108 Sayılı Sözleşme Komitesi Başkanı Alessandra Pierucci ve Avrupa Konseyi Veri Komiseri Jean-Philippe Walter yayınladıkları ortak bir duyuru ile COVID-19 Salgını ile savaştığımız bu zamanlarda veri koruma ilkelerini hatırlattı 30.03.2020

Strazburg ,  30 March 2020

108 Sayılı Sözleşme Komitesi Başkanı Alessandra Pierucci ve Avrupa Konseyi Veri Komiseri Jean-Philippe Walter’un Ortak Duyurusu

COVID-19 salgını (yaygın olarak bilinen adı ile Korona virüs) bireyler ve dünya genelindeki ülkeler için eşi benzeri görülmemiş tehdit ve mücadeleler ortaya çıkarmıştır. Yayılmasının durdurulması ve acı çekenlerin tedavi edilmesi ihtiyacı küresel ölçekte milletler tarafından paylaşılan önemli bir hedeftir.

Dünya Sağlık Örgütü, diğer uluslararası örgütler, hükümetler, sağlık kurumları ve personelleri ile işletmelerin virüsün daha geniş ölçekte yayılmasını önlemek, insanları kurtarmak ve toplumu korumak tarafından ortaya konulan sınırsız çabalar güçlü şekilde desteklenmelidir.

Devletler, COVID-19 salgınından doğan mahremiyet ve veri koruma hakları dahil olmak üzere Demokrasiye, hukukun üstünlüğü ve insan haklarına saygıya yönelik tehdidi ele almak zorundadır.

Yeni kontaminasyonların sayısının azaltılması çabalarında, hükümetler çoğu durumda olağanüstü hal ilan etmek dahil olmak üzere olağanüstü önlemlere başvurmak zorunda kalmıştır.

Bu ülkelerin kamu sağlığı durumları alarm vermesi belirli rejimlerin uygulanmasını gerekçelendirse de bu sınırlı süreçte birçok uluslararası (Medeni ve Siyasi Haklar Uluslararası Sözleşmesi ve Avrupa İnsan Hakları Sözleşmesi gibi) ve milli enstrümandan doğan insan hakları uygulanabilirdir ve bu hakların askıya alınamayacağı ve fakat temel hak ve özgürlüklerin özüne saygı göstermek kaydıyla durumun zorunluluklarının kesin olarak gerektirmesi halinde yalnızca kanunla sınırlandırılabileceği veya kaldırılabileceği vurgulanmalıdır.

Genel Veri Koruma İlkeleri ve Kuralları,

Veri koruma hakkına gelince, ilk olarak modernize edilmiş hali 108+ gibi, 108 Sayılı Sözleşmenin de kişisel verinin korunması için diğer temel haklar ve ilgili kamu yararı ile uyumlu ve uzlaşı içinde yüksek standartlar ortaya koyduğu dikkate alınmalıdır.

Veri korumanın hiçbir koşulda hayat kurtarmanın önünde bir engel olamayacağını ve uygulanabilir ilkelerin her zaman riskte olan yararların dengelenmesine izin verdiğini hatırlamak önemlidir.

108+ Sayılı Sözleşmesine uygun olarak, özellikle böyle zor durumlarda, veri koruma ilkelerine uyulması gerekir ve bu nedenle, ilgili kişilerin kendileri ile ilgili kişisel verilerin işlenmesinin farkında olmasını sağlar; Kişisel veri işlenmesi yalnızca gerekiyorsa ve sınırlı, belirli ve meşru amaç doğrultusunda ölçülü olarak gerçekleştirilir; İşlemeye başlamadan önce bir etki değerlendirmesi gerçekleştirilir; tasarımda gizlilik sağlanır ve sağlıkla ilgili veriler gibi özel nitelikli veriler başta olmak üzere veri güvenliğinin sağlanması için yeterli önemler alınır; ilgili kişiler sahip oldukları hakları kullanma yetkisine sahiptir.

108+ Sayılı Sözleşmede sunulan ana veri koruma ilkelerinden biri veri işlemenin ya veri ilgilisinin rızasına ya da kanunda öngörülen diğer meşru temellere dayanabileceğine dair kanunilik ilkesidir. 108+ Sayılı Sözleşmenin Açıklayıcı Raporunda açıkça ifade edildiği üzere, bu meşru temeller özellikle bireylerin hayati çıkarları için gerekli olan veri işlemeyi ve yaşamı tehdit eden salgının izlenmesi durumunda olduğu gibi kamu yararı temelinde veri işlemeyi kapsadığı not edilmelidir.

Veri koruma hakkı örneğin kamu sağlığı kurumlarının sağlık profesyonellerinin (isim ve iletişim bilgileri) listelerini FFP2 maskelerinin dağıtılması ile görevlendirilmiş kuruluşlar ile paylaşmasını önlemez. Veri koruma hakkının, veri koruma gerekliliklerinin anonim verileri kapsamadığını vurgulamakla birlikte epidemiyolojik izleme ile uyumsuz olduğu da ileri sürülemez. Sınırlandırma gerekliklerini ihlal eden kalabalıkları belirlemek veya (COVID-19 pozitif kişilerin sayısı açısından) ağır şekilde etkilenmiş alanlardan seyahat eden kişilerin hareketlerini belirlemek için kümelenmiş konum bilgilerinin kullanılmasını veri koruma gereklilikleri tarafından engellenmeyecektir.

Daha da ilerisi, 108+ Sayılı Sözleşme, kamu yararı ve bireylerin hayati çıkarlarının önemli amaçları adına bazı istisna ve sınırlamalara izin verme ihtiyacını kabul etmektedir. Yine de, bu acil durum sürecinde dahi, hukukun üstünlüğü ve temel haklara devamlı saygıyı sağlamak için ilkelerin ve hakların sınırlandırılması çok açık gerekliliklere cevap vermelidir.

108+ Sayılı Sözleşmeye (Bkz. Madde 11) göre istisnalar “kanunda öngörülecek, temel hak ve özgürlüklerin özüne saygılı olacak ve demokratik bir toplumda gerekli ve ölçülü bir tedbir teşkil edecektir.”

Kısıtlamaların uygulandığı durumlarda, bu önlemlerin yalnızca geçici olarak ve yalnızca olağanüstü hal ile açıkça sınırlı bir süre için alınması gerekir. Ayrıca, özel güvenlik önlemlerinin yerine getirilmesi ve olağanüstü hal kaldırıldıktan sonra kişisel verilere tam koruma sağlanacağına dair güvencelerin verilmesi de kritik derecede önemlidir. Bu, sağlıkla ilgili veri veya diğer özel veri kategorilerini içeren ve/veya acil durum sırasında gerçekleştirilen bireylerin izlenmesi, takip edilmesi ve bireyleri profillenmesi amaçlarıyla oluşturulan veri tabanlarına gösterilerek özel dikkat ile birlikte “normal” veri işleme rejimlerine dönüşe ilişkin olarak somut önlemler ve prosedürleri içermelidir.

Veri koruma otoriteleri bu koşullara karşı devlet otoriteleri tarafından alınnan tedbirleri dikkatlice değerlendirmeye davet edilmektedir.

Sağlıkla ilgili verinin işlenmesi

İnsan olmanın üstünlüğü ve profesyonel standartların benimsenmesinin sağlık tedavisi alanında yol gösterici değerler olması koşuluyla, sağlıkla ilgili verilerin işlenmesi, her bireyin temel hak ve özgürlüklerine, özellikle de kişisel verilerin gizliliği ve korunması haklarına saygıyı garanti eder.

CM/Rec(2019)2 sayılı tavsiye kararı, bu konude sağlıkla ilhili verilere istinaden özel yönergeler sunar. Sağlık profesyonelleri ile sağlık ve diğer sektörler arasında veri paylaşımına ilişkin hükümleri, özellikle, ilgili profesyonellerin uygulamalarına rehberlik eder.

Sağlık ve hükümet yetkilileri tarafından halkla iletişim, halkı korumak, bilgilendirmek ve tavsiyede bulunmak için bir öncelik olarak kalmalıdır. Bununla birlikte, bu tür iletişim sırasında, belirli kişilerin hassas verilerinin (sağlıkla ilgili veriler gibi) yayınlanmasından kaçınılmalıdır ve bu verilerin işlenmesinin ancak, hassas olmayan verilere uygulananları tamamlayan ek teknik ve organizasyonel önlemler alınması durumunda yapılması önerilir.

Geniş Çaplı Veri İşleme

Büyük veri ve veri tabanları oluşturulduğundan, büyük veri veya yapay zeka gibi veri işleme teknik ve teknolojilerinin faydalarını tutarak, bu veriler bu gibi ortamlarda insan onuruna ve veri korumasına saygı gösterecek şekilde işlenmelidir. Büyük Veri ve Yapay Zeka bağlamında 108 Sayılı Sözleşme Komitesi tarafından geliştirilen ilgili rehber, geliştiriciler gibi hükümetler için de bireyler ya da bireylerden oluşan grupların ayrımcılığı dahil olmak üzere gönüllü kötüye kullanma veya istenmeyen olumsuz sonuçlara karşı koruyan bir şekilde bu işlemeye şekillendirme adına yararlı bir araç olabilir.

Matematiksel analiz veya YZ çözümlerinin şeffaflığı ve “açılanabilirliği”, ihtiyati bir yaklaşım ve bir risk yönetim stratejisi (anonimleştirilmiş verinin yeniden belirlenebilirleşmesi riski dahil), veri kalitesi ve minimizasyonu odaklanma ve bazı kilit noktalarda insan gözetiminin rolü COVID-19’a karşı savaşta yenilikçi çözümşeri geliştirilmesinde değerlendirilmelidir.

İşverenler tarafından veri işlenmesi

İşverenler, kamuyu ve personellerini korurken işlerini veya faaliyetlerini sürdürmede zorluklarla karşı karşıya kalmaktadır, çoğu zaman çalışanlarını uzaktan çalıştırmaktalar. Ancak bu uygulama, video araçları da dahil olmak üzere çalışanların izlenmesine yol açmamalıdır; iş ve çalışma koşullarını organize ederken müdahaleci olmayan önlemler düşünülmelidir.

Belirtilen durumlarda, işverenler kişisel ya da genellikler işlemedikleri (sağlıkla ilgili veriler gibi) özel nitelikli veri işleyebilirler; bu nedenle veri işlerken şunları hatırlarında tutmalıdırlar, gereklilik, ölçülülük ve hesap verilebilirlik ilkesine uymalıdırlar. Ve istihdam kapsamında kişisel verilerin işlenmesi hakkında CM/Rec(2015)5 sayılı tavsiye kararında detaylandırıldığı şekilde işçilerin başta mahremiyet hakları olmak üzere temel hak ve özgürlüklerine zarar verebilecek herhangi bir riski en aza indirmek etmek için tasarlanan ilkeler tarafından yönlendirilmelidir. Özellikle, yotansiyel olara virüse maruz kalmış potansiyel çalışanları belirleme ihtiyacının ötesinde kişisel veri işlememelidir.

Şayet işverenşerin, kanundan kaynaklanan bir nedenle kamu sağlığı nedeniyle belirli verileri devlet yetkililerine açıklamaları gerekirse, olağanüstü rejim artık uygulanabilir olmadığında “normal” işlemeye dönebilmek için (kalıcı silme dahil) gerekli tedbirlerin alınması perspektifi ile birlikte dayanak hukuki zemine sıkı sıkıya uymaya davet edilmektedirler.

Mobil, bilgisayar verileri

Telekomünikasyon şirketleri, çevrimiçi platformlar ve internet servis sağlayıcıları da COVID-19’un yayılmasına karşı aktif bir şekilde savaşmaktadırlar ve salgının gözetlenmesine oldukça katkı sağlayabilmek amacıyla muhtemelen enfekte olmuş kişilerin konumunu belirleyebilmek için abone verileri, toplandıkları kişisel bilgiler ve mekan verilerinin analizi dahil olmak üzere diğer türdeki verilerini kamu yetkilileri ile paylaşmaları gerekmektedir. Benzer şekilde, özel ve kamu kurumları salgının gözetlenmesi için BT çözümleri geliştirebilirler.

Geniş çaplı kişisel veri işlemesi yalnızca bilimsel kanıt temelinde, doğruluğu da dahil olmak üzere daha az müdahaleci olabilecek diğer alternatif çözümlerin faydalarını geçersiz kıldığı ölçüde dijital salgın gözetlemesi (örn. temas takibi) gibi muhtemel kamu sağlığı yararı temelinde gerçekleştirilebilir.

Bu tür gözetlemelerin geliştirilmesi, öncelikle hedeflenen veri işlemenin veri ilgililerinin temel hak ve özgürlüklerine olası etkilerinin değerlendirilmesi temeline dayanmalıdır ve bu kişilerin temel hak ve özgürlüklerine müdahaleyi riskini önleyecek ya da en aza indirecek bir tavır içinde olacak şekilde veri işleme tasarlanmalıdır.

İhtiyatilik ve ölçülülük ilkeleri ışığında, şu anda klinik denemelerde test edilen çeşitli ilaç tedavilerinde olduğu gibi çeşitli “sandbox”ların ön testleri de ayrıca tavsiye edilmektedir.

Virüsün yayılmasına dair gerçek zamanlı bilgiler, virüsü izole etmek için etkili olsa da, her zaman en az müdahalesi çözümlerin tercih edilmesi gerektiği vurgulanmalıdır.

Eğitim sistemlerinde veri işleme

Okullar ve üniversiteler, kendilerini izole etme mücadelesi ile yüzleşen profesör ve öğretmenler ile birlikte uzaktan eğitim becerileri ve kaynaklarını arttırmada bütün olası çabaları ortaya koyuyorlar. Eğitim işlerinin devamlılığını sağlamayı hedefleyen teknik çözümleri değerlendirirken, örneğin varsayılan ayarlarına dayanan veri koruma odaklı standart konfigürasyonlar tercih edilmelidir, böylece uygulama ve yazılımların kullanımı (varsayılan olarak /başlangıçtan itibaren veri koruma) veri ilgililerinin haklarını ihlal etmez ve eğitimim devamlılığının sağlanması yönündeki meşru amacına ulaşmak için gerekenden daha falza veri işlemekten kaçınılır.

Uygun bir temelin seçilmesi (gerektiğinde ebeveynler ya da yasal temsilcilerin onayı dahil) de ve bu ebeveynlerin çocuklarının verilerinin işlenmesinde maksimum şeffaflığında sağlanmasından faydalanmaları da büyük önem taşımaktadır.

Şu anda 108 Sayılı Sözleşme Komitesi tarafından detaylandırılmakta olan eğitim konseptinde veri işlemeye ilişkin olarak ek rehber uygulamacılar ve karar vericilere hizmet edecektir.

* *

*

İnsanlar bu zor ve tehdit edici zamanlarla yüzleşirken, durum hızla gelişirken ve hükümetler haklarını korumak için gereken tedbirleri alırken, bunu uzun dönemde toplumları daha büyük risklere koymaktan yapmalıdırlar.

Hukukun üstünlüğü, insan hakları ve özgürlüğe tam bir saygı içerisinde tam bir birlik ve beraberlikle bu eşi benzeri görülmemiş durumun üzerinden geleceğiz.