Bilimsel Amaçlı Sağlık Verisi İşleme İçin Avrupa Veri Koruma Kurulu’nun Yayımladığı Rehber

Çeviren: Stj. Av. Nermin N. GÖRGÜLÜ

Avrupa Veri Koruma Kurulu

Avrupa Parlamentosu ve Avrupa Parlamentosu’nun 2016/679 / AB Yönetmeliğinin 70 (1) (e) maddesi dikkate alınarak 27 Nisan 2016 tarihli gerçek kişilerin korunması ile ilgili Konsey, Kişisel verileriniz ve bu verilerin serbest dolaşımı ve 95/46 / EC sayılı Direktifin yürürlükten kaldırılması,

EEA Anlaşmasını (1 Ocak 1994 tarihinde yürürlüğe giren Avrupa Ekonomik Alanı Anlaşması) ve özellikle de değiştirildiği şekliyle Ek 11 ve Protokol 37’yi dikkate alarak 6 Temmuz 2018 tarih ve 154/2018 sayılı EEA Ortak Komitesinin Kararı, Usul Kurallarının 12. ve 22. maddelerini dikkate alarak aşağıdaki kılavuzları kabul etmiştir.

1.Giriş
  1. COVID-19 salgını nedeniyle, şu anda salgına karşı mücadelede büyük bilimsel araştırma çalışmaları var. Araştırma sonuçları mümkün olabildiğince hızlı üretilmeye çalışılıyor.
  2. Aynı zamanda, GDPR madde 4 (15) uyarınca sağlık verilerinin kullanımına ilişkin hukuki sorular böyle araştırmalar amacıyla ortaya çıkmaya devam ediyor. Bu kılavuz ilkeler en acil durumlara ışık tutmayı amaçlıyor. Hukuki dayanak; bu tür konular için yeterli güvencenin uygulanması için sağlık verilerinin işlenmesi ve veri sahibi haklarının kullanılması.
  3. Lütfen unutmayın ki sağlık verilerinin işlenmesi için daha ayrıntılı bir rehber geliştirmek, bilimsel araştırma amacıyla EDPB’nin (Avrupa Veri Koruma Kurulu) yıllık çalışma planının bir parçasıdır.
2.GDPR Uygulaması
  1. Veri koruma kuralları (GDPR gibi) COVID19 salgınıyla mücadelede alınan önlemleri engellemez. GDPR, geniş bir mevzuat parçasıdır ve izin veren çeşitli hükümler öngörmektedir. GDPR ayrıca, belirli kişilerin özel kişisel veri kategorilerini, sağlık verileri gibi, gerekli bilimsel araştırmalarda kullanır.
  2. COVİD19 salgınına bağlı bilimsel araştırmalarda sağlık verileri işlenirken, AB’nin Temel Hakları uygulanmalıdır. Ne Veri Koruma Kuralları ne de Avrupa Birliği Temel Haklar Şartı’nın 13. maddesi uyarınca Bilim Özgürlüğü diğerine göre önceliklidir. Aksine bu hak ve özgürlükler dikkatle değerlendirilmeli ve dengeli, her ikisinin de özüne saygı duyan bir sonuç çıkarılmalıdır.
3.Tanımlar
  1. Hangi işleme operasyonlarının öngörülen özel rejimden yararlandığını anlamak önemlidir. GDPR ve mevcut kılavuzlarında ayrıntılı olarak açıklanmıştır. Dolayısıyla “sağlıkla ilgili veriler” terimleri, “Bilimsel araştırma amacıyla işleme” ve “ileri işleme” (aynı zamanda Sağlık verilerinin birincil ve ikincil kullanımı) tanımlanmalıdır.
3.1.Sağlıkla İlgili Veriler
  1. GDPR madde 4 (15)’e göre ‘’sağlıkla ilgili veriler’’ sağlık durumuyla ilgili bilgileri ortaya koyan, sağlık hizmetlerinin sağlanması da dâhil olmak üzere gerçek bir kişinin fiziksel veya zihinsel sağlığıyla ilgili kişisel veriler anlamına gelir. Resital 53’te de belirtildiği gibi sağlıkla ilgili kişisel veriler daha yüksek korumayı hak eder. Böyle hassas verilerin kullanımının, veri özneleri için önemli olumsuz etkileri olabilir. (https://gdpr-info.eu/recitals/no-53/ / 30/04/2020) Bunun ışığında ve Avrupa Adalet Divanının ilgili içtihadında ‘’sağlıkla ilgili veriler’’ terimine geniş yorum yapılmalıdır.
  2. Sağlıkla ilgili veriler farklı kaynaklardan elde edilebilir. Örneğin;
  • Bir sağlık uzmanı tarafından hasta kaydında toplanan bilgiler (tıbbi geçmiş, muayene ve tedavi sonuçları gibi)
  • Diğer verilerle çapraz referans vererek sağlık verisi haline gelen bilgiler sağlık durumu veya sağlık riskleri (bir kişinin daha yüksek risk taşıdığı varsayımı gibi belli bir kan üzerinde ölçülen yüksek tansiyona bağlı kalp krizi geçirme zamanı)
  • ‘’Kendi kendine kontrol’’ anketinden alınan bilgiler, veri öznelerinin kendileriyle ilgili sağlık sorunları (belirtileri söylemek gibi)
  • Belirli bir bağlamda kullanılması nedeniyle sağlık verisi haline gelen bilgiler (COVID-19’dan etkilenen bir bölgeye yakın zamanda yapılan bir gezi veya buralardaki varlığı hakkında tanı koymak için bir tıp uzmanı tarafından işlenen veri gibi)
3.2.Bilimsel Araştırma Amacıyla İşleme
  1. GDPR madde 4; ‘’bilimsel amaçlarla işleme’’ için açık bir tanım gerektirmez. Resital 159’da belirtildiği gibi; ‘’…kişisel verilerin bilimsel araştırma amaçları için işlenmesi, örneğin teknolojik gelişme ve gösteri, temel araştırma, uygulamalı araştırma ve özel olarak finanse edilen araştırma gibi geniş bir şekilde yorumlanmalıdır. Ayrıca, Birliğin TFEU’nun (Avrupa Birliğinin İşleyişine İlişkin Anlaşma) 179 (1) maddesi uyarınca Avrupa Araştırma Alanına ulaşma hedefini dikkate alması gerekmektedir. Bilimsel araştırma amaçları aynı zamanda halk sağlığı alanında yürütülen çalışmaları da içermelidir.’’ (https://gdpr-info.eu/recitals/no-159/ 30/04/2020)
  2. Eski madde 29-Çalışma Grubu terimin ortak anlam dışında genişletilemeyeceğini çoktan belirtmiştir ve bu bağlamda “bilimsel araştırma” “sektörle ilgili, iyi uygulamalara, metodolojik ve etik kurallara uygun olarak oluşturulmuş bir araştırma projesi” anlamına gelir.
3.3.İlave İşlemler
  1. Son olarak, “bilimsel araştırma amacıyla sağlık verilerinin işlenmesi” hakkında konuşurken, iki tür veri kullanımından söz edilir:
  • Kişisel araştırma (sağlık) için doğrudan toplanan verilerin kullanımını içeren bilimsel çalışmalar (birincil kullanım)
  • Başlangıçta verilerin daha fazla işlenmesini içeren kişisel veriler (sağlık) üzerine araştırma başka bir amaçla toplanması (ikincil kullanım)
  1. Örnek 1. COVID-19 ile enfekte olduğundan şüphelenilen kişiler üzerinde klinik araştırma yapmak için sağlık verileri toplanır ve anketler kullanılır. Bu, yukarıda tanımlandığı gibi sağlık verilerinin “birincil kullanımı” durumudur.
  2. Örnek 2. Bir veri sahibi, SARS-CoV-2 hastalığının belirtileri hakkında bir sağlık uzmanına hasta olarak danışmıştır. Sağlık hizmeti sağlayıcısı tarafından kaydedilen sağlık verileri, bilimsel araştırmalar için kullanılıyorsa daha sonra sağlık verilerinin bu kullanımı, ‘’ikincil kullanım’’ olabilir.
