European Data Protection Supervisor  “Avrupa Birliği Kurumlarının  İşyerine Dönüş ve Enfeksiyon Durumunun veya Covid Bağışıklığını Taraması Hakkında Kılavuz” yayınlamıştır.

Dünya genelinde COVID-19 sebepli kısıtlamaların büyük ölçüde kaldırılmasıyla birlikte çalışma hayatı eski yoğunluğuna dönmeye başladı. Bununla birlikte iş güvenliğinin teminin sağlanabilmesi için yeni COVID-19 önlemleri gündeme geldi. Pek çok şirket yeni politikalarında, özellikle çalışanların aşı durumları, PCR veya antikor test sonuçları talep etmek istemektedir. Bu bilgilerin özel nitelikli sağlık verisi işleme anlamına gelmesi nedeniyle, işverenlerin çalışanlarından bu bilgileri talep edip edemeyeceği açık değildi. EDPS, işyeri uygulamalarında COVID açısından örnek olabilecek “Avrupa Birliği Kurumlarının İşyerine Dönüş ve Enfeksiyon Durumunun veya Covid Bağışıklığının Taraması Hakkında Kılavuz” (“Kılavuz”) yayınlayarak bu tür karmaşıklıklar bir dereceye kadar giderilmeye çalışılmıştır.

Özel Nitelikli Sağlık Verileri  AB Kurumları Tarafından İşlenebilir Mi?

İşyerinde oluşabilecek risklerinin azaltılması için iş verenlerin uygun düzenlemeleri yapılabileceğine ilişkin düzenlemeler ulusal ve uluslararası mevzuatta yer almaktadır. Ancak COVID ile ilişkili durumlarda işverenler tarafından yapılacak düzenlemeler kişilerin özel hayatına müdahale, veri koruma hükümlerinin ihlal edilmesi ya da ayrımcılığa sebep olması ihtimalleriyle daha büyük riskler oluşturabilmektedir. EDPS Kılavuzunda, özel nitelikli sağlık verilerinin işlenmesinin hukuka uygunluğunun ve veri işlemenin kişilerin özel hayatına müdahalesinin minimize edilmesi halinde bunun yapılabileceğini söylemiştir.

Avrupa Birliği Kurumları ve Hukuki Durumları Onlara Özel Bir Statü Sağlamıyor.

Kılavuza esasen AB Kurumlarının kendi bünyelerinde COVID-19 önlemlerinin alınması için hassas nitelikli sağlık verilerinin işlenmesi faaliyetlerine açıklık getirmek için yapılmıştır. Ancak Kılavuzda özellikle AB Kurumlarının diğer kurumlara göre öncelikli veya özel bir konumda bir konumda olmadıklarını, hassas sağlık verileri açısından diğer tüm veri sorumluları gibi önce GDPR sonra da bulundukları üye devletin ulusal mevzuatı ile bağlı olduklarını belirtilmiştir.

Kılavuzda Yer Alan Hassas Sağlık Verisi Çeşitleri ve İşlenme Yöntemleri

Aşı Bilgisi İşlemesi

Kılavuz, Ziyaretçi, çalışan veya tedarikçi çalışanlarının aşılanma bilgilerinin işlenmesini ayrı ayrı değerlendirmiştir. Avrupa Birliği’nde aşılama, şimdiye kadar regülasyonlarla düzenlenen bazı sektörler dışında gönüllü olarak yapılmakta. Yani aslında neredeyse sağlık sektöründe çalışmayanlar için yasal bir zorunluluk değil. Bu nedenle Kılavuzda işveren tarafından aşı bilgisinin veya kanıtının çalışandan istenilmesi, aşılamanın gönüllü yapılmasının doğasına aykırı olduğu belirtilmektedir.

Bununla birlikte kişilerin aşı olmama veya geciktirme sebeplerinin işveren tarafından istenmesinin, ayrımcılık veya veri ihlaline sebep olabileceği belirtilmiştir. Kişiler daha büyük bir sağlık sorunu nedeniyle aşı olamıyorsa (hamilelik vb) bu sebebin belirtilmesinin, özel hayatın gizliliği açısından Avrupa İnsan Hakları Beyannamesine aykırı olabileceği belirtilmektedir.

Sonuç olarak, aşı bilgisinin toplanmasının Avrupa Birliği hukukunda açıkça dayanabileceği bir hukuki dayanağının olmadığı ve COVID aşısının zorunlu hale gelmedikçe bilginin işlenmesinin mümkün olmadığını belirtilmiştir. EDPS çalışanlardan veya ziyaretçilerden aşı bilgisinin istenilmesinden kaçınılması gerektiğini söylemektedir.

Toplu ve Anonim Aşı Bilgisinin İşlenmesi

Toplu ve anonim veri işleme yöntemlerinde, kural olarak kişilerin kişisel verileri  ile eşleşmesine izin vermediği ve veri sahiplerinin anonim kaldığı için regülasyon kapsamında değerlendirilmemektedir. Bu nedenle kılavuza göre aşı bilgisinin işlenmesi, dizayn aşamasında gizliliğe ve veri minimizasyonu ilkesine uygun olarak tasarlanmış anonim şekilde toplu veri işlemesi ile mümkün olabilir.

Açık rıza gerektirmeyen toplu ve anonim veriye ulaşmak, kişilere kuruluşa bağlı sağlık hizmeti verilmesi ile mümkün olmaktadır. Eğer kuruluşun sunduğu sağlık hizmeti dışında kişiler aşılanmış veya tedavi görmüşse, güncel verilere ulaşılabilmesi kişinin bilgilerini kendi iradesiyle kuruma teslim etmeden mümkün olmayacaktır. Kuruluş dışarıdan hizmet alan kişilerin verilerine ulaşmak için:

  • kişilerin iş arkadaşlarının aşılanma durumları hakkında tahminde bulamayacakları bir şekilde verilerinin alındığından 
  • açık ve özgürce verilmiş bir rızası bulunduğundan 
  • verilerin yalnızca işyeri hekimi tarafından işlenmesinin mümkün olduğundan koşulları sağlandığından emin olmalıdır.

Antijen Testi Yapılması ve Sonuçlarının İşlenmesi

Antijen testleri Covid hastalığının tespitini hızlı (30dk) ve ucuz şekilde sağlayan testlerdir. Ancak doğruluk yüzdesi daha düşük olan bir test sistemidir.

Genel İlkeler

Kılavuza göre, Regülasyon Art. 2 -5’e göre antijen testlerinin yapılmasının, yalnız başına  tamamen veya kısmen otomatik yöntemlerle veri işleme kategorisinde olmadığını, testlerin sonuçlarını kayıt edilmedikçe veri işleme düzenlemeleri dışında kaldığı belirtilmektedir. Ancak bu durumda da kişinin fiziksel bütünlüğüne müdahale veya çalışma alanında kısıtlamalara maruz kalması ihtimali hala var olduğundan; bu yöntem de gereklilik, orantılılık ve hukuki dayanak ilkelerine tabi olmaktadır. 

Hukuki Dayanak

Kılavuza göre Regülasyon Art. 10/ 2 antijen testi için uygun hukuki sebep olarak gösterilebilir. Ancak kılavuza göre açık rıza işyerinde antijen test sonuçlarının işlenmesi için çoğu zaman  yeterli bir hukuki dayanak değildir.

Doğruluk ve Güncellik

Antijen testlerinin çalışanlara zorunlu tutulması müdahaleci ve rahatsız edici olabilmektedir. Aynı zamanda antijen testlerinin sıklığı ve doğruluk oranlarında sapmalar göz önüne alındığında doğruluk ve güncellik ilkelerininde sağlananmama ihtamelleri bulunduğu söylenebilir.

WHO tarafından yayınlanan kılavuza atıf yapılarak antijen testleri kullanımının yüksek risk gerektiren (sağlık çalışma alanı, hapishaneler gibi) yerlerde kullanılmasının uygun olduğu belirtilmiştir. Ancak bu gibi yerler dışında kalan çalışma alanlarında test sonucunda elde edilen sağlık verilerinin gönüllülük esasına dayanarak işlenmesi söz konusu olsa bile, işveren ve çalışan güç dengesi göz önüne alındığında açık rıza hukuki sebep açısından yeterli bulunmamaktadır. Üstelik Kılavuza göre tedarikçi çalışanları için açık rıza çoğunlukla hukuki dayanak sayılmamaktadır.

Açık rızanın hukuki sebep olabilmesi için , testin işyeri dışında kimin teste gittiği anlaşılmayacak şekilde yapılması gerekmektedir.

Gereklilik ve Orantılılık

Bu gibi durumlarda, yasal dayanak, veri sahibinin temel haklarını ve çıkarlarını korumak için uygun ve özel önlemler sağlayan kurum veya organın kararına ek olmalıdır.  

Alınacak kararda , antijen testi yapılmasının gerekliliğini kanıtlamak için;

  • Spesifik ve iyi bir şekilde tanımlanmış mesleki ortamla ilgili kişisel verilerin işlenmesinin çalışanların sağlığını enfeksiyon riskine karşı korumak için gerekli olduğuna dair açık ve ikna edici bir durumu ortaya koymalıdır.
  • başvuru ve ilgili personel ve uygulanan herhangi bir testin zorunlu incelemeye tabi geçici olmasını sağlamak için bir sona erme maddesi ile uygulama için bir zaman periyodu belirtilmelidir.

