Categories
MAKALELER

Avrupa kurumları, kuruluşları ve organları (“AB Kurumları”) sadece düzenleyici otorite olmalarıyla değil, aynı zamanda işveren sıfatına haiz olmaları sebebiyle, diğer işverenler gibi, Covid-19 krizine karşı çalışanlarının büyük bir çoğunluğunun uzaktan çalışması gibi operasyonlarında değişiklik yapmak durumunda kalmıştır. Avrupa Veri Koruma Denetçisi (“AVKD”), söz konusu operasyon değişiklikleri sebebiyle kendisine yönlendirilen, uzaktan çalışma araçları, ekip yönetimi, sağlık verileri ve ilgili kişilere cevap verme gibi soru başlıklarında, AB Kurumlarına önerilerde bulunmuş ve hala geçerliliğini koruyan bu önerileri bir doküman haline getirerek, 15 Temmuz 2020 tarihinde, yayımlamıştır. Bu öneriler AB Kurumları dışında bütün veri sorumluları tarafından da dikkate alınabilecek niteliktedir. AVKD yayımlamış olduğu bahsi geçen dokümanda veri sorumlularına, veri koruma görevlilerine hitap etmektedir.

İçinden geçtiğimiz kamu sağlığını tehdit eden sağlık krizi acil önlemleri almayı gerektirse de bu durum veri koruma kurallarının uygulanamayacağı anlamına gelmemektedir.

Avrupa Birliği Temel Haklar Bildirgesinin 8. Maddesi ve 2018/1725 Numaralı Tüzük (“Tüzük”) kapsamında düzenlenmiş olan hesap verilebilirlik, özel ve olağan veri koruması, güvenlik ve şeffaflık gibi temel ilkeler uygulanmaya devam edecektir.

1. Uzaktan Çalışma Araçları

Kısa bir zaman dilimi içerisinde uzaktan çalışmayı sağlayacak bağlantı araçları büyük ölçüde önem kazandı. Söz konusu bağlantı araçlarının veri sorumlusu organizasyonu dışından tedarik edileceğine ilişkin bir sözleşme imzalandıysa bu sözleşmenin Tüzük’e uygunluğu kontrol edilmeli ya da uygunsuzluk durumlarının azaltılmasına yönelik adımlar belirlenmelidir.

Mevcut uzaktan bağlantı araçlarının çeşitliliği, pazarın büyüklüğü göz önünde bulundurulduğunda AVKD tarafından bütün bu araçlara dair tam anlamıyla bilgi kılavuzu hazırlanamasa da genel ipuçları ve tehlikeli olabilecek noktalara işaret edebileceğini belirtmiştir.

Sözleşmede 2016/679 sayılı Tüzüğe (GDPR) uyan benzer unsurlar zaten ihtiyaçları karşılayabildiği sürece Tüzük’e dayalı özel hüküm ve koşullara ihtiyaç duyulmayabilir.

AVKD tarafından açıklanan, veri koruma dostu araçların seçilebilmesi için dikkat edilmesi gereken noktalar şu şekildedir:

  • Karar alma süreci

Hangi uzaktan çalışma aracının kullanılacağına karar verilirken veri koruması ve güvenlik tedbirlerinin göz ardı edilmemesi gerekmektedir. Bütün ihtiyaçları karşılayan bir araç olmasa da ihtiyaç duyulan özelliklere en iyi uyacak vasıta bulunmalıdır.

Mevcut durum her ne kadar hızlı karar almayı gerektirse de AB Kurumları tarafından hâlihazırda uygulanmakta olan bilişim teknoloji prosedürleri olabildiğince takip edilmeli, oluşabilecek herhangi bir veri koruma problemi belirlenmeli ve veri koruma görevli bu sürece dâhil olmalıdır. Kullanılan araçlar gözden geçirilerek güvenlik, gizlilik ve mahremiyet özelliklerine dair bir değerlendirme yapıldığından ve bilgi teknolojileri departmanının bu hususlar üzerinde gerekli yönlendirmeyi yaptığından emin olunması gerekmektedir.

Ücretsiz uzaktan bağlantı vasıtalarının kullanılması, kişisel veriler ile birlikte diğer gizlilik teşkil eden verilerin, üçüncü kişiler nezdinde açığa çıkmasına ve dış saldırılara yol açabilir. Böyle bir durumun yaşanması AB Kurumunun gereksiz yere itibar kaybına uğraması gibi risklerle karşı karşıya kalmasına sebebiyet verecektir. Sorunların şimdiden belirlenmemesi en nihayetinde çıkılmaz bir yola sokabilir, veri koruma problemlerini doğurabilir ve ek güvenlik riskleri getirebilir.

Bu süreçte için daha fazla yönlendirme için bilgi teknolojileri yönetimi ve özel veri korumaya ilişkin AVKD kılavuzlarına göz atılabilir.

  • Kurumsal ve şahsi cihazlar

Bilgi teknolojileri güvenliğine ilişkin sorunların belirlenmesinin yanı sıra şahsi cihazların (dizüstü bilgisayar, tablet vb) kullanımı söz konusu olduğunda bilgi teknolojileri departmanına danışmak ve belirli yapılandırmaların kurulmasını sağlamak yerinde olacaktır.

Şahsi bilgisayarlarda kişisel verilerin işlenmesi halinde ise kullanıcılara yönelik kişisel verilerin nasıl işleneceğine ilişkin açık politikalar ve talimatlar hazırlanmalıdır. Kullanıcılara kurumsal ekipman sağlanması ekipman üzerinde bilgi teknolojileri bakımından daha fazla kontrol sağlayacak ve “gölge bilgi teknolojileri” olarak adlandırılan girişimleri azaltacaktır.

Bununla birlikte veri minimizasyonu ilkesini benimsemek ve gereksiz kişisel veri paylaşımından kaçınmak önerilmektedir.

Kurumsal veya şahsi ekipman kullanılması fark etmeksizin mobil cihaz yönetimine ilişkin daha fazla detay için AVKD mobil cihaz yönetimi kılavuzu incelenebilir.

  • Veri sorumlusu / veri işleyen rolleri

Yeni bir ürün veya hizmet satın alımında tedarikçilere istinad edilirken, gizlilik dostu ve hizmet sağlayıcı üzerinde uygun denetimi temin eden araçlar önceliklendirilmelidir. Tedarikçi ile akdedilen sözleşme kapsamında AB kurumlarının kamu görevi göz önünde bulundurularak tarafların rolleri kontrol edilmelidir.

Veri işleme faaliyetinden kimin sorumlu olduğuna ilişkin herhangi bir problemin önüne geçmek adına, veri sorumlusu ve veri işleyen rolleri ve yükümlükleri açık bir şekilde tanımlanmalıdır.

Veri sorumlusu – veri işleyen sözleşmelerinde Tüzük’ün 29/3 maddesinde yer alan zorunlu unsurların karşılandığından emin olunmalıdır. Bu noktada AKVD’nin veri sorumlusu, veri işleyen ve müşterek veri sorumlusu kavramlarına ilişkin kılavuzu incelenebilir.

  • AB ve Avrupa Ekonomik Topluluğu (“AET”) sınırlarında veri işleme faaliyeti ve veri transferi

Kurum dışı tedarikçiler AB ve AET sınırları içerisinde teşkilatlanmış olsa dahi tedarikçinin verdiği hizmet kapsamında AB/AET sınırları dışına (yedekleme, arıza giderme, müşteri destek hizmetleri de dâhil olmak üzere) veri transferi gerçekleştirip gerçekleştirmediği belirlenmelidir. Eğer ki AB/AET dışına bir aktarım söz konusuysa tedarikçinin Tüzük’ün 5. Kısmında yer alan veri güvenliği tedbirlerini (örneğin onaylanmış bağlayıcı kurumsal kurallar) yerine getirdiğinden emin olunmalıdır.

Eğer tedarikçi AB/AET sınırları dışında ise ve Avrupa Komisyonu’nun yeterlilik kararı kapsamında değil ise, Tüzük’ün 48. Maddesi gereğince uygun koruma tedbirlerinin alınması gerekmektedir.

Brexit sonrası uluslararası veri transferine ilişkin AVKD bilgi notu incelenerek farklı transfer vasıtaları detaylı olarak incelenebilir.

  • İşveren veya tedarikçi tarafından izleme faaliyetinin işlevselliği

Uzaktan çalışma ve çevrimiçi video konferans araçları çoğu zaman işverenlere, çevrimdışı çalışmaya kıyasla, çalışanları gözetlemek akımından ek olanaklar sağlamaktadır. Olağan veri koruma kuralları gözetildiğinde işveren ya da tedarikçi tarafından herhangi bir gözetim yapılmıyor olmalıdır.

Tedarikçi tarafından çalışanın gözetimi konusunda, tedarikçinin hizmet tanımları kontrol edilmeli, yerinde izleme yapılmadığından emin olunmalı, sözleşmesel ek önlemler alınmalıdır.

İşveren tarafından gözetim konusunda, gözetimin önüne geçen araçlar yapılandırılmalı ve bu konuda çalışanlara şeffaf olunmalıdır. Çalışanın gözetlenmesinin zorunlu olduğu durumlarda ise bu müdahaleci tedbirlerin, veri işleme faaliyetinden elde edilecek amaç ile orantılı olması sağlanmalıdır.

Ayrıca evden çalışan ekip üyelerinin şahsi bilgisayarları ile çalışabileceği ihtimali göz önünde bulundurulmalıdır. Evden çalışmasını sürdürenlerin özel hayatı (ev alanı) ve kişisel dijital mahremiyetleri gasp edilmemelidir.

AVKD Video gözetimi kılavuzu genel olarak görüntü kaydı yolu ile gözetime odaklansa da yüksek mahremiyet beklentisi (sayfa 21) ve gizli gözetim (sayfa 23) başlıkları genel anlamda uzaktan çalışanların gözetimine ilişkin olarak yol gösterici olabilir.

Video konferans araçları toplantıları kaydetmeye olanak sağlamaktadır.  Bu durumda yüz yüze yapılan çevrim içi toplantılarının kaydedilmesi için ilgili kişinin açık rızası alınmalıdır.

  • Verilerin saklanması

Kurum içinden veya kurum dışından sağlanmış olması fark etmeksizin, yeni bir uzaktan çalışma aracı devreye alındığında, bu araç vasıtası ile işlenen kişisel verilerin saklama süresi, veri işleme faaliyetinin amacı ile uyumlu olacak şekilde yapılandırılması gerekmektedir.

Kurum dışı tedarikçiler ile anlaşılması halinde tedarikçilerden, sözleşmenin sona ermesiyle birlikte kişisel verinin iade edileceğine veya silineceğine ilişkin, açık ve bağlayıcı bir taahhüt alınmalıdır.

  • Veri güvenliği

Yeni uzaktan çalışma araçların kullanılmaya başlanması veya mevcut araçların kullanımının yoğunlaşması halinde söz konusu araçların veri güvenliğini sağlamak amacıyla ilave tedbirleri ihtiyacını doğurabilir.

Anlık mesajlaşma uygulamaları, çevrim içi işbirliği araçları, elektronik posta, video konferans araçları gibi çeşitli elektronik haberleşme uygulamaları üzerinden kişisel veri işleme faaliyetleri kapsamında gizliliği, doğruluğu ve elverişliliği sağlayacak tedbirlerin alınması için Bilgi Teknolojileri departmanlarının, Yerel Bilgi Güvenliği Görevlisinin ve Veri Güvenliği Görevlisinin birlikte çalışması gerekmektedir.

Covid-19 krizi, iş iletişimlerindeki dış bağlantı trafiğini arttırsa da bu durum standart süreçlerden sapmaya ve uzaktan çalışma sırasında otomatize edilmiş araçlara erişilmezliğe yol açabilir. Bu da insan hatasına bağlı olarak veri ihlali yaşanması ihtimalini yükseltmektedir. Kişisel veri ihlali yaşandığı takdirde bildirimde bulunma yükümlülüğü devam etmektedir. AVKD kişisel veri ihlali bildirimi kılavuzu bu konuda yönlendirici olacaktır.

Çalışanların sahte e-posta, şifre avcılığı ve Covid-19’u kullanarak sosyal mühendislik saldırıları vasıtasıyla gerçekleştirilebilecek kişisel veri ihlalleri konusunda farkındalığı sağlanmalıdır.

Veri güvenliğinin sağlanması için yerine getirilmesi gereken genel gereklilikler ve buna bağlı diğer yükümlülükler yerine getirilmeye devam edilmelidir. Örneğin, kriptografik teknolojiler risk temelli bir yaklaşımda, uçtan uca şifrelemeyi sağlayacak şekilde (noktadan noktaya yönteminin aksine) kullanılmalıdır. Böylece bilginin doğruluğu ve gönderenin kimliği korunmuş olur.

Mevcut kriz, hâlihazırda yürürlükte olan kurum politikalarının, akdedilmiş veya akdedilecek sözleşmelerin yeterli koruma tedbirlerini sağlayıp sağlamadığı hususunda tekrar gözden geçirmek için fırsat olabilir.

AVKD’nin mobil uygulamaların ve bulut bilişim sistemlerinin kullanılmasına ilişkin kılavuzları, yeni kullanılmaya başlayacak olan uygulamalar bakımından mevcut soruları ve kurumların kendi içinde geliştirmekte olan uygulamalar bakımından yönlendirici olacaktır.

2. Sağlık Verisi Meseleleri
  • Medikal servislerin rolü

Sağlık verilerine erişilmesi ve bu verilerin işlenmesi sağlık profesyonelleri tarafından gerçekleştirilmektedir.  Covid-19 enfekte veya enfekte şüphesi taşıyan personelin sağlık hizmeti uzmanı, yetkili ulusal (halk sağlığı) kuruluşlarla ve Kurumunun medikal servisi ile uygun düştüğü ölçüde işbirliği içerisinde olmalıdır.

AB Kurumları, çalışanlarının tıbbi mahremiyetini korumak adına dikkatli olmalı ve Tüzük’ün 10. Maddesinde yer alan ek tedbirleri yerine getirerek çalışanlarına ait sağlık verilerini işlemelidir. Covid-19’un yüksek bulaşıcılık oranı ve çalışanların sağlıklarını gözetme yükümlülüğü dikkate alındığında, AB Kurumu sağlık servislerinin şüpheli ve enfekte çalışanlar için ilave takip tedbirlerini benimsemesi gerekebilir.

Daha önce AVKD’nin belirttiği üzere Covid-19 krizi geçici tedbirler almayı ve ek saklama sürelerini gerektirse de, krize ilişkin bu ek süreler de geçici olmalıdır.

  • Maruziyet bildirimi ve temas takibi

Temas takibi bulaşıcı hastalıklar bakımından halk sağlığı otoritelerinin kontrolündeki araçlardan biridir.

Halk sağlığı yetkilileri AB Kurumlarıyla ulusal temas takibi faaliyetlerinin bir parçası olarak irtibat kurabilir; AB Kurumu ise ilgili bilgiyi (aynı toplantıda bulunan kişiler, ofisi paylaşan kişiler vb) paylaşırken bir yandan da tıbbi mahremiyeti korumaya devam etmelidir. Yetkili halk sağlığı kuruluşu, kendisiyle paylaşılan verileri, ancak uygulanabilir mevzuat çerçevesinde işleyebilecektir.

Bazı AB üyesi devletlerde Covid-19 bildirilebilir bulaşıcı bir hastalıktır. Enfekte tanısını koyan sağlık çalışanı, ilgili vakayı (temas takibi yapılabilmesi adına iletişime geçebilmesi için kişinin adı da dâhil olmak üzere) yetkili halk sağlığı otoritesine bildirmektedir. Eski usul temas takibi yaparak meslektaşlarını bilgilendiren halk sağlığı otoriteleri söz konusu bilgileri ifşa etmemek hususunda çok dikkatli davranmaktadırlar.

GDPR ve söz konusu bu görevleri atayan yasal düzenlemeler yetkili ulusal makamların izleyen veri işleme faaliyetleri için uygulama alanı bulacaktır. Burada, yetkili makamlar, AB kurumlarından ayrı olarak veri sorumlusudurlar. Saklama süreleri, ilgili kişi hakları gibi prosedürler yetkili ulusal makamlarca takip edilecektir.

  • Sosyal ve bireysel boyutlar

AB Kurumları, Covid-19 pozitif vakaların kimliğini çalışanlarının çoğunluğunun öğreneceği şekilde açıklamamalıdır. Eğer bir çalışan kendi rızasıyla sağlık durumunu çalışma arkadaşlarına açıkladığı durumlarda, veri koruma kuralları çalışma arkadaşları arasındaki çiçek, kart gönderme ve benzeri sosyal girişimleri engellememektedir.

 

3. İlgili kişi hakları

Korona virüs salgını ilgili kişi haklarını askıya almamaktadır. Söz konusu haklar, Tüzük’ün 25. Maddesinde düzenlendiği üzere gereğince benimsenmiş, belirli, belgelendirilmiş sınırlandırmalar söz konusu olmadığı sürece, uygulanmaya devam etmektedir.

Erişim istekleri için bilgi sistemlerine uzaktan erişimin sağlandığından emin olunması gerekmektedir. Eğer hala AB Kurumları taleplere zamanında cevap verebilecek bir durumda değilse, yasal sürenin sona ermesinden önce, gecikmenin altında yatan sebepleri belgelendirmeli ve karar verme sürecinden ilgili kişileri haberdar etmelidir.

4. AVKD ve AB Kurumlarının İlişkisi

Kriz zamanında Tüzük’ün getirmiş olduğu yükümlülüklerin yerine getirilmesi esastır. Hesap verilebilirlik ilkesi gereği veri koruma hususlarında alınan kararların belgelendirilmiş kanıtlar mevcut olmalıdır.

AVKD, AB Kurumlarının deneme sürecinden geçtiğinden farkındadır. Tüzük, mevut duruma adapte olabilecek kadar esnektir.

Kriz durulduğunda (ya da şikayet söz konusu olduğunda) AVKD, ilgili Kurum tarafından kriz sırasında alınan aksiyonları inceleyebilir. Aynı zamanda AVKD mevcut kriz durumunda yönlendirmeler yapmaya devam edecektir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.