  3. Sağlık verilerinin birincil veya ikincil kullanımına dayalı bilimsel araştırmalar arasındaki ayrım; işlemenin yasal dayanağı hakkında konuşurken özellikle önemli hale gelir, bilgi yükümlülükleri ve amaçla sınırlılık ilkesi GDPR madde 5 (1) (b)’ de belirtildiği gibidir.
4.İşlemenin Yasal Temeli
  1. Sağlıkla ilgili tüm kişisel verilerin işlenmesi, aşağıdakilerle ilgili ilkelere uygun olmalıdır: GDPR 5. maddesinde belirtilen yasal dayanaklardan biri ve spesifik derogasyonlarla işleme bu özel kişisel veri kategorisinin yasal olarak işlenmesi için GDPR madde 6 ve madde 9’da listelenmiştir.
  2. Bilimsel araştırma amacıyla sağlık verilerini işlemek için yasal dayanaklar ve uygulanabilir derogasyonlar madde 6 ve madde 9’da verilmiştir. Sonraki bölümde ilgili kurallar, rıza ve ilgili ulusal mevzuat ele alınmaktadır. GDPR maddeleri arasında öngörülen yasal dayanaklar arasında hiçbir sıralama olmadığı unutulmamalıdır.
4.1.Rıza
  1. GDPR madde 6 (1) (a) ve madde 9 (2) (a) uyarınca toplanan veri sahibinin rızası, COVID-19 bağlamında sağlıkla ilgili verilerin işlenmesi için yasal bir temel sağlamaktadır.
  2. Bununla birlikte açık rıza için tüm koşulları, özellikle de GDPR madde 4 (11), madde 6 (1) (a), madde 7 ve madde 9 (2) (a) yerine getirilmelidir. Özellikle rıza özgürce verilmeli, spesifik, bilgilendirilmiş ve açık olmalı, bir açıklama yoluyla veya “açık olumlu eylem’’ ile yapılmalıdır.
  3. Resital 43’te belirtildiği gibi, veri sahibi ve denetleyici arasında açık bir dengesizlik olması durumunda onay serbestçe verilmiş kabul edilemez. (https://gdpr-info.eu/recitals/no-43/) Bu nedenle bir veri sahibine baskı yapılmaması ve rıza vermemeye karar verirse dezavantaj oluşturulmaması gerekir. Klinik araştırmalar bağlamında onayı EDPB zaten ele aldı. Özellikle açık rıza konusunda daha fazla yönlendirme, önceki 29. Madde-Çalışma Grubu’nun rıza kılavuzlarında bulunabilir
  4. Örnek: Belirli bir popülasyonla ilgili girişimsel olmayan bir çalışmanın parçası olarak semptomları ve hastalığın ilerlemesini araştırmak için bir anket yapılır. Bu tür sağlık verilerinin işlenmesi için, araştırmacılar, GDPR madde 7’de belirtilen koşullar altında veri sahibinin rızasını isteyebilir.
  5. EDPB’nin görüşüne göre, yukarıdaki örnek “açık bir güç dengesizliği” durumu olarak kabul edilmez. Veri sahibinin araştırmacılara 43 no’lu resitalde belirtildiği gibi rıza gösterebilmesi gerekir. (İlgili kişi baskı altında olmadığı ya da rıza vermemesinin olumsuz sonuç doğurabileceği tehdidi altında hissetmediği durumlarda bu geçerlidir). Verilen örnekte ilgili kişiler, araştırmacıların uygun olmayan şekilde özgür iradelerini kullanmalarını sağlayacak hiçbir zorunluluk altında değillerdir ayrıca ilgili kişi rıza vermeyi reddederse bu durum olumsuz sonuç doğurmayacaktır.
  6. Bununla birlikte araştırmacılar, rıza işlemenin yasal dayanağı olarak kullanılıyorsa, GDPR 7 (3) maddesi uyarınca bireylerin bu rızayı istedikleri zaman geri çekme olasılığı olmalıdır. Eğer rıza geri alınırsa, GDPR uyarınca rızaya dayalı tüm veri işleme işlemleri kalır. Denetleyici, ilgili işleme eylemlerini durduracak ve daha fazla işlem için elde tutmayı haklı kılan başka bir yasal dayanak yoksa veriler kontrolör tarafından silinecektir.
