KOBİ’LERİN AR-GE, İNOVASYON VE YATIRIM STRATEJİLERİNİ BELİRLEMELERİ İÇİN ÖNERİLER – BÖLÜM 3
6 Nisan 2020COVID-19 ÖNLEMLERİ VE AVRUPA VERİ KORUMA HUKUKU UYGULAMALARI – BÖLÜM 2
6 Nisan 20201-EDPB (Avrupa Veri Koruma Kurulu)
EDPB Başkanı Andrea Jelinek, GDPR ve bununla sınırlı olmamak kaydıyla diğer veri koruma kurallarının COVID-10 salgınına karşı mücadelede alınan önlemleri engellemediğini ancak böylesi istisnai durumlarda kişisel verilerin korunması hususuna dikkat edilmesi gerektiğini ifade etmiştir. Nitekim GDPR, işverenin ve yetkili halk sağlığı otoritelerinin, veri sahibinin rızasının alınmasına gerek olmaksızın kişisel veri işlenmesini mümkün kılan hükümler içermektedir. Ancak bu istisna kişisel verilerin işlenmesinin halk sağlığı ile ilgili olarak kamu yararı amacıyla, hayati çıkarları korumak adına veya başka bir yasal zorunluluğu yerine getirmek için işverenler için gerekli olduğunda geçerlidir.
Bu süreçte mobil konum verilerinin işlenmesi hususuna açıklık getirilmiştir. EDPB konum verilerinin yalnızca anonim hale getirildiğine veya kişilerin açık rızasının alınması halinde işlenebileceği kuralının altını çizerek, anonim hale getirilen verilerin işlenmesinin mümkün olmadığı durumlarda e-Gizlilik Yönetmeliği’nin 15. maddesi uyarınca, kamu otoriteleri ulusal güvenlik ve kamu güvenliği için gerekli tedbirleri alabilecektir. Söz konusu acil durum tedbirleri demokratik bir toplumda gerekli, uygun ve orantılı olmaları koşulu ile uygulanabilecektir.
EDPB’nin bildirisine buradan ulaşabilirsiniz.
2-Ulusal Veri Koruma Otoriteleri
GARANTE (İtalya Veri Koruma Otoritesi)
GARANTE de benzer şekilde işverenlerin çalışanlar hakkında aktif olarak sağlık bilgileri toplamasını veya çalışanın iş dışında yaptığı seyahat hakkında bilgi toplamasını yasaklamaktadır. Ancak çalışan için sağlık riskinin daha yüksek olduğu durumlar için (örneğin yüksek riskli bir çalışma ortamı nedeniyle) bir istisna söz konusudur. Bu gibi durumlarda, işveren sağlık kontrollerinin yapılması için işyeri hekimine yetki verebilecektir. Daha detaylı bilgi için GARANTE tarafından yayınlanan ilkelere buradan ulaşabilirsiniz.
AEPD (İspanya Veri Koruma Otoritesi)
AEPD, bildirisinde COVID-19 virüsünün yayılmasını önleme çabaları bağlamında kişisel verileri işleyen şirketlerin GDPR, İspanyol Veri Koruma Yasası ve İspanyol sağlık mevzuatına uyması gerektiğini belirtmektedir. Bu bağlamda; kişisel verilerin işlenmesi için GDPR ile düzenlenen hukuki sebeplerden birine dayanılması ve veri minimizasyonu ilkesine riayet edilmesi gerekliliğine dikkat çekilmektedir.
CNIL (Fransa Bilişim ve Özgürlükler Ulusal Komisyonu)
Fransız Veri Koruma Otoritesi olarak da bilinen CNIL, internet sitesi üzerinden yayınladığı 06.03.2020 tarihli duyuruda, COVID-19 salgını sürecinde işverenlerin çalışanlarının sağlık verilerini aktif olarak toplamaması gerektiğini vurgulamıştır. CNIL aktif olarak veri toplamama hususunu da netleştirerek kurum ve kuruluşlara çalışanlarının ve/veya ziyaretçilerinin vücut ısısı bilgilerinin toplanmaması gerektiğini bildirmiştir.
Bununla birlikte CNIL, işverenlerin işyerindeki COVID-19 vakalarını ilgili sağlık otoritelerine bildirmeleri haklarını saklı tutarak, bir işverenin, çalışanları arasında COVID-19 vakası olduğu konusunda uyarılması halinde (i) virüse maruz kaldığından şüphelenilen kişinin kimliği ve (ii) alınan örgütsel önlemleri (izolasyon, uzaktan çalışma, işyeri doktoru ile temas ve sair uygulamalar) kayıt altına almasının mümkün olacağını belirtmiştir.
DANISH DPA (Danimarka Veri Koruma Otoritesi)
Danimarka Veri Koruma Otoritesi, bazı durumlarda kişisel verilerin (özel nitelikli kişisel veriler de dahil olmak üzere) toplanabileceğini ve paylaşılabileceğini kabul etmekle birlikte, bu işleme işlemenin yasal (meşru) ve ölçülü olup olmadığının değerlendirilmesinin önemini vurgulamaktadır.
Bu sebeple Danimarka Veri Otoritesi işverenlere (i) kişisel veri toplama ve paylaşma işlemlerinin haklı bir nedene dayanıp dayanmadığı, (ii) toplanan kişisel verilerin gerekli olup olmadığı ve daha az veri ile sonuca ulaşmanın mümkün olup olmadığı ve (iii) isim bilgisine (örneğin enfekte olan ve/veya karantina altına alınan kişinin adı) yer verilmesinin gerekli olup olmadığı hususlarının göz önünde bulundurulması gerektiğini ifade etmiştir.
Metnin tamamı için tıklayınız.
NAIH (Macaristan Veri Koruma Otoritesi)
NAIH, işverenlerin olası bir COVID-19 vakası riski durumunda çalışanların durumu raporlaması konusunda teşvik edilmesi gerektiğini belirtmiştir. Çalışan tarafından sağlanan bilgiler doğrultusunda şüpheli bir durumun mevcut olduğu kanısına varılması halinde işveren çalışanlardan seyahat noktaları ve tarihleri ile enfekte kişilerle bağlantılar da dahil olmak üzere belirli bilgileri içeren anketleri doldurmasını isteyebilecektir.
Ancak NHIL işverenleri çalışanın tıbbi geçmişi veya herhangi bir tıbbi dokümantasyonu hakkında bilgi toplamaması gerektiği konusunda uyarmaktadır. Ayrıca işverenlerin çalışanlarını genel ve sistematik bir şekilde tıbbi kontrole (örneğin vücut sıcaklığının ölçülmesi) tabi tutamayacağı da belirtilmiştir. Detaylı bilgiye buradan ulaşabilirsiniz.
DPC (İrlanda Veri Koruma Komisyonu)
DPC, COVID-19 salgını ile ilgili olarak internet sitesi üzerinden yayınladığı duyuruda sağlık verileri de dahil olmak üzere kişisel verilerin işlenmesini gerektiren salgın önlemlerinin gerekli ve orantılı olması gerektiğini belirtmektedir.
DPC bu süreçte kurum ve kuruluşlarla dikkat edilmesi gereken bazı yükümlülüklere dikkat çekmektedir:
- Yasaya Uygunluk (GDPR md. 6 ve 9 ile özel nitelikli kişisel veriler de dahil olmak üzere kişisel verilerin işlenmesi için bir dizi yasal dayanak düzenlemiş olup kişisel veri işleme faaliyetlerinin bu hukuki sebeplere dayanıyor olması gerekmektedir.)
- Şeffaflık (Kişisel verileri işleyen kuruluşlar, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı da dahil olmak üzere uyguladıkları önlemler konusunda şeffaf olmalıdır. İlgili kişilere kişisel verilerinin kısa, kolay erişilebilir, anlaşılması kolay, açık ve sade bir biçimde konu hakkında bilgi sağlanması beklenmektedir.)
