Mobile logo
Top

Önce Sağlık, ya da Veri Güvenliği

Avrupa Bilgi Bankası Çözüm Türkiye Veri Güvenliği

Önce Sağlık, ya da Veri Güvenliği

Covid-19 ve Çalışanların Ateş Ölçümü: AB’nin Başkentinden bir Rehber

Pandemide en belirgin semptom olarak yüksek ateş akıllarda yer edindi. Öyle ki günlük yaşam ve iş hayatında herkes önce kendisi ve daha sonra da iletişimde olduğu kişilerin ateş dereceleri ile ilgilenir oldu.

Özellikle işverenler, işyerlerindeki ilk temas noktasından başlayarak çalışanlarının, muhataplarının ve ziyaretçilerinin ateşlerini ölçmeye yönelik bir dizi tedbirler aldı. Kimi, güvenlik noktasında güvenlik görevlilerince alnımıza tuttukları dijital ölçeri kullanırken, ekonomik durumu elveren ve hareketliliği yoğun olan kimileri ise, daha sempatik görünme adına sofistike termal kameralarla size hissettirmeden ateşinizi ölçüyor. Buraya kadar konu anlaşılır ve güzel. Peki, sağlığımızla ilgili bir kişisel verinin belki hiç muhatap olmayacağımız ellerde (mesela bir AVM yönetiminde) tutulması hukuken ne kadar doğru?

Özel Nitelikli Kişisel Veri?

Öncelikle ateş derecemizin bizlere ait bir kişisel veri, hem de özel nitelikli kategoride olduğunun saptamasını yapalım. Sağlık bilgilerinin yanı sıra, cinsel yaşama dair bilgiler, ırk, etnik köken, siyasi düşünce, felsefi inanç gibi tek tek sayılmış olan bilgiler bu kategoriye girmekte. Ve gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Md 6) ve gerekse onun kaynağı olan AB Genel Veri Koruma Regülasyonu – GDPR’a göre (Md 4/2) bu tip verilerin işlenmesinde temel şartın açık rıza olduğunu bir kez daha hatırlatalım. Yani, daha veri üzerinde bir işlem yapmadan önce sahibinin bilgilendirmesi ve onayının alınmasının gerekliliğinden bahsediyoruz. Tabi yine her iki düzenlemeye bakıldığında, toplum sağlığı, tıbbi teşhis ve tedavi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi makro amaçlarla, ancak sır saklama yükümlülüğü olanlarca ilgilinin açık rızası aranmaksızın sağlık verilerinin işlenebileceğine izin verildiğini görürüz.

Salgını kontrol altına aldığını düşünen bizim gibi ülkelerde işe dönüş sürecinde ateş derecesi bilgisinin öğrenilmesi, kaydedilmesi işverenlerce benimsenen temel bir prosedür oldu. Öyleyse önceki başlıkta izah etmeye çalıştığımız hukuki durum karşısında, üretimde sürekliliği ve çalışanlarının sağlığını korumak isteyen işveren ne yapmalı?

Konuyla ilgili batı dünyasında neler olduğunu merak edip araştırdığımızda, AB başkentinden, Belçika Veri Koruma Otoritesi’nin (Autorité de Protection des Données) konuyla ilgili bir Rehber yayınlayarak tüm muhatapları bilgilendirdiğini gördük. (Fransızcası yeterli olanların daha bir keyifle okuyacağını belirtelim!)

AB Başkentinden Bir Rehber

Kaynak: PEOPLEIMAGES/ GETTY IMAGES

Otorite, konuyu üç ayrı senaryo bazında ele almış.

1. Kaydetmeksizin Ölçüm yapılması:

Rehbere göre, işyerinin girişinde ya da güvenlik noktasında konvansiyonel bir termometre ile, çalışan ya da ziyaretçilerin ateş derecelerini fiziki ya da elektronik bir ortama kaydetmeksizin ölçüm yapmak GDPR bakımından bir yükümlülük doğurmamakta. Tabi burada işverenin, bu işlemin amacını, gerekliliğini, yöntemini (derecelerin kaydedilmediğini, saklanmadığını) anlatan bir görünür/aleni aydınlatma ile muhataplarını bilgilendirmesi gerektiğini unutmayalım. Yönetime karşı sorumluluğunu yerine getirmeye çalışan bir alt yöneticinin, işyerine giriş yapan ilgili kişilerin kimlik bilgilerini kullanmaksızın, sadece sayısal-istatistiksel figürlerle, çalışan ya da ziyaretçileriden ne kadarının ateşlerinin yüksek olduğunu yüzdelik oranlarla raporlaması buna örnek verilebilir.