4.2. Ulusal Mevzuat
  1. GDPR 6 (1) e ve 6 (1) f ve 9 (2) j ve 9 (2) f maddelerinde belirtilen istisnaların birlikte değerlendirilmesi; ilgili kişilerin kişisel (sağlık) verisinin bilimsel araştırma için işlenmesine yasal bir temel sağlayabilir. Bu durum klinik araştırma bağlamında Kurul tarafından aydınlığa kavuşturulmuştur.
  2. Örnek: COVID-19 hastalarının tıbbi çizelgeleri üzerinde yapılan geniş bir popülasyon temelli çalışma.
  3. Yukarıda belirtildiği gibi AB ve her bir Üye Devletin ulusal yasama organı için bilimsel araştırma amaçlı sağlık verilerinin işlenmesinde, GDPR 9 (2) (j) ve 9 (2) (i) maddeleri yasal bir dayanak teşkil eder. Bu nedenle, işleme koşulları ve kapsamı Üye Devletin yürürlükteki yasalarına bağlı olarak değişir.
  4. GDPR 9 (2) (i) maddesinde öngörüldüğü gibi, bu tür yasalar; veri sahibinin haklarını ve özgürlüklerini, özellikle mesleki gizliliği korumak için uygun ve spesifik önlemlerin alınmasını sağlar. Benzer şekilde GDPR madde 9 (2) (j)’de öngörülen bu tür yasalar; amaçlananla orantılı olmalı, veri koruma hakkının özüne saygı göstermeli ve veri sahibinin temel haklarını ve çıkarlarını korumalıdır.
  5. Ayrıca bu tür yasalar, GDPR madde 5 ışığında ve ECJ (Avrupa Adalet Mahkemesi) içtihatları göz önünde bulundurularak yorumlanmalıdır. Özellikle derogasyonlar ve GDPR 9 (2) (j) maddesinde ve 89. maddede sağlanan verilerin korunması ile ilgili olarak; sadece kesinlikle gerekli olduğu kadarıyla olmalıdır.
5.Veri Koruma İlkeleri
  1. GDPR 5. maddesi uyarınca kişisel verilerin işlenmesine ilişkin esaslara, kontrol eden denetleyici ve işlemci tarafından -özellikle bilimsel araştırma için büyük miktarda veri işlenmesi durumunda- saygı duyulacaktır. Mevcut kılavuzların bağlamı dikkate alındığında, bu ilkelerin en önemli yönleri aşağıda ele alınmıştır.
5.1. Veri Konularına İlişkin Şeffaflık ve Bilgi
  1. Şeffaflık ilkesi, veri sahibinin kişisel verilerinin adil ve şeffaf bir şekilde işlenmesi anlamına gelir. Bu ilke GDPR madde 13 ve 14’teki bilgi yükümlülükleriyle güçlü bir şekilde bağlantılıdır.
  2. Genel olarak, bir veri sahibi; kişisel verilerinin bilimsel amaçlarla işlenmesi hakkında bireysel olarak bilgilendirilmelidir. Sunulan bilgiler GDPR madde 13 ve madde 14’te belirtilen tüm unsurları içermelidir.
  3. Araştırmacıların genellikle doğrudan elde etmedikleri sağlık verilerini işledikleri belirtilmelidir. Kişisel verilerin doğrudan sahibinden elde edilmediği durumlarda sağlanacak bilgi yükümlülüklerini kapsayan GDPR madde 14 burada odak noktası olacaktır.
5.2. Veri Sahibi Ne Zaman Bilgilendirilmeli?
  1. Kişisel veriler, veri sahibinden elde edilmediğinde GDPR madde 14 (3) (a) kontrolörün bilgi vermesini şart koşar, kişisel veriler elde edildikten sonra, makul süre içinde, ancak en geç bir ay içinde kişisel veriler işlenir.
  2. Mevcut bağlamda, özellikle GDPR madde 14 (4)’e göre; Kontrolör, kişisel verileri, elde edilenden farklı bir amaç için daha fazla işlemek istediği durumlarda daha sonraki işlemden önce, söz konusu diğer amaca ilişkin bilgiler ve atıfta bulunulan ilgili diğer bilgiler veri sahibine sağlanacaktır.