- Gizlilik (COVID-19’un yayılmasını önleme bağlamında gerçekleşecek veri işleme faaliyetlerinin verilerin güvenliğini sağlayacak şekilde gerçekleştirilmesi gerekmekte olup etkilenen bireylerin kimliği, açık bir gerekçe olmaksızın herhangi bir üçüncü taraf ile paylaşılmamalıdır.)
- Veri Minimizasyonu (COVID-19’un yayılmasını önlemek adına alınan önlemler kapsamında sadece gerekli olan minimum miktarda veri işlenmelidir.)
- Hesap Verebilirlik
DPC bir işverenin, tüm personelin ve ziyaretçilerin virüsten etkilenen ülkelerle ilgili son seyahat geçmişleri ve ateş, yüksek sıcaklık, vb belirtileri gibi bilgilerinin öğrenilmesi adına anket doldurtup doldurtamayacağı sorusuna aşağıdaki gibi cevap vermiştir:
“İşverenlerin, çalışanlarının sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal bir yükümlülüğü vardır. Bu bağlamda ve mevcut koşullarda, işverenler, çalışanlardan ve ziyaretçilerden riskli bir bölgeyi ziyaret edip etmedikleri ve/veya hastalık belirtileri gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini isteyebileceklerdir. Ancak anket doldurmak gibi daha katı gerekliliklerin uygulanmasının, gereklilik ve orantılılığa ve mevcut riskin değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu gerekçe belirlenirken görev sırasında yapılan seyahatler, işyerinde hastalığa karşı savunmasız olabilecek kişiler ve halk sağlığı yetkililerinin herhangi bir talimatı veya rehberliği gibi faktörlerin dikkate alınması gerekmektedir.”
DPC bir çalışanın enfekte olduğu bilgisinin diğer çalışanlara bildirilip bildirilemeyeceği hususunu da şöyle açıklamaktadır: “Çalışanların kişisel verilerinin gizliliğini korumak amacıyla bundan kaçınılmalıdır. Bu durumda işverenin çalışanlarına kuruluşta COVID-19 vakası tespit edildiğini bildirerek evden çalışmalarını önermesi yerinde olacaktır. Zira enfekte olan kişinin isminin diğer çalışanlara açıklanmaması gerekmektedir.”
DPC COVID-19 salgını ile mücadele sürecinde ilgili kişi taleplerine cevap verme sürelerinin de etkilenebileceğini duyurmuştur. Açıklamaya göre, ilgili kişilerden gelen taleplere cevap verme süreleri GDPR ile belirlenmiş ve değiştirilemez niteliğe sahip ise de COVID-19’un etkilerinin doğrudan bir sonucu olarak kaçınılmaz gecikmelerin ortaya çıkabileceği kabul edilmektedir. Taleplere cevap vermede zorluk yaşayan tüm kurum ve kuruluşların cevap verme süresinin uzatılması ve cevaplamadaki gecikmenin nedenleri de dahil olmak üzere, taleplerinin ele alınması konusunda ilgili kişilerle iletişim kurması gerekmektedir. Kaldı ki GDPR’ın taleplerin karmaşıklığını ve sayısını dikkate alarak, gerektiğinde bir talebe cevap vermenin iki ay uzatılabileceğine dair hüküm içerdiği de hatırlatılmaktadır.
Bir diğer çözüm olarak da taleplere aşamalı olarak cevap verilmesi önerilmektedir. Örneğin, personeli uzaktan çalışan bir kuruluş, basılı kopya kayıtlarına erişmekte zorlanabilir. Bu durumda, talep sahibine daha sonraki bir aşamada basılı kopyaların sağlanması koşulu ile elektronik kayıtlar sağlanması söz konusu olabilecektir. Nitekim DPC önüne bu konuda herhangi bir şikayet gitmesi halinde somut duruma özgü koşulların da dikkate alınacağı ancak hesap verebilirlik ve şeffaflık ilkelerine riayet edilmesi amacıyla cevap verme süresinin aşılması sebeplerinin ilgili kuruluş tarafından belgelenebiliyor ve ilgili kişiye bildiriliyor olması gerekmektedir.
AVRUPA BİRLİĞİ DIŞINDAKİ ÜLKE UYGULAMALARI
1-PDPC (Singapur Veri Koruma Otoritesi)
Kuruluşların COVID-19 salgını sürecinde ziyaretçilerin kişisel verilerini toplayabileceğini, kullanabileceğini ve paylaşabileceğini vurgulamıştır. PDPC ayrıca, kişisel verileri toplayan kuruluşların, sahip oldukları kişisel verileri yetkisiz erişim ve(veya ifşadan korumak için makul güvenlik önlemlerini almak, kişisel verilerin rızası olmadan kullanılmamasını sağlamak, verilerin toplama amacı dışında kullanılmasını önlemek ve işleme amacının sona ermesi halinde ilgili verileri silmek gibi yükümlülüklerin yerine getirilmesi gerektiğini belirtmektedir. PDPC tarafından yayınlanan açıklamanın tamamına buradan ulaşabilirsiniz.
2-NPC (Flipinler Veri Koruma Otoritesi)
NPC ilk olarak bireylerin kişisel verilerinin korunması hakkı ile kamu sağlığı arasında bir denge kurulması gerektiğine vurgu yapmaktadır.
Bu kapsamda Sağlık Bakanlığı’nın vakaların tespiti ve halkın bu konuda bilgilendirilmesi sürecinde paylaşılacak kişisel verilerin belirlenmesinde dikkat etmesi gereken bazı noktalar olduğu belirtilmiştir. Buna göre; kişisel veri ifşası halinde ilgili kişinin (hastanın) görmesi muhtemel zararlar, bilgilerin paylaşılmaması halinde halk nezdinde oluşması muhtemel zararlar ve bilgilerin paylaşılmasının halka yararının olup olmayacağı hususlarının birlikte değerlendirilmesi gerekmektedir. Benzer şekilde halkın ve medyanın da kişisel verilerin açıklanması sürecinde, veri gizliliği bakımından ihtiyatlı davranması gerektiği ifade edilmektedir. NPC’nin duyurusuna buradan ulaşabilirsiniz.
3-PC of New Zeland (Yeni Zelanda Gizlilik Komiseri Ofisi)
PC açıklamasında, yerel sağlık mevzuatı uyarınca sağlık görevlilerinin, bireyleri ve kurumları, halk sağlığı riski oluşturan bireyler hakkında bilgi vermeye yönlendirebileceğini belirten PC, etkinlik organizatörlerinin etkinliğe katılan bireyler arasında bildirilmesi gereken bir vakaya rastlamaları halinde durumu yetkili sağlık kuruluşlarına bildirmeleri gerektiğini ifade etmiştir. Nitekim doğrulanmış bir COVID-19 vakasının olması halinde diğer katılımcıların iletişim bilgilerinin de yetkili sağlık kuruluşu ile paylaşılmasını, sağlık kuruluşunun enfekte hasta ile temas halinde olan diğer kişilerin bilgilendirilmesinden sorumlu (aynı zamanda yetkili) olduğu belirtilmektedir.
Yurtdışı seyahatinden dönen bir çalışanın işverenine danışarak önlem amacıyla kendini karantinaya alması halinde, ilgili personelin ve durumunun diğer personeller ile paylaşılmaması gerektiği de vurgulanmaktadır.
Enfekte olmuş bir personel ile birlikte çalışan diğer personellerin hastalık durumundan haberdar edilerek hastalık belirtilerinin incelenmesi konusunda uyarılmaları mümkündür. Ancak enfekte personelin kim olduğunun açıklanması zaruri bir hal değil ise, hasta bilgisinin paylaşılmaması önerilmektedir. Örneğin, küçük bir ofis söz konusu ise hasta olan kişinin bilgilerinin gizlenmesi pek de olası kabul edilmemektedir. Fakat unutulmamalıdır ki, bir işveren çalışanının iş görememe sebebini açıklama konusunda takdir yetkisine sahiptir ve açıklanacak bilgiler bakımından ihtiyatlı davranma yükümlülüğü altındadır.