Avrupa Veri Koruma Kurumu COVİD-19’un Yayılmasının Engellenmesi Bağlamında Kişisel Veri İşleme İle İlgili Görüş Verdi – 25.03.2020

Avrupa Komisyonu Teknoloji, İçerik ve İletişim Ağları Genel Müdürlüğü COVID-19 salgınının kontrol edilmesi ile Avrupa Veri Koruma Kurumu’ndan görüş talebinde bulunmuş, EDPB 25.03.2020 sunduğu cevabında şu hususlara yer vermiştir:

“COVID-19 salgının yayılmasının kontrol edilmesi ile ilgili olarak EDPB’ye danıştığınız için teşekkür ederiz. Bu husus gerçekten de büyük bir acil durum meselesidir.

Öncelikle, şu anda Avrupa’da yürürlükte olan veri koruma kurallarının ((GDPR), Regulation (EU) 2018/1725, eGizlilik Direktfi vb. ) salgınlara karşı savaşma için alınan çeşitli tedbirlere izin vermede yeterince esnek olduklarının altını çizmek isterim. COVID-19 salgınının yayılmasının takip edilmesi edilmesi gibi konularda verilerin kullanılması konusunda Bazı üye devletlerde İletişim Sağlayıcılar ile tartışmalar olduğunun farkındayım.

Acil durumun mümkün olan en verimli, etkili ve uygun yolla halledilmesi için acilen Avrupa koordineli bir yaklaşım oluşturulması çağrınızı paylaşıyor ve destekliyorum. Şu anda Avrupa seviyesinde bir eyleme geçilmesi gerektiği ihtiyacı olduğu çok açıktır.

Mektubunuzda belirttiğiniz bilgiler temelinde ve daha özel bir veri modelinin olmadığı durumlarda, değerlendirmeniz için bazı hususları aşağıda bulabilirsiniz:

• Veri Anonimleştirme

İç piyasanın istikrarını saklamak ve kriz cevabını koordine etmek amacıyla insanların hareketlerini haritalamak için yalnızca anonim verileri kullanmaya niyet ettiğiniz mektubunuzda çok açıktır. Etkin şekilde anonimleştirilmiş veriler veri krouma kurallarının çerçevesinin dışınd kalmaktadır (Anonimleştirilmiş verilere, veri koruma kurallarının uygulanmayacağı Komisyon tarafından teyit edilmiştir. 2019/1725 Sayılı regülasyonda düzenlenen Komisyon’un denetletici rolü bu durumda geçerli olmayacaktır).

Aynı zamanda, etkili bir anonimleştirme IMEI numaralarının ya da telefon numaraları gibi açık belirleyicilerin silinmesi gibi basit hususlardan daha fazlasını gerektirmektedir. Mektubunuzda, ek bir koruma sağlayacak olan veri kümelenmesinden de bahsediyorsunuz (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf).

Açık bir şekilde atıfta bulunduğunuz, (AB) 1082/2013 sayılı karar ile oluşturulmuş olan Sağlık Güvenliği Komitesinin bu durumda Üye Devletler ile bilgi alışverişinde bir ilgili bir oturumu olabileceğini anlıyorum. Komisyon, veri modelinin kullanıcıların bu analizlere olan ihtiyaçlarına cevap verebildiğinden emin olmalıdır. Dahası, Komisyon olası yanlış anlamaları önlemek için, elde edilecek veri setlerini açıkça belirlemeli ve kamuda şeffaflığı sağlamalıdır. Bilgi olması amacıyla belirlendiğinde, veri modelinin bir kopyasını benimle paylaşırsanız çok memnun olurum.

• Veri Güvenliği ve Veri Erişimi

Yukarıda bahsedildiği gibi, Komisyon tarafından elde edilecek veriler anonim olduğu ölçüde, veri koruma kurallarının kapsamı dışına çıkacaktır. Bununla birlikte Komisyon, 2017/464 numaralı kararda (https://eur-lex.europa.eu/eli/dec/2017/46/oj) belirtilen, bilgi işleyen Komisyon personelinin Personel Regülasyonları kapsamında sır saklama yükümlülüğü olması gibi bilgi güvenliği yükümlülükleri hala uygulanacaktır. Komisyon’un bilgi işlemede üçüncü kişilere güvenmesi halinde, bu üçüncü kişiler muadil güvenlik önlemlerini uygulanmalı ve katı bir sır saklama yükümlülüğü ile amacı aşan kullanım yasaklarına tabi kılınmış olmalıdır.

İletişim sağlayıcılardan veri aktarımını güvenli şekilde sağlamak için yeterli tedbirlerin uygulanmasının önemini vurgulamak isterim. Mekansal epidemiyoloji, veri koruma ve veri biliminde yetkili uzmanların sınırlı verilere erişimi de tercih edilebilir.

• Veri Saklama

Mobil operatörlerden toplanan verilerin acil durum sona erer ermez silinmesini de oldukça hoş karşılıyorum. Bu özel hizmetlerin, buözel kriz nedeniyle uygulandığının ve geçici karakterli olduğunun da açık olması gerekir. EDPS (Avrupa Veri Koruma Denetçisi) genellikle bu tür gelişmelerin acil durum geçtiğinde geri dönme imkanını içermediğinin altını sık sık çizmektedir. Bu çözümün halen sıradışı olarak kabul edilmesi gerektiğini vurgulamak isterim.

Son olarak, uygulanacak bu tedbirlerin yöntemi ve amacı konusunda kamuya tam bir şekilde şeffaflık sağlanmasının önemini hatırlatmama izin verin. Ayrıca işlenen verinin verimli bir şekilde anonimleştirilmesinin temin edilmesini sağlamak amacıyla Veri Koruma Memurunuzun (DPO) tüm sürece dahil etmenizi tavsiye ederim.

Netice olarak, veri işlemede öngörülen modellemenin herhangi bir aşamada değiştirilmesi gerektiği düşünülürse EDPB’den yeni bir görüş gerekeceğini vurgulamak isterim. EDPB, yalnızca planlara danışmanlık etmeye değil, aynı zamanda kamu için büyük bir değeri olabilecek ürün ve hizmetlerin geliştirilmesi sürecine kaynaklarını aktif olarak dahil etmeye de hazırdır.

Hizmetlerim ve ben herhangi bir sorunuz için hizmetinizdedir.

Saygılarımla

Wojciech Rafał WIEWIÓROWSKI