  3. Verilerin bilimsel amaçlarla daha ileri düzeyde işlenmesi ve işlenen verilerin hassasiyeti için, madde 89 (1) uygun bir koruma sağlamaktır. Böylece araştırma projesinden haberdar olma ve haklarını önceden kullanma imkânı sağlanır.
5.1.2 Muafiyetler
  1. Ancak GDPR madde (14) (5) bilgi yükümlülüğünden dört muafiyet öngörmektedir; (‘’kamu yararına, bilimsel veya tarihi araştırma amaçlarına veya istatistiksel amaçlara yönelik arşivleme amacıyla işlemek için imkânsızdır veya orantısız bir çaba içerecektir’’) ve (c) kontrolörün tabi olduğu ve veri sahibinin meşru menfaatlerini korumak için uygun tedbirler Birlik veya Üye Devlet yasaları tarafından açıkça belirtilir. Bilgi yükümlülüğü için GDPR madde 14 (4) özellikle önemlidir.
5.1.2.1. İmkânsızlığın Kanıtlanması
  1. Şeffaflık ilkesine ilişkin kılavuzda,  eski Madde 29-Çalışma Grubu şuna işaret etmiştir;  kanıtlamanın imkânsız olduğu durumunda GDPR 14(5) (b) maddesi uyarınca bilgi sağlamak ya hep ya hiç durumudur. Çünkü bir şey ya imkânsızdır ya da değildir. İmkânsızlık dereceleri diye bir şey yoktur. Böylece, bir veri denetleyicisi bu muafiyete güvenmeye çalışırsa, söz konusu bilgiyi verileri işlemesini engelleyen faktörleri gösterebilir. Eğer belli bir süre sonra “imkânsızlığa” neden olan faktörler kalmaz ve veri sahiplerine bilgi sağlamak mümkün hale gelirse, veri denetleyicisi bunu hemen yapmalıdır. Uygulamada bir veri denetleyicisinin, veri sahiplerine bilgi sağlamasının gerçekten imkânsız olduğunu gösteren oldukça az durum olacaktır.
5.1.2.2. Orantısız Çaba
  1. Neyin orantısız çaba oluşturduğunu belirlerken, Resital 62 veri kanunlarının sayısını, verinin yaşını ve mevcut gösterge niteliğindeki olası önlemleri ifade eder. Yukarıda bahsedilen Şeffaflık Kılavuzunda, kontrolörün, bilgi sağlanmadığı takdirde veri sahibine veri konusu üzerindeki etkisine veya etkilerine karşı bilgi sağlama çabalarını değerlendirmek için bir dengeleme uygulaması yapması önerilir.
  2. Örnek: Kullanılabilir iletişim bilgilerinin olmadığı çok sayıda veri sahibi varsa bu durum, bilgiyi sağlamak için orantısız bir çaba olarak kabul edilir.
5.1.2.3 Hedeflerde Önemli Ölçüde Bozulma
  1. Bu istisnayı kullanmak için, veri denetleyicileri, GDPR madde 14(1)’ de belirtilen bilgilerin sağlanmasının, işlemin amaçlarına ulaşılmasını imkânsız hale getireceğini veya ciddi şekilde bozacağını göstermelidir.
  2. GDPR (14) (5) (b) maddesinin muafiyetinin geçerli olduğu durumlarda, “denetleyici, veri sahibinin hak ve özgürlüklerini ve bilgilerin kamuya açık hale getirilmesi de dahil olmak üzere meşru çıkarlarını korumak için uygun önlemleri alır.”

5.1.2.4. Elde Etme veya İfşa, Birlik veya Üye Devlet Yasalarıyla Açıkça Belirtilir

  1. GDPR 14 (5) (c) maddesinde bilgi gerekliliklerinin derogasyonunu,  14 (1), (2), (4). maddelerde kişisel verilerin elde edilmesi veya ifşa edilmesini Birlik veya Denetleyicinin tabi olduğu Üye Devlet yasası açıkça belirtir ve izin verir. Bu muafiyet, “veri sahibinin meşru menfaatlerini korumak için uygun önlemler’’ sağlayan söz konusu yasaya bağlıdır. Yukarıda bahsedilen Şeffaflık Kılavuzunda belirtildiği gibi, bu yasa doğrudan veri denetleyicisine hitap etmeli ve söz konusu elde etme veya açıklama veriler üzerinde zorunlu olmalıdır. Bu muafiyete dayanarak,  EDPB, veri denetleyicisinin söz konusu kanunun kendileri için nasıl geçerli olduğunu gösterebilmesi gerektiğini ve söz konusu kişisel verileri edinmelerini veya ifşa etmelerini gerektirdiğini hatırlatır.
5.2. Amaç Sınırlaması ve Uyumluluk Varsayımı
  1. GDPR madde 5 (1) (b) uyarınca kişisel veriler; belirlenmiş, açık ve meşru amaçlar için toplanmış olmalı ve bu amaçlarla uyumsuz bir şekilde işlenmemelidir.
  2. Ancak GDPR Madde 5 (1) (b) tarafından sağlanan “uyumluluk varsayımı”, […] bilimsel araştırma amaçları […] için işlemenin, madde 89 (1) uyarınca, ilk amaçlarla uyumsuz olduğu kabul edilir. Bu konu yatay ve karmaşık yapıda olması nedeniyle bilimsel araştırma amaçlı sağlık verilerinin işlenmesi ile ilgili planlanan EDPB kılavuzlarında daha ayrıntılı ele alınacaktır.
  3. GDPR Madde 89 (1), verilerin araştırma amacıyla işlenmesini öngörmektedir ‘’tabi olunacak uygun güvenceler’’, bu güvenceler teknik ve organizasyoneldir. Özellikle veri minimizasyonu ilkesine saygıyı sağlamak için önlemler mevcuttur.  Bu önlemler söz konusu amaçların yerine getirilebilmesi şartıyla takma adlandırma içerebilir.
  4. GDPR m.89/1 düzenlenme amacı olarak; minimizasyon ilkesinin, dürüstlük ve gizlilik ilkesinin aynı zamanda veri koruma ilkesinin önemini vurgulamaktadır. Sonuç olarak, sağlık verisinin hassaslığı ve bilimsel araştırma amacı ile tekrar kullanılması riski göz önünde bulundurulduğunda, GDPR madde 32’nin gerektirdiği uygun güvenlik seviyesini sağlamak için sıkı önlemler alınmalıdır.
5.3. Veri Minimizasyonu ve Depolama Sınırlaması
  1. Bilimsel araştırmada, araştırma soruları ve bunları doğru şekilde cevaplamak için gerekli veri türü ve miktarı değerlendirilir. Hangi verilere ihtiyaç duyulduğu, araştırmanın amacına bağlıdır, GDPR madde 5 (1) (b) uyarınca her zaman amaçla sınırlılık ilkesine uyulmalıdır. Verilerin nerede anonimleştirilmesi gerektiği unutulmamalıdır ve anonimleştirilmiş verilerle bilimsel araştırma yapılması mümkündür.
  2. Ayrıca, orantılı depolama süreleri belirlenecektir. GDPR Madde 5 (1) (e) ‘de öngörüldüğü gibi ‘’Kişisel veriler yalnızca arşivleme için işleneceği sürece daha uzun süre saklanabilir (…) bilimsel amaçlar (…) 89 (1) maddesi uyarınca, uygun teknik ve bu Tüzüğün korunması için gerekli olan kurumsal önlemler veri sahibinin hak ve özgürlükleri’’
  3. Saklama sürelerini (zaman çizelgeleri) tanımlamak için, uzunluk ve amaç gibi araştırma kriterleri dikkate alınmalıdır. Ulusal hükümlerin depolama süreleriyle ilgili kurallar koyabileceğine dikkat edilmelidir.
5.4. Dürüstlük ve Gizlilik
  1. Yukarıda belirtildiği gibi sağlık verileri gibi hassas veriler, veri sahipleri bakımından olumsuz etkilere yol açmaması için daha yüksek koruma gerektirir. Bu değerlendirme özellikle COVID-19 salgını için geçerlidir; sağlık verilerinin bