital COVID Sertifikalarının işlenmesi hukuka uygunluk, gereklilik ve ölçülülük eşiklerini karşıladığında, Tüzüğün 10’uncu maddesinde öngörüldüğü gibi belirli ve ölçülü güvenlik önlemleri de alınmalıdır.

AB Kurumları Tüzüğün 39’uncu maddesinde öngörüldüğü gibi işlemenin her adımında riskleri belirlemek ve risk azaltan tedbirleri alabilmek adına bir veri koruma etki değerlendirmesi yapıp yapmamayı değerlendirmelidir. Bir çalışanın işyerine girmesine izin vermek için dijital doğrulama yapılması, Tüzüğün 39(3)(b) hükmü çerçevesinde büyük miktarda özel nitelikte kişisel veri işlemek anlamında geldiğinden bu durum şüphesiz ki veri koruma etki değerlendirmesi yapılmasını gerektirir.

En az miktarda veri işlendiğinden ve mahremiyet dostu teknolojiler kullanıldığından emin olunarak, Tüzüğün 27’inci maddesindeki tasarımda ve varsayılan olarak veri koruma ilkeleri uygulanmalıdır.

Özellikle doğrulama süreçlerinde, veri minimizasyonu ilkesine uygun olarak kişisel verinin kaydedilmesi ve saklanmasından kaçınılması öngörülmelidir. İşlem doğrulama ile sınırlı olmalı ve bir kez doğrulama yapıldığında doğrulamanın teknik izi kalmamalıdır.

Sertifikaların kullanılması belirlenen amaçla sınırlı olmalı (örn işyerine giriş taraması) ve veri, ilk toplama amacı ile uyumlu olmayan bir amaçla kullanılmamalıdır. Kanunda aksi öngörülmediği sürece, veri başka bir AB Kurumuna ya da harici alıcıya aktarılmamalıdır.

Şeffaflık ilkesine ve Tüzüğün 3’üncü bölümünde yer alan hükümlere uygun olarak, işyerine dönüş tedbirleri kapsamında AB Dijital COVID Sertifikalarının kullanılması niyeti hakkında çalışanlar ya da çalışan olmayanlar, önceden bilgilendirilmelidir. Doğrulamanın nasıl çalışacağı, hangi verilerin işleneceği, bu verilere kimin erişeceği ve bu işleme sürecine dair soru ve itirazların nereye yapılacağı konusunda bilgilendirme yapılmalıdır.

Ayrıca ilgili kişiler, orijinal sertifikada yer alan bilgiler güncelliğini ya da doğruluğu kaybettiğinde yeni sertifika düzenlenmesi konusunda talepte bulunabilecekleri noktasında da bilgilendirilmelidir.

  • AB Dijital COVID Sertifikalarının AB Kurumları Tarafından Rıza Temelli İşlenmesinin Kolaylaştırılmasına Dair Ek Açıklamalar

AB Kurumları veri odaklı işyerine dönüş stratejilerini desteklemek adına bireylerin sağlık verilerini işlerken ilgili kişilerin rızasını hukuki temel olarak kullanıp kullanamayacaklarını araştırabilirler. EDPS, AB Kurumlarına rızanın özgürce verilip verilmediğini çok dikkatli bir şekilde değerlendirmelerini tavsiye etmektedir. Bu ise, istihdam ilişkisi konseptinde ulaşılması zor bir hedeftir. Şayet çalışan, kendisinden talep edilen rızayı vermeyi hiçbir şekilde reddedemiyor ise artık Tüzüğün 5(1)(d) maddesi gereğince rızasını özgürce vermiş sayılmaz.

Rızanın özgürce verilmesi gerekliliği göz önüne alındığında, AB Kurumları sağlık verilerini QR Kod içinde, yakın alan iletişimi (NFC) etiketleri ya da mahremiyet arttırıcı teknolojilerin kullanılmasına izin veren ve idari ve teknik tedbirlerin tamamlayıcısı gibi olan diğer taşıyıcılar içinde şifrelenmiş bir şekilde işleyebilirler.

En iyisi, açık rızaya dayalı işlenen sağlık verileri saklanmamalı ya da aktarılmamalı, derhal kümelenmeli ve/veya anonimleştirilmelidir.

  1. NİHAİ AÇIKLAMALAR

COVID aşılamasının AB’de gönüllü olması ve AB Dijital COVID Sertifikalarının kullanımına halel getirmeksizin EDPS, AB Kurumlarının bireylerden aşılanma durumlarını gösteren kanıt istemesinin hukuki bir temeli olmadığını düşünmektedir. Ancak AB Kurumları işyeri risk değerlendirmelerini desteklemek adına kümelenmiş, anonimleştirilmiş verileri toplayabilirler. Bu daha fazla müdahaleci adımlar atmadan önce değerlendirilmesi gereken ilk adımdır.

EDPS, bireylerin özel yaşamı ve verilerin korunmasına dair temel haklarına müdahale edilmesini meşrulaştırmak adına dikkatli bir gereklilik ve ölçülülük değerlendirmesi yapılması gerektiğini hatırlatmaktadır.

Antijen testleri ile ilgili verilerin işlenmesi yalnızca, çalışanların çalıştığı işyeri ortamı nedeniyle daha az müdahaleci önlemlerin alınmasının imkansız olduğu durumlardaki özel istihdam koşullarında meşrulaştırılabilir.

İşyerinde AB Dijital COVID Sertifikalarının işlenmesi yalnızca diğer daha az müdahale edici tedbirlerin değerlendirilmesinden elenmesinden sonra ve katı parametrelere bağlı kalınarak değerlendirilmelidir. Kullanım yalnızca olağanüstü koşulları bu işleme faaliyetinin devam etmesini haklı gösterdiği sürece ve düzenli olarak yeniden değerlendirilmek kaydıyla devam etmelidir.

Yönetici özeti için bkz.

Avrupa Veri Koruma Denetmeni – İşyerine Dönüş ve AB Kurumlarının COVID Bağışıklığı ya da Enfeksiyon Durum Taraması Rehberi – Yönetici Özeti

 

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!