1. Rehberin Konu ve Amacı

İngiltere Veri Koruma Otoritesi ICO tarafından yayımlanan bilimsel yayınların GDPR kapsamında değerlendirilmesine ilişkin rehber, GDPR ve DPA 2018’deki araştırma hükümlerini ayrıntılı olarak ele almaktadır. Rehber, istatistiksel amaçlarla araştırma, arşivleme veya işleme yapan kurum ve kuruluşlarda veri koruma görevlilerine ve veri koruma sorumlulukları olan kişilere yönelik olarak hazırlanmıştır. Rehberin amacı GDPR ve DPA 2018’de yer alan araştırma hükümlerinin nasıl yorumlanması gerektiğine ilişkin açıklamalarda bulunmaktır.

2. Araştırmaya İlişkin Hükümler

GDPR ve DPA 2018, kişisel verilerin araştırma amacıyla işlenmesine ilişkin hükümler içermektedir. Araştırmaya ilişkin hükümler tek bir yerde düzenlenmiş olmayıp her iki mevzuatta da (GDPR ve DPA 2018) birkaç madde ve paragraftan ibaret olacak şekilde bahsedilmiştir. Bu hükümler, bilimsel ve tarihsel araştırma ile teknolojik gelişmenin toplum için önemini kabul etmenin yanı sıra veri koruma gereksinimlerinin teknolojik yeniliği ve bilginin ilerlemesinin de mümkün kılınmasını sağlarlar.

Hükümler üç temel veri koruma alanını kapsamaktadır:

  • Veri koruma ilkeleri,
  • Özel kategori verilerinin ve suç verilerinin işlenmesi için koşullar,
  • Kişi haklarından muafiyet.

Bu hükümlerin uygulanabilmesi için, bireylerin hak ve özgürlüklerini koruyacak uygun tedbirlerin alınması gerekmektedir.

Aşağıdaki tablo, GDPR ve DPA 2018’deki güvencelerle ilgili araştırma hükümlerinin nerede düzenlendiğini göstermektedir.

İlgili Veri Koruma Yasası Alanı

Hükmün Bulunduğu Yer

Veri Koruma İlkeleri
  • GDPR Madde 5(e)
  • GDPR Madde 5(b)
İşleme koşulları
  • DPA 2018 Madde 1/4

Muafiyetler

  • GDPR Madde 14(5)(b)
  • DPA 2018’in 27 ve 28. Paragrafları (araştırma, istatistik ve arşivleme için muafiyetler)
  • GDPR Madde 17(3)(d)
  • GDPR Madde 21(6) (bilimsel veya tarihi araştırma ve istatistikler için istisnalar)
  • DPA 2018 2(28) 

Güvenlik Önlemleri

  • GDPR 89. Madde
  • DPA 2018’in 19. Bölümü

3. Araştırmayla İlgili Veri İşleme Kapsamı

Araştırma hükümleri, araştırmayla ilgili üç tür amaca atıfta bulunur. Bunlar:

  • Kamu yararına arşivleme amaçları,
  • Bilimsel veya tarihi araştırma amaçları,
  • İstatistiksel amaçlardır.

Araştırmaya ilişkin hükümlerin uygulanabilmesi için veri işleme faaliyetinin bu amaçlardan en az biri için gerekli olduğunun kanıtlanması gerekir.

4. Kamu Yararına Arşivleme

Kamu yararına arşivleme, kayıtların kalıcı olarak korunmasını ve kullanılabilirliğini sağlar. Arşivlemenin amacı, bilgiyi korumak ve kamu kullanımı için ona uzun süreli erişim sağlamaktır. Bununla birlikte, arşivler genellikle yaşayan, kimliği belirlenebilir bireylerin kişisel verilerini içerir. GDPR ve DPA 2018, kişisel verileri içeren bazı kayıtların kalıcı olarak korunmasında bir kamu yararı ve topluma uzun vadeli bir faydasının olduğunu kabul etmektedir. 

Kamu yararına arşivleme, kuruluşların potansiyel olarak kalıcı kamu değeri olduğu belirlenen kayıtları yönettiği ve koruduğu bir hizmettir. Kuruluşlar, potansiyel kamu değeri olmayan kayıtların süresiz olarak tutulmasını veya aktif ve sürekli bir yönetim olmaksızın saklanmasını gerekçelendirmek için arşivleme hükümlerini kullanmamalıdır. Yerel yetkililer gibi kamu kurumlarının da kayıt arşivlerini muhafaza etmek için tüzükte belirlenmiş bir kamu görevi olabilir. Bununla birlikte, özel veya üçüncü sektör kuruluşları da kamu yararına arşivleme yapabilir.

Aşağıdaki tabloda kamu yararına arşivleme amacının ne zaman dikkate alınacağına ilişkin örnekler verilmektedir.

Kamu yararına arşivlemeKamu yararına arşivlememe
  • Araştırma ve incelemeleri etkinleştirme
  •  Mevcut iş ihtiyaçları veya yasal amaçlar için kayıtların tutulması
  • Uzun vadeli hesap verebilirliğin sağlanması
  •  Kayıtları belirli bir sınırlı süre için saklama
  • Kişisel, toplumsal ve kurumsal kimlikleri, anıları ve geçmişleri korumak
  •  Toplum için hiçbir potansiyel veya teyit edilmiş kalıcı değeri olmayan       kayıtların tutulması
  • Hakların, yükümlülüklerin ve emsallerin oluşturulmasına ve sürdürülmesine yardımcı olmak
  • Gelecekteki eğitim, araştırma veya geliştirme amaçları için kayıtların güvence altına alınması

Örnek:

Bir hayır kurumunun 150 yıl öncesine ait faaliyetlerinin kayıtları yardım kuruluşunun savunmasız insanlara ve topluluklara verdiği destekler belgeleniyor.. Kayıtlarda adı geçen kişilerin çoğunun hala hayatta olması sebebiyle kayıtların kişisel veriler içerdiği kabul ediliyor. Yerel bir kayıt ofisi ile ortaklaşa koleksiyonlarına erişimi iyileştirme seçeneklerini araştırıyorlar. Bu kişisel verilerin işlenmesi, kamu yararına arşivleme olarak görülmektedir.

5. Bilimsel veya Tarihsel Araştırma İçin Veri İşleme

GDPR’ın 159 numaralı gerekçesi, kuruluşların bilimsel araştırmaları nasıl değerlendirmeleri gerektiğine ilişkin bazı ayrıntılar verir.

“Kişisel verilerin bilimsel araştırma amacıyla işlenmesi, örneğin teknolojik geliştirme ve gösterim, temel araştırma, uygulamalı araştırma ve özel olarak finanse edilen araştırma dahil olmak üzere geniş bir şekilde yorumlanmalıdır.”

Bilimsel veya tarihsel araştırma geniş bir anlama sahiptir. Geleneksel akademik ortamlarda yürütülen sosyal bilimler, beşeri bilimler ve sanat dahil olmak üzere tüm akademik araştırmaların yanı sıra ticari ortamlarda yürütülen araştırmaları ve bir teknolojik gelişmeyi, yeniliği ve gösterimi de içermektedir.

Veri işlemenin araştırma hükümleri kapsamında değerlendirilip değerlendirilemeyeceğini belirlerken en temel kriter veri işlemeyi gerçekleştirme amacıdır.

Bilimsel veya tarihsel araştırma şunları amaçlar:

  • Belirli bir alanda en son teknolojiyi geliştirmek veya sorunlara yenilikçi çözümler sunmak,
  • Belirli bir alanda insan bilgisinin toplamına katkıda bulunan yeni anlayışlar veya iç görüler oluşturmak,
  • Eğitimi desteklemek,
  • Test etme ve çoğaltma için genel uygulama bulguları üretmek.

Bilimsel veya tarihsel araştırma şunları içerir:

  • Esas olarak yeni bilgi edinmek için üstlenilen temel veya temel araştırma, deneysel veya teorik çalışma fenomenlerin ve gözlemlenebilir gerçeklerin altında yatan temellerin bilgisi, herhangi bir özel görünümde uygulama veya kullanımı,
  • Uygulamalı araştırma, öncelikle yönlendirilen yeni bilgi edinmek için üstlenilen orijinal araştırma
  • Deneysel geliştirme, sistematik çalışma, araştırma ve uygulamadan elde edilen bilgilerden yararlanma,
  • Deneyim ve yeni ürünler veya süreçler üreten veya geliştiren ek bilgi üreten mevcut ürünler veya süreçler.

Bu araştırma tanımı aşağıdaki gibi faaliyetleri içerir:

  • Yayınlanmış bulgularla sonuçlanması gerekmeyen politika ve uygulamaları bilgilendiren araştırmalar,
  • Bilimsel araştırmanın uygulanması ve açıklanması,
  • Araştırmanın tekrarlanabilirliğini göstermek,
  • Yapay zekanın (AI) geliştirilmesi,
  • Klinik araştırma verilerinin kullanımı.

Kamu sektörü kuruluşları, bilimsel veya tarihi araştırmalar yürütebilir. Ancak ticari veya hayır kurumları veya bağımsız araştırmacıların da bilimsel veya tarihi araştırmalar yürütebileceği görüşü benimsenmiştir.

Örnek:

Bir üniversitenin 1950’ler ve 1960’larda Birleşik Krallık’a göç eden insanların deneyimlerini araştırmak ve farklı etnik gruplardan insanların deneyimlerini karşılaştırmak için yapmış olduğu proje kapsamında kişisel verilerin işlenmesi tarihsel araştırma amaçlıdır.

6. İstatistiksel Amaçlar İçin Veri İşleme

İstatistiksel amaçlar için işleme, asıl amacın istatistik üretmek olduğu işlemedir. İstatistiksel sonuçlar oluşturan tüm işlemlerin istatistiksel amaçlar için işleme olarak sayılmadığına dikkat etmek önemlidir. İstatistiksel amaçlar için işleme, yalnızca işlemenin birincil amacının veya amacının istatistiksel çıktılar üretmek olduğu faaliyetleri ifade eder. Daha sonra bu istatistiksel sonuçlar, bilimsel araştırma da dahil olmak üzere başka amaçlar için kullanılabilir.

Ulusal İstatistik Ofisi gibi resmi istatistikleri üretme ve yayma konusunda yasal yükümlülüğü olan kamu makamları ve organları, istatistiksel amaçlarla işleme yapabilir. Özel veya üçüncü sektör kuruluşları da bu işlemi gerçekleştirebilir. İstatistiksel araştırmalar veya istatistiksel sonuçların üretilmesi için gerekli olan her türlü kişisel veri toplama ve işleme operasyonunu kapsar.

İşlemenin istatistiksel amaçlarla sayılması için, işlemeyi yapan kuruluş aşağıdakilerden birini yapmalıdır:

  • Sonuçları, bireyler hakkında kararlar almak veya önlemleri haklı çıkarmak için kullanmamak,
  • Sonuçları artık kişisel veri olmaktan çıkararak anonim hale getirmek.

Örnek:

Bir sağlık kuruluşu COVID-19 testi pozitif çıkan kişilerin kişisel verilerini toplayıp bu verileri yeniden enfeksiyon oranları hakkında istatistikler oluşturmak için kullanmaktadır. Diğer kurumlar daha sonra bu verileri, gelecekteki yeniden enfeksiyon oranlarını denemek ve azaltmak için politika kararları almak için kullanırlar.

7. Veri İşleme İçin İlkeler ve Gerekçeler

GDPR’ın 5. Maddesi, yedi temel veri koruma ilkesini ortaya koymaktadır. Bu ilkelerden ikisi (amaç sınırlaması ve depolama sınırlaması) araştırmayla ilgili işleme için özel hükümler içerir. Amaç sınırlaması ilkesi, uygun güvenlik önlemlerine sahip olunduğu sürece, mevcut kişisel verileri araştırmayla ilgili amaçlar için yeniden kullanılabileceğini düzenlemektedir. Depolama sınırlaması ilkesi ise kişisel verilerin araştırmayla ilgili amaçlarla işlenmesi durumunda uygun güvencelere sağlandığı sürece verilerin süresiz olarak tutabileceğini ifade etmektedir.

8. Veri İşleme İçin Yasal Dayanaklar

GDPR’ın 6. Maddesi, işleme için yasal dayanakları ortaya koymaktadır. Yasal dayanaklar, özel amaçlara ve işlemenin bağlamına bağlıdır. 

  • Kamu görevi için veri işleme, kamu yararına veya bir görevi yerine getirmek için gerekli olmalıdır. Resmi işlevler ve görev veya işlevin kanunda açık bir temeli vardır.
  • Meşru menfaatler, veri işlemenin işleyenin meşru menfaatleri veya üçüncü bir kişinin menfaatleri için gerekli olmalıdır.

Bu amaçlardan hangisinin geçerli olduğu, veri işleme faaliyetinin amaçlarına ve ne tür bir organizasyon tarafından işlendiğine bağlıdır. Araştırma yürüten özel veya üçüncü sektör kuruluşlarında veri işlemenin en olası yasal dayanağı meşru menfaatlerdir. Üniversite gibi bir kamu kurumları için ise kamu görevinin yasal dayanaktır oluşturması mümkündür.

9. Rıza Alınmasına İlişkin Hususlar

Tıbbi araştırma veya klinik araştırma gibi kişisel verileri kullanarak bir araştırma çalışması yürütülürken, veri işlemek için katılımcılardan onay alınması gerekir. Rıza, araştırma çalışmalarında katılımcıların mahremiyetini sağlayan ve koruyan önemli bir etik standarttır ancak bir araştırma çalışmasına katılma onayının, bir araştırma çalışmasına katılma izninden farklı olduğunu belirtmek önemlidir.

GDPR kapsamında kişisel verileri işlemek için yasal dayanak bulunsa dahi yine de katılımcılardan onay alınması gerekli görülmektedir. Bunun nedeni, GDPR kapsamında geçerli rızanın, kişinin istediği zaman geri çekebileceği olasılığıdır. Ayrıca, aralarında bir güç dengesizliğinin olduğu durumlarda rıza, işleme için uygun bir yasal dayanak değildir. Bilimsel araştırmalar için bu konuda bir muafiyet bulunmamaktadır. Katılımcıların onayını geri çekmesi durumunda kişisel verileri işleme faaliyetlerinin derhal durdurulması veya katılımcıların verilerinin anonim hale getirilmesi gerekir. Bu nedenle, kişisel verilerinin araştırmayla ilgili amaçlardan biri için işlenmesi durumunda katılımcılardan alınan rızanın doğru ve uygun bir yasal dayanak teşkil etmesi olası değildir.

10. Uygun Güvenlik Önlemleri

Araştırma hükümlerini kullanmak için uygun güvencelere sahip olunması gerekir. Bu güvenlik önlemleri, veri minimizasyonu ilkesine saygı gösterilmesini sağlamak için teknik ve organizasyonel önlemlerdir.

  • Mümkün olduğunda, araştırmalar anonim bilgiler kullanarak gerçekleştirilmelidir. 
  • Anonimleştirilmiş verileri kullanmanın mümkün olmadığı durumlarda, verileri takma ad kullanmanın mümkün olup olmadığı değerlendirilmelidir. Takma ad verisi bu durumda da kişisel veridir ve veri koruma kanunu geçerlidir,
  • Veri işlemenin veri sahiplerine önemli ölçüde zarar vermesi veya önemli bir sıkıntıya neden olması muhtemelse araştırma hükümleri uygulanamayacaktır.
  • Araştırma onaylı tıbbi araştırma olmadıkça, belirli kişilerle ilgili önlemler veya kararlar amacıyla işleme yürütülüyorsa araştırma hükümleri uygulanamayacaktır.
  • İşleme faaliyetlerinizde bir ‘tasarım ve varsayılan veri koruma’ yaklaşımı benimsenmelidir.
  • Gerektiğinde bir veri koruma görevlisi atanmalıdır.
  • Uygun düzeyde personel eğitimi sağlanmalıdır.

Sonuç ve Özet

  • İngiltere Veri Koruma Otoritesi ICO tarafından yayımlanan bilimsel yayınların GDPR kapsamında değerlendirilmesine ilişkin rehber GDPR ve DPA 2018’de yer alan araştırma hükümlerinin nasıl yorumlanması gerektiğine ilişkin açıklamalarda bulunmaktadır.
  • GDPR ve DPA 2018’de yar alan hükümler üç temel veri koruma alanını (veri koruma ilkeleri, özel kategori verilerinin ve suç verilerinin işlenmesi için koşullar, kişi haklarından muafiyet) kapsamaktadır. Bu hükümlerin uygulanabilmesi için, bireylerin hak ve özgürlüklerini koruyacak uygun tedbirlerin alınması gerektiği vurgulanmıştır.
  • Araştırma hükümleri, araştırmayla ilgili üç tür amaca atıfta bulunur. Bunlar; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ve istatistiksel amaçlardır. Araştırmaya ilişkin hükümlerin uygulanabilmesi için veri işleme faaliyetinin bu amaçlardan en az biri için gerekli olduğunun kanıtlanması gerekir.
  • Kamu yararına arşivleme, kuruluşların potansiyel olarak kalıcı kamu değeri olduğu belirlenen kayıtları yönettiği ve koruduğu bir hizmettir. Kuruluşlar, potansiyel kamu değeri olmayan kayıtların süresiz olarak tutulmasını veya aktif ve sürekli bir yönetim olmaksızın saklanmasını gerekçelendirmek için arşivleme hükümlerini kullanmamalıdır. Yerel yetkililer gibi kamu kurumlarının da kayıt arşivlerini muhafaza etmek için tüzükte belirlenmiş bir kamu görevi olabileceği gibi, özel veya üçüncü sektör kuruluşları da kamu yararına arşivleme yapabilir.
  • Bilimsel veya tarihsel araştırma geniş bir anlama sahiptir. Geleneksel akademik ortamlarda yürütülen sosyal bilimler, beşeri bilimler ve sanat dahil olmak üzere tüm akademik araştırmaların yanı sıra ticari ortamlarda yürütülen araştırmaları ve bir teknolojik gelişmeyi, yeniliği ve gösterimi de içermektedir.
  • Veri işlemenin araştırma hükümleri kapsamında değerlendirilip değerlendirilemeyeceğini belirlerken en temel kriter veri işlemeyi gerçekleştirme amacıdır.
  • İstatistiksel amaçlar için işleme, asıl amacın istatistik üretmek olduğu işlemedir. İstatistiksel sonuçlar oluşturan tüm işlemlerin istatistiksel amaçlar için işleme olarak sayılmadığına dikkat etmek önemlidir. İstatistiksel amaçlar için işleme, yalnızca işlemenin birincil amacının veya amacının istatistiksel çıktılar üretmek olduğu faaliyetleri ifade eder. Daha sonra bu istatistiksel sonuçlar, bilimsel araştırma da dahil olmak üzere başka amaçlar için kullanılabilir.
  • GDPR kapsamında kişisel verileri işlemek için yasal dayanak bulunsa dahi yine de katılımcılardan onay alınması gerekli görülmektedir. Bunun nedeni, GDPR kapsamında geçerli rızanın, kişinin istediği zaman geri çekebileceği olasılığıdır. Bilimsel araştırmalar için bu konuda bir muafiyet bulunmamaktadır. Katılımcıların onayını geri çekmesi durumunda kişisel verileri işleme faaliyetlerinin derhal durdurulması veya katılımcıların verilerinin anonim hale getirilmesi gerekir. Bu nedenle, kişisel verilerinin araştırmayla ilgili amaçlardan biri için işlenmesi durumunda katılımcılardan alınan rızanın doğru ve uygun bir yasal dayanak teşkil etmesi olası değildir.
  • Araştırma hükümlerini kullanmak için uygun güvencelere sahip olunması gerekir. Bu güvenlik önlemleri, veri minimizasyonu ilkesine saygı gösterilmesini sağlamak için teknik ve organizasyonel önlemlerdir.