2. Kaydederek Ölçüm yapılması:

Diğer yandan, çalışanın onayı alınmaksızın yapılan ölçümler bir defter, liste gibi fiziki ya da bilgisayar vb elektronik ortamda kaydediliyorsa bu noktada durum değişiyor. Nitekim Otorite de, bunun GDPR bağlamında hukuki olmadığını altını çiziyor. Çünkü özel nitelikli bir kişisel verini sahibinin rızası olmaksızın işlenmesi sonucunu doğuruyor ki GDPR bağlamında yaptırı gerektiren bir işlem söz konusu. KVK’na göre de açık rıza ya da özel şartlar olmadan sağlı verisinin işlenmesi mümkün değil.

Kaynak: AP Photo/Lee Jin-man

Belçika Otoritesi bu noktada önemli bir tespit yapıyor: Yüksek ateşi yüzünden işyerine girmesi yasaklanan bir çalışanın manuel bir ölçerle yapılan ateş ölçümü kaydedilmemiş olsa bile, bu ölçümün kendisi GDPR kapsamına girer nitelikte. Evet, ateş bilgisi kaydedilmemiş olsa bile, kişinin işyerinde olmayışı kaçınılmaz olarak yüksek ateş bilgisi ile ilişkilendirilecek ya da doğrudan kimliğinin ifşa edilmesi zorunluluğunu doğuracak. Bu da sağlık bilgisinin işlenmiş olması anlamına geldiğinden GDPR ve ilgili Belçika iç hukuku bağlamında öngörülmeyen bir hukuki durum.

3. Termal (Termographic) Kamera gibi Otomatik Yollarla Ölçüm ve Kayıt Yapılması:

Aynı şekilde, otomatik sistem ya da yollarla görüntüleme, kaydetme, saklama ve aktarma gibi uygulamalar GDPR (Md 4/2) ye göre işleme olarak değerlendirildiğinden, dijital tarayıcı ya da ölçerler, termal kamera gibi elektronik yollarla çalışanların ya da ziyaretçilerin ateş ölçümü apaçık sağlık verisinin işlenmesi anlamına gelmektedir.

Belçika İç Hukukunda Durum

Otorite, GDPR (Md 9/2)’ye göre, Veri Sorumlusunca bu tür bir işlemenin gerekliliğinin hukuki dayanağı açık ve anlaşılır bir şekilde ortaya konmadıkça ateş derecesi gibi bir sağlık bilgisinin işlemesinin yasak olduğunu vurguluyor. İstihdam ilişkisi kapsamında bir yasal zeminin de, iş hukuku ya da toplu iş sözleşmesi gibi düzenlemelerde konuya dair bir hükmün mevcut olmasıyla sağlanacağını belirtiyor.

Kurum, Belçika iç hukuku ve uygulamalarında işverenin, çalışanın sağlık verilerini (açık rıza olmaksızın) işlemeye yönelik bir hüküm olmadığından yasa koyuculara gerekli düzenlemeleri yapmaları gerektiği çağrısında bulunuyor. Covid-19 salgının sosyo ekonomik etkilerini göz önüne alarak, işverenlerin ateş ölçümü gibi gerekli olabilecek diğer sağlık verilerini işleyebilmelerini mümkün kılan bir hükmün mevcut Belçika Veri Koruma Yasasındaki istisnalar bölümüne ilave yapılabileceği görüşünü paylaşıyor. Belçika’da yürütlükte olan 30 Haziran 2018 tarihli Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunmasın Dair Yasa, 1992 tarihli Yasayı yürürlükten kaldırıp 5 Aralık 2018’de yürürlüğe girmiş. Ne var ki daha çok kamu sektöründeki veri sorumluları ve işleme faaliyetlerini ele almış.

GDPR Ne Söylüyor? Bizde Durum Nasıl?

Oysa ki, sağlık verilerinin de aralarında olduğu özel nitelikli verilerin işlenmesine dair GDPR’ın 9/2(b) maddesine baktığımızda, işçi-işveren ilişkisine ayrı bir başlık açılarak, iş hukuku, sosyal güvenlik-koruma yasaları gibi veri sorumlusu ya da veri sahibinin özel haklarından kaynaklalan yükümlülük ve gereklilikler uyarınca işlemenin zorunlu olduğu durumlara dikkat çekilmiş.

Birlik ya da Üye ülke iş yasalarında veya toplu iş sözleşmelerinde öngörmek kaydıyla, çalışanın temel hak ve hürriyetlerine halel getirmemek ve gerekli tedbirleri almak kaydıyla açık rıza aranmaksızın sağlık verilerinin işlenebileceğine cevaz verilmiş. Aynı maddenin (h) bendinde, yine birlik ve üye ülke yasalarında öngörülmek kaydıyla, işverenin işgücü kapasitesini değerlendirme, sağlık, sosyal hizmet ve tedavi gibi hizmetlere yönelik hükümlerin yerine getrimesi amaçlarıyla işlenebileceği öngörülmüş.

Ancak yaşadığımız salgın gibi olağanüstü ve artık toplumun/kamunun üstün yararını gözeten durumları dikkate alarak (i) bendinde kamu sağlığı konusu ayrıca ele alınmış. Sağlığa yönelik sınır ötesi tehditlere karşı kamu sağlığını korumak, sağlık hizmetinde, tıbbi ürün ve cihazlarda yüksek standartlarda kalite ve güvenliği sağlamak amacıyla, iç hukuk sisteminde gerekli yasal dayanağı oluşturmak kaydıyla sağlık verileri üzerinde gerekli işlemlerin yapılabileceğinden bahsedilmektedir. Her iki bendle ilgili eklememiz gereken husus, işleme faaliyetlerinin sır saklama yükümlülüğü olan kişi ve kurumların sorumluluğunda yapılmasının zorunluluğu.

Ülkemizdeki duruma bakacak olursak; 6698 sayılı KVK’ndaki temel prensibe göre özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenemez. Ancak Kanun, GDPR (ve daha çok onun öncesindeki 95/46 sayılı Direktif’e) uygun olarak ihdas edildiğinden, özel nitelikli verilerin açık rıza olmaksızın işlenmesi konusunda GDPR daki tanım ve hükümlerden bazılarının Kanunda birebir uyarlandığını görüyoruz. Bizde de, kişisel sağlık verilerinin, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis ve tedavi gibi belirli amaçlara yönelik, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği öngörülmüş.

Dolayısıyla, günümüzde işverenlerin öncelikle kendileri ve temasta bulundukları diğer çalışan ve ziyaretçileri enfekte olmaktan korumak, ayrıca üretimde sürekliliğin, güvenliğin ve çalışma koşullarının salgından daha fazla olumsuz etkilenmemesi amacıyla çalışan ve ziyaretçilerinin ateş derecelerini ölçme yoluna gittiğini görüyoruz.

Her ne kadar bunun daha çok işverenin ticari iş güvenliğini sağlamak gibi meşru bir amaca hizmet ettiğini düşünsek de, 6698 sayılı Kanundaki kamu sağlığının korunması gerekçesine daha uygun olduğunu düşünmek yerinde olacaktır kanaatindeyim. Zira, sağlık politikaları ve hizmetlerinin finansmanı üzerinde yegane belirleyici otorite olan Sağlık Bakanlığı ve ilgili diğer kurumların, toplum sağılığını korumaya yönelik olarak kalabalık ortamlarda uygulanması gerekli tedbirler arasında ateş ölçümü yapılmasını tavsiye ettiği gerçeğini göz önüne aldığımızda, bir anlamda tüm veri sorumluları adına işlemin gerekliliği konusunda bir aydınlatma yapıldığını görüyoruz.

Yine de işyerlerinde muhatapların anlaşılır bir şekilde aydınlatıldığı ve veri sahibiyle ilişkilendirilmeyecek nitelikte herhangi bir kayıt alınmadığı müddetçe ölçüm yapılmasında zaten bir sakınca yok. Ancak, ille de kayıt alınması ve saklanması düşünülüyorsa; sır saklama yükümlülüğü olan işyeri hekiminin kontrolünde değerlerin muhafaza edileceği, (veri sorumlusunun iş dinamiklerinin özelliğine göre) ziyaret bitiminde veya 15 gün sonra ya da salgının tüm sonuçlarıyla sona erdiğinin ilanını müteakiben imha edileceği bilgisine açık bir şekilde Aydınlatma metninde yer verilmeli ve ateşi ölçülen kişinin sağlık bilgisinin işlenmesi konusunda açık rızası alınmalı.

Evet, bireyin özel yaşamının korunması hakkı ile kamu sağğının korunmasının çatışması halinde hangi hakka üstünlük tanınacağına dair istisnai durumlara GDPR ve KVK Kanununda yer verildiğini görüyoruz Bu durumda bile ancak sağlık kuruluşları ve hekimler gibi sır saklama yükümlülüğü olanların kontrolü altında açık rıza aranmaksızın kişisel sağlık bilgileri işlenebilmektedir.

NOT:

Bir sonraki yazımızda, işleyiş, yapılanma, görev ve yetkileri bakımından AB’den bir veri koruma otoritesi örneği olarak Belçika Veri Koruma Kurumu’nu ayrıntılı şekilde sizlere tanıtmaya çalışacağım. Daha sağlıklı günlerde görüşmek dileğiyle.

22 Haziran 2020
0
0
kovid-19 özel nitelikli veri sağlık
Related Posts
Google Çerezleri Devlet İnternet Sitelerinde
 13 Eylül 2020
Çalınan kişisel veriler için fidye ödediler
 10 Ocak 2020
ÜYE LİSTELERİ İLE GELEN BÜYÜK TEHLİKE
 8 Ocak 2020
Ali Atlıhan
Ali Atlıhan
Yorum Bulunmuyor

Yorum Yapın