Özellikle tedarikçi çalışanları söz konusu olduğunda yukarıdaki kararda belirtilen özellikler, çalışanlar ile yapılan iş sözleşmelerinde belirtilmelidir. Sözleşme ayrıca veri sahipleri üzerindeki etkiyi en aza indirmek için aşağıdakiler de dahil olmak üzere gerekli önlemleri belirlemelidir: 

  • Sonuçların kaydedilmesini sınırlayan sistem ve prosedürlerin kullanılması;  
  • Geçersiz veya olumlu sonuçlar olması durumunda açık ve adil protokoller;  
  • Sağlık verilerinin nasıl ve neden işleneceği, saklama süresi, bu verilere kimlerin erişebileceği konusunda çalışanlara ve personel olmayan kişilere eksiksiz bilgi sağlanması;  
  • İşlemenin güvenliğini ve gizliliğini sağlamak için teknik ve organizasyonel önlemler.

Avrupa Birliği Digital Sertifikası Kullanılması

Avrupa Birliği Digital Sertifikası, Avrupa Birliği’nde ikamet edenlerin, yabancıların ve Avrupa Birliği vatandaşlarının serbest dolaşımı için getirilmiş bir uygulamadır. Kılavuza göre 2021/953 sayılı regülsyonun 48. madde gerekçesine göre bu uygulamanın kullanılması için ulusal mevzuatta açıkça belirtilmiş bir hukuki sebep yer almalıdır.

EDPS, üç farklı senaryo belirleyerek her durumun hukuki sebeplerini birbirlerinden ayırmaktadır: 

  • Sertifikaları veya içerdikleri bilgileri bir dosyalama sisteminin parçası olarak sistematik olarak kaydetmek;  
  • QR kodunun taranması yöntemini  (içerdikleri verileri kaydederek veya kaydetmeden) içeren sertifikaların dijital doğrulamasını uygulamaya koymak;  
  • Dijital sertifikanın basılı kopyaları veya manuel kontrollerini içeren yöntemin  sertifikalarının manuel olarak doğrulanmasını sağlamak.  

Son seçenek kılavuz uyarınca orantılı ya da ölçülü bulunmamaktadır. buna karşılık 1 ve 2. senaryolar, Regülasyon’un 2(5) Maddesinde tanımlandığı şekilde kişisel verilerin işlenmesine Regülasyon kapsamında hukuka uygunluk koşullarını oluşturmaktadır.

Kılavuzda orantılılık ilkesi gereğince  AB Dijital COVID sertifikalarının işlenmesinin bireylerin temel hakları üzerindeki etkisinin ele alınmasını gerektiğine dikkat çekmiştir. EDPS’ye göre, işe dönüş düzenlemeleri bağlamında dijital COVID aşı sertifikalarının yasal kullanımı yalnızca bu işlemeyi haklı kılan istisnai koşullar devam ettiği sürece devam etmeli ve bu koşullar artık geçerli olmadığında sona ermelidir. İşverenlerin durumu  düzenli olarak yeniden değerlendirme zorunluluğu bulunmaktadır.

AB Dijital COVID Sertifikaları ve Otomatik Bireysel Karar Verme  Sistemi 

Kılavuza göre bir işyerinde, QR kodunun taranması ile verilerin filtrelenerek sertifikaların dijital doğrulaması kullanılıyorsa burada otomatik karar verme sistemi olabilir. Madde 24(4) uyarınca, İş sağlığı ve güvenliği gerekçesiyle Kurumların bu yöntemde erişime izin vermek veya erişimi engellemek için yalnızca otomatik işlemeye dayalı sağlık durumunun doğrulanmasına izin veren bir yasa bulunmamaktadır.  Bu nedenle, tam otomatik bir doğrulama sistemi yalnızca gönüllülük esasına dayalı olarak ve veri sahiplerinin, Yönetmeliğin 10(2)(a) Maddesi uyarınca açık rızasıyla yasal kabul edilmektedir.

Kılavuza göre, Prensipte, rızanın genellikle bir istihdam bağlamında yasallık için geçerli bir zemin sağlayamayacağı ve mevcut olaya uygulanmayacağı göz önüne alındığında, QR kodlarının taranması ile verilere erişim izni sağlanan tam otomatik sistemlere güvenilmemelidir. Zorunlu olarak uygulanan EU Digital’in doğrulamasının yalnızca otomatik işlemeye dayanmaması ve doğrulama süreci sırasında insan katılımı sağlaması gerekmektedir. Sürece katılan insan faktörünün anlamı, doğrulama prosedürü sırasında devreye girme ve veri sahibinin özel durumunu değerlendirme ve ona uygun şekilde tavsiyede bulunma veya otomatik kararı geçersiz kılma yetkisi olmasıdır.

Ek Tavsiyeler

Kılavuzda belirtildiği şekilde 

  • Hukuki sebebi rıza olan ve rızaya dayalı olarak işlenen sağlık verileri, en iyi ihtimalle saklanmamalı veya aktarılmamalı, hemen toplanmalı ve/veya anonimleştirilmelidir.  
  • Yalnızca bilgilendirilmiş rıza geçerli rızadır.  Veri sahipleri, öngörülen işleme hakkında anlaşılması kolay ve öz bilgiler almalıdır.  Özellikle kayıt bir QR kodlu gömülüyse veya okunamıyorsa, sağlık kayıtlarına erişme araçları sağlanmalıdır.
  • İşleme yöntemi geri bildirime, rıza beyan eden ve rıza vermeyen bireyler arasında ayrım yapılmasına izin vermediğinde veri işlenmemelidir.  

Sonuç:

Kişilerin özel hayatına müdahalesinin minimize edilmesi halinde özel nitelikli sağlık verileri işlenebilmektedir.

AB Kurumları da diğer tüm veri sorumluları gibi veri sorumlusudur. COVID-19’a ilişkin hassas sağlık verilerini ancak GDPR ve diğer regülasyonlar uyarınca belirlenmiş kurallar çerçevesinde işleyebilir.

Aşılanma Avrupa Birliği’nde yalnızca gönüllülük esasına dayanmaktadır. Bu nedenle  sağlık çalışanları gibi aşılanması zorunlu kişi gruplarında olmayan çalışanlardan aşı bilgisi istenmesinin hukuki dayanağı bulunmamaktadır. Ayrıca bu uygulama aşılamanının gönüllülük esasına aykırı olabilir.

Aşı bilgisinin işlenmesi, dizayn aşamasında gizliliğe ve veri minimizasyonu ilkesine uygun tasarlanmış, anonim halde (kişisel veriler ve veri sahibi kişi ile eşleştirilmesi mümkün olmayacak şekilde) toplu veri işlemesi halinde mümkündür.

Antijen testlerinin işyerlerinde uygulanabilmesi için işçinin ve tedarikçi çalışanlarının açık rızasının bulunması yeterli bulunmamaktadır. Açık rızanın hukuki sebep olabilmesi için , testin işyeri dışında kimin teste gittiği anlaşılmayacak şekilde yapılması gerekmektedir.

Eğer düzenli olarak antijen testi yapılması planlanıyorsa, işyerinin yapacağı bir düzenleme ile işlemin gerekliliği ve orantılılığı açıkça ortaya konulmalıdır. Tedarikçi çalışanlarının iş sözleşmelerinde bu maddelere mutlaka yer verilmelidir.

Dijital Sertifikaları kullanılması halinde  veri işlemeyi haklı kılan koşullar artık geçerli olmadığında sona ermelidir. İşverenlerin durumu  düzenli olarak yeniden değerlendirme zorunluluğu bulunmaktadır.

Dijital Sertifikaların, QR kod okutulması vb şekilde otomatik işlemeye tabi olması halinde doğrulama sürecine veri sahibinin özel durumunu değerlendirme ve ona uygun şekilde tavsiyede bulunma veya otomatik kararı geçersiz kılma yetkisi olan insan katılımı sağlaması gerekmektedir.

Hukuki sebebi rıza olan ve rızaya dayalı olarak işlenen sağlık verileri, en iyi ihtimalle saklanmamalı veya aktarılmamalı, hemen toplanmalı ve/veya anonimleştirilmelidir.

Kılavuz Metni: https://edps.europa.eu/system/files/2021-08/21-08-09_guidance_return_workplace_en_0.pdf

WHO Preventing COVID-19 at Work: https://apps.who.int/iris/bitstream/handle/10665/341328/WHO-2019-nCoV-Workplace-actions-Policy-brief-2021.1-eng.pdf?sequence=1&isAllowed=y

Regulation on Green Certificate: https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF

İlginizi Çekebilecek Diğer Yazılar:

https://www.eralp.av.tr/processing-biometric-data-according-to-kvkk-and-gdpr/

Uzaktan çalışma halinde iş kazası nedeniyle hukuki ve cezai sorumluluk