Avrupa Veri Koruma Kurumu, 19.03.2020 Tarihinde Corona Virüs Salgını İle İlgili Yeni Bir Duyuru Yayınladı

Avrupa genelinde hükümetler, kamu ve özel organizasyonlar COVİD-19’u kontrol altına almak ve azaltmak için önlemler almaktadır. Bu da farklı türlerdeki kişisel verilerin işlenmesini içermektedir.

Veri koruma kuralları (GDPR gibi) corona virüs salgınına karşı verilen savaşta alınan tedbirleri engellememektedir. Bulaşıcı hastalıklara karşı savaş, tüm milletler tarafından paylaşılan değerli bir hedefdir ve olabilecek en iyi şekilde desteklenmelidir. Hastalıkların yayılmasının önlenmesi ve dünyanın büyük çoğunluğunu etkileyen bu musibete karşı savaşta modern tekniklerin kullanılması insanlığın yararınadır. Buna rağmen EDPB (Avrupa Veri Koruma Kurumu), bu istinai zamanlarda dahi veri sorumlusu ve veri işleyenlerın, veri ilgililerinin kişisel verilerininin korunmasının sağlaması gerektiğinin altını çizmektedir. Bu nedenle, kişisel verilerin hukuka işlenmesinin sağlanması için bir dizi değerlendirme göz önünde bulundurulmalı ve bu çerçevede alınan herhangi bir tedbirin hukukun genel hükümlerine uygun şekilde alınması ve geri döndürülemez olmaması gerektiği unutulmamalıdır. Olağanüstü hal, bu hal süresi ile sınırlı olmak ve ölçülü olmak kaydı ile özgürlüklerin kısıtlanmasını meşrulaştıran hukuki bir haldir.

1. İşlemenin Hukuka Uygunluğu

GDPR, çok geniş bir düzenlemenin parçasıdır ve COVID-19 ile ilgili olanlar gibi konularda kişisel verilerin işlenmesine uygulanacak olanlar da dahil olmak üzere kurallar sunmaktadır. GDPR yetkili kamu sağlığı kurumları ile işverenlerin bir salgın kapsamında, ulusal kanunlarına ve burada belirtilen koşullara uygun olarak kişisel verileri işlemesine izin verir. Örneğin, kamu sağlığı alanında, önemli bir kamu yararı için veri işlenmesinin gerekmesi. Bu durumda, bireylerin açık rızasına dayanmaya gerek yoktur.

1.1 EDPB, Yetkili bir kamu kurumu (Örn. Kamu Sağlığı Kurumları) tarafından (özellikle ulusal mevzuattan kaynaklanan hukuki zorunlulukları ve GDPR’da öngörülen şartlar kapsamında) yetkisine giren konularda özel nitelikli veriler de dahil bir kişisel verinin işlenmesinde GDPR’ın 6 ve 9. maddelerinin kişisel veri işlemesinde uygulanabileceğini değerlendirmektedir.

1.2. İstihdam bağlamında, kişisel verilerin işlenmesi iş sağlığı ve güvenliği yada hastalıkların kontrol edilmesi gibi bir kamu yararı veyahut sağlık için tehdit oluşturan sair nedenlerden doğan yasal bir zorunluluğa uyum için gerekli olabilir. GDPR ayrıca, 46. maddenin gerekçesinde açıkça atıf yapıldığı gibi bir salgının önlenmesi gibi veri ilgilisinin hayati yararını korumanın gerekmesi( md. 9.2.c.) veya Ulusal ya da Birlik Hukukuna dayalı olarak kamu sağlığı alanında kamu yararının zorunlu olması (md. 9.2.i) gibi nedenlerle ihtiyaç duyulması halinde sağlık verisi gibi özel nitelikli hassas verilerin işlenmesinin yasaklanmasının istisnalarını da öngörmüştür

1.3. Konum verisi gibi telekomünikasyon verilerinin işlenmesi ile ilgili olarak, e-gizlilik direktifine uyumlu ulusal yasalar da dikkate alınmalıdır. Kural olarak konum verileri operatör tarafından yalnızca anonimleştirilerek yahut ilgilinin açık rızasını alarak kullanılabilir. Buna karşılık e-gizlilik Direktifinin 15. Maddesi kamu güvenliğinin sağlanması için gerekli önlemlerin birlik ülkeleri tarafından alınmasını sağlar. Bu istisnai hükümler, demokratik bir toplumda gerekli, ölçülü ve uyumlu tedbirler getiriyorsa uygulama alanı bulabilecektir. Bu tedbirler Avrupa Temel İnsan Hakları Bildirgesi ile Avrupa İnsan Hakları Sözleşmesi’ne uygun olmalıdır. Ayrıca bu önlemler Avrupa İnsan Hakları Mahkemesi ile Avrupa Adalet Divanı’nın yargısal denetimine tabi olacaktır. Olağanüstü hallerde alınan bu tedbirlerin uygulanması kesinlikle olağanüstü hal süresi ile sınırlı olmalıdır.

2. Kişisel Veri İşleme İle İlgili Temel İlkeler

İzlenen hedeflere ulaşmak için gerekli olan kişisel veriler belirli ve açık amaçlar için işlenmeledir. Buna ek olarak, veri ilgilileri toplanan verilerin silinme süresi ve işleme amaçlarını içerecek şekilde işleme faaliyetlerinin yürütülmesi ve temel özellikleri hususunda şeffaf bilgi edinebilmelidir ve bu bilgiler sade ve anlaşılır bir dil ile kolayca eşiebilir şekilde sunulmalıdır.

Kişisel verilerin yetkisiz kişilere ifşa edilmemesi için gerekli güvenlik önlemleri ve gizlilik politikaları benimsenmelidir. Mevcut olağanüstü durumun yönetilmesi için alınan uygun önlemler ve bu bağlamda karar alma süreci düzgün şekilde belgelenmelidir.

3. Mobil Konum Verisinin Kullanılması

Üye Devlet Hükümetleri COVID-19’un yayılmasının gözlenmesi, kontrol altına alınması ve azaltılması için bireylerin mobil telefonları ile ilgili kişisel verileri kullanabilir mi?

Bazı Üye Devletlerde, hükümetler COVID-19’un yayılmasının izlenmesi, kontrol altına alınması ve azaltılması için olası bir yol olarak mobil konum verisinin kullanılmasını değerlendirmektedir. Bu, örneğin bireylerin coğrafi konumunu tespit edilebilmesi yahut belli bölgedeki bireylere telefon ederek ya da sms ile kamu sağlığı mesajları gönderilebilmesi anlamına gelir. Kamu kurumları öncelikle konum verilerini anonim şekilde (örn. Bireylerin yeniden belirlenmesini önleyecek şekilde toplanan verilerin işlenmesi), belirli bölgede mobil cihazların yoğunlaşmasına dayalı raporların oluşturulmasını sağlayacak (“haritacılık/kartogtafi”) şekilde işlemenin yollarını aramalıdır.

Kişisel verileri koruma kuralları düzgünce anonimleştirilmiş verilere uygulanmaz.

Yalnızca anonimleştirilmiş verinin işlenmesinin mümkün olmaması halinde, E- Gizlilik Direktifi, Üye Devletlere kamu güvenliğini sağlayacak hukuki tedbirleri almalarını sağlar (Md. 15).

Şayet tedbirler, anonimleştirilmemiş konum verilerinin işlenmesine izin verir ise, Üye Devletler, elektronik iletişim hizmetleri temin edilen bireylere bir yargı yoluna başvurma hakkı gibi yeterli koruyucu imkanları sağlamakla yükümlüdür.

Orantılılık ilkesi ayrıca uygulanacaktır. Ulaşılacak özel amaç dikkate her zaman en az müdahaleci çözümlerin tercih edilmesi gerekir.

Bireylerin izlenmesi (örn. anonimleştirilmemiş konum verilerinin tarihsel geçmişinin işlenmesi) gibi müdahaleci önlemler, istisnai koşullar altında ve işlemenin somut yöntemlerine dayalı olarak işlenmesi ölçülü oalrak değerlendirilebilir. Diğer yandan, veri koruma ilkelerine (Amaç ve süre kapsamında tedbirin orantılılığı, sınırlı veri saklanması ve amaçla sınırlama) uyulmasını sağlayacak güvence ve incelemeler sağlanmalıdır.

4. İstihdam

• İşveren, COVID-19 kapsamında işçi ya da ziyaretçilerin özel sağlık bilgilerini sunmasını isteyebilir mi?

Burada özellikle veri minimizasyonu ve ölçülülük ilkesinin uygulanması önemlidir. İşveren, yalnızca ulusal kanunlarının izin verdiği ölçüde sağlık bilgilerinin sunulmasını isteyebilir.

• Bir işveren, işçilerine sağlık kontrolleri (check-up) yapmaya izinli midir?

Cevap, işçi sağlığı ve güvenliği ile ilgili ulusal yasalarına dayanmaktadır.

İşveren yalnızca kendi yasal yükümlülükleri gerektiriyorsa sağlık verilerine erişmeli ve bu verileri işlemelidir.

• Bir işveren, bir işçisine COVID-19 bulaştığını iş arkadaşlarına ya da işyeri dışındakilere ifşa edebilir mi?

İşverenler, personelinin COVID-19 hakkında bilgilendirmeli ve koruyucu önlemleri almalıdır. Fakat gerektiğinden fazla bilgi iletmemelidir. Virüs ile etkileşime girmiş işçi(ler)nin (örn. koruyucu kapsamda) isminin açıklanmasının gerekli olduğu durumlarda ve ulusal yasalar izin verirse, ilgili işçi önceden bilgi verilecek ve onur ve dürüstlükleri korunmuş olacaktır.

• COVID-19 bağlamında işlenen hangi veriler işveren tarafından elde edilebilir?

İşverenler görevlerini yerine getirmek ve ulusal mevzuatlarına göre çalışma hattını organize etmek için kişisel bilgileri elde edebilirler.

Avrupa Veri Koruma Kurulu Adına

Başkanlık Makamı

(Andrea Jelinek)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf