AVRUPA VERİ KORUMA KURULU’NDAN KORONAVİRÜS (COVID-19) SALGININDA KİŞİSEL VERİLERİN İŞLENMESİ PROSEDÜRLERİNE İLİŞKİN AÇIKLAMA

23 Mart 2020

Avrupa Veri Koruma Kurulu (“EDPB”) 20.03.2020 tarihinde, Avrupa genelinde Covid-19 virüsünün neden olduğu salgının önlenmesi amacıyla hükümetlerin, özel ve kamu kuruluşlarının aldıkları önlemler hakkında, farklı türdeki kişisel verilerin işlenmesinde gerekli önlemlerin alınmasına ilişkin bir açıklamada bulunmuştur.

Açıklamada dört ana konu başlığı üzerinden gidilerek Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) gibi kişisel verilerin korunması kurallarının, Koronavirüs salgınına karşı mücadele için alınması gereken önlemleri engellemeyeceği, ancak bu tarz istisnai durumlarda dahi veri sorumlularının kişisel verilerin korunmasını sağlamakla yükümlü oldukları belirtilmiştir.

Söz konusu başlıkların ilki; hukuka uygun veri işlemedir. Bu kapsamda GDPR’ın geniş bir perspektifinin bulunduğu, nitekim veri sorumlusu işverenlerin ve yetkili halk sağlığı otoritelerinin, halk sağlığı alanında kamu yararı söz konusu olduğunda veri sahibinin açık rızasına gerek kalmadan kişisel verilerinin salgın bağlamında işlenmesi mümkün olduğu açıklanmıştır. Bundan ayrı olarak, halk sağlığı yetkilileri gibi yetkili kamu kurum ve kuruluşları tarafından özel veri kategorileri de dahil olmak üzere kişisel verilerin işlenmesiyle ilgili olarak, GDPR’ın 6. ve 9. maddelerinin özellikle de yasal zorunluluklar çerçevesinde, kişisel verilerin hukuka uygun olarak işlenebileceğine işaret edilmiştir.

İşçi-işveren ilişkisi bağlamında ise, işverenin iş sağlığı ve güvenliğinin sağlanması yükümlülüğü veya hastalıkların kontrol altında tutulması ve diğer sağlık tehditlerinin önlenmesi gibi kamu sağlığı yükümlülükleri çerçevesinde kişisel veri işlemesi gerekli olabilecektir. 

Öte yandan telekomünikasyon verisinin (konum bilgisi gibi) hukuka uygun işlenmesi hakkında e-Gizlilik Direktifi’ni (“ePrivacy Directive”) uygulamaya alınan ulusal düzenlemeler bakımından, konum verilerinin yalnızca anonim hale getirilerek veya kişilerin açık rızasıyla operatör tarafından işlenebilmesi ilkesi öngörülmektedir.

Sadece anonimleştirilmiş verinin işlenmesinin mümkün olmadığı durumlarda ise, e-Gizlilik Direktifi’nin 15. maddesinin, Üye Devletlere ulusal güvenlik ve kamu güvenliği sebeplerine dayalı olarak gerekli yasal tedbirlerin alınabilmesi imkanı tanıdığı hatırlatılmıştır. Öte yandan, söz konusu acil durum hükmünün, demokratik toplum gereklerine uygun olarak yalnızca gerekli durumlarda, uygun ve ölçülü şekilde uygulanması gerektiği de vurgulanmıştır. Ayrıca, söz konusu veri işleme faaliyetlerinin Avrupa Adalet Divanı ve Avrupa İnsan Hakları Mahkemesi'nin yargı denetimine tabi olacağı da not düşülmüştür.

İkinci konu başlığı ise, veri koruma hukukuna egemen olan temel ilkelerdir. Bu kapsamda izlenen hedeflere ulaşmak için gerekli olan kişisel veriler, yalnızca açık olarak belirlenen amaçlarla sınırlı olarak işlenmelidir. Ayrıca, yürütülen işleme faaliyetleri şeffaf olarak yürütülmeli, ilgili kişilere toplanan kişisel verilerin muhafaza süresi ve amaçlarına açık ve anlaşılır bir şekilde bilgi verilmelidir. Kişisel verilerin yetkisiz taraflara ifşa edilmemesini sağlayan yeterli güvenlik önlemlerinin alınması ve gizlilik politikalarının benimsenmesi önem arz etmektedir.

Üçüncü konu başlığı olarak; Üye Devletlerin Covid-19 salgınının yayılmasını takip edebilmek, önleyebilmek ve hafifletebilmek için, kişilerin cep telefonlarıyla ilgili kişisel verilerini (konum bilgisinden yararlanma veyahut belirli bir alandaki kişilere telefon veya kısa mesaj yoluyla halk sağlığı mesajları gönderme gibi uygulamalar) kullanıp kullanamayacakları hususu açıklanmıştır. Bu kapsamda telekomünikasyon verisinin hukuka uygun işlenmesine ilişkin yapılan açıklamalar yinelenmiştir; kamu kurum ve kuruluşları işbu verileri ilk etapta anonim olarak işlemeye çalışmalıdır, sadece anonim verilerin işlenmesi mümkün olmadığında e-Gizlilik Direktifi gereğince kamu güvenliğinin korunması adına ölçülü yasal tedbirler alınabilecektir. Ulaşılacak belirli amaç göz önünde bulundurularak en az müdahaleci çözümler her zaman tercih edilmelidir.

Son olarak işçi-işveren ilişkisi kapsamında, birtakım sorular cevaplanmıştır:

  • COVID-19 salgını çerçevesinde işveren, ziyaretçi ve çalışanlardan orantılılık ve veri minizasyonu ilkeleri gözetilmek şartıyla, yalnızca ulusal mevzuatın izin verdiği ölçüde, belirli sağlık verilerinin sağlanmasını isteyebilecektir.
  • İşveren, ulusal mevzuattaki iş sağlığı ve güvenliği hükümleri çerçevesinde kendilerine yüklenen bir yükümlülük bulunuyor ise, çalışanlara sağlık kontrolü (check-up) yaptırabilecektir.
  • İşverenler, iş yerindeki COVID-19 salgını vakaları hakkında çalışanları bilgilendirmeli ve koruyucu önlemleri almalıdır; ancak kişilerin veri gizliliğini ihlal edecek şekilde gerekenden fazla veri paylaşmamalıdır. Bir çalışanın salgın kapsamında hastalandığının önleyici tedbirler kapsamında, ulusal mevzuatta yer alan hukuki yükümlülük çerçevesinde diğer çalışanlara veya üçüncü kişilere açıklamasının gerektiği durumlarda, hastalanan çalışana söz konusu veri paylaşımı önceden bildirilmelidir.
  • İşverenler, ulusal mevzuat gereği kendilerine yüklenen yükümlülükler ve iş organizasyonu çerçevesinde, COVID-19 bağlamında işlenen verileri elde edilebileceklerdir.

İlgili açıklamanın İngilizce metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr