Avrupa Veri Koruma Kurulu (EDPB), 19 Mart 2020 tarihinde kişisel verilerin COVID-19 salgını kapsamında işlenmesi hakkında bir açıklama yayınladı. Kurul açıklamasında, hükümetlerin yanı sıra kamu sektörü ve özel sektörün de salgını kontrol altına almak için çeşitli önlemler aldığını belirterek, bu önlemlerin çeşitli kişisel verilerin işlenmesini de ihtiva ettiğini belirtti.
GDPR’ın küresel çapta bir salgına dönüşen koronavirüse karşı verilen savaşta alınan önlemlerin önünde bir engel teşkil etmediği belirtildi. Ancak Kurul, bu tarz istisnai dönemlerde dahi veri sorumluları ve veri işleyenlerin ilgili kişilerin kişisel verilerinin korunmasını temin etmeleri gerektiğinin altını çizdi.
Veri İşlemenin Yasallığı: GDPR yetkili kamu sağlığı kurumlarının ve işverenlerin tabi oldukları iç hukuk uyarınca salgın dönemlerinde kişisel veri işlemelerine olanak tanımaktadır. Örneğin, halk sağlığı alanındaki temel bir kamu menfaatini korumak amacıyla kişisel veri işlemenin gerekli olması durumunda ilgili kişilerin açık rızalarının alınmasına gerek duyulmamaktadır.
Dolayısıyla kamu kurumları, tabi oldukları ülke hukuku uyarınca özel nitelikli olanlar da dâhil olmak üzere kişisel verileri GDPR’da yer alan kişisel veri işleme şartlarına uygun olarak işleyebileceklerdir.
İşçi-işveren ilişkisi bakımından olaya bakıldığında ise, işyeri sağlığı ve güvenliğine ilişkin mevzuat ve salgının kontrol altına alınmasına dayanan kamu menfaati uyarınca işverenin kişisel veri işlemesi gerekli olabilir. Bunun yanı sıra GDPR, özel nitelikli kişisel verilerin işlenebilmesine şu gerekçelerin varlığı halinde izin vermektedir:
Veri işleme faaliyetinin halk sağlığı alanındaki temel bir kamu menfaatine yönelik olması,
İlgili kişilerin hayati düzeydeki menfaatlerinin korunmasına yönelik olması (ki GDPR’ın gerekçesinde açıkça salgının kontrol altına alınması amacına atıf yapılmış)
Üyelik veya ilgili ülke hukukuna dayanması
Telekomünikasyon, özellikle de lokasyon, verilerine ilişkin olarak ise e-Gizlilik Direktifi’ni uygulayan iç hukuk kurallarına uyulması gerektiğin üzerinde durulmuştur. Kural olarak, lokasyon verilerinin ancak operatör tarafından anonimleştirildiği durumlarda veya ilgili kişinin açık rızasının alınması halinde kullanılabileceği ancak e-Gizlilik Direktifi’nin üye devletlere kamu güvenliğini korumak amacıyla belli istisnalar getirebilmesine izin verdiği belirtilmiştir (madde 15).
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler: Kişisel veriler belirli bir amaca yönelik olarak işlendiğinde bu amaç belirli ve açık olmalıdır. Ayrıca ilgili kişiler, kişisel veri işleme faaliyetine ilişkin olarak uygun yollarla bilgilendirilmelidir. Kişisel verilerin güvenliğine ve gizliliğine ilişkin olarak gerekli her türlü tedbir alınmalıdır. Bu bağlamda, içinde bulunulan olağanüstü durumun yönetilmesine yönelik olarak alınan ve kişisel verilerin işlenmesini içeren her türlü tedbirin ayrıca uygun bir şekilde kayıt altına alınması gerektiği üzerinde durulmuştur.
Mobil Lokasyon Verisinin Kullanılması: Bazı üye devletlerin; bireylerin konumlarını belirlemek veya belirli bir bölgede bulunan kişilerin telefonlarına kamu sağlığı mesajları göndermek suretiyle COVID-19 salgınını gözlemleme, etkisini azaltma ve ortadan kaldırma amacıyla bireylerin mobil konum verilerini kullandıkları anlaşılmaktadır. Ancak Kurul, bu hallerde kamu kurumlarının, konum bilgilerini öncelikle anonim olarak işlemesi gerektiğini belirtmektedir. Böylelikle, belirli bölgede bulunan mobil cihazlardan alınan verilere dayanarak çeşitli raporlar oluşturulması mümkün olacaktır.
Ancak, konum verilerini anonim olarak işlemenin imkân dâhilinde olmaması durumunda Kurul, e-Gizlilik Direktifi’nin üye devletlere kamu güvenliğine ilişkin gerekli tedbirleri almalarına olanak sağlayan 15. Maddesini hatırlatmaktadır. Bu hallerde dahi üye devletler, bireylere gerekli güvenceleri temin eden uygulamaları yürürlüğe koymak ve en az müdahale içeren tedbirleri almak durumundadırlar.
İşçi-İşveren İlişkisi: COVID-19 salgını kapsamında işverenler, çalışanların veya ziyaretçilerin bazı sağlık bilgilerini sunmasını ancak orantılılık ve veri minimizasyonu ilkeleri çerçevesinde ve iç hukukun izin verdiği ölçüde şart koşabilir.
İşverenler, çalışanlarına yönelik sağlık kontrollerini ancak ilgili iş hukuku ve iş yeri sağlığı ve güvenliği mevzuatı çerçevesinde gerçekleştirebilir.
İşverenler ayrıca koronavirüs vakaları hakkında çalışanlarını bilgilendirmeli ve gerekli koruyucu önlemleri almalı ancak gereğinden fazla kişisel veriyi çalışanlarla paylaşmamalıdırlar. Koronavirüs testi pozitif çıkan çalışan veya çalışanların isimlerini açıklamanın önleyici tedbirler çerçevesinde gerekli olması durumunda, bu kişiler önceden bilgilendirilmeli ve onur ve itibarları korunmalıdır.
KAYNAKÇA
General Data Protection Regulation
https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_en
YAZAR
Murat Gülgün
Sami Yılmaz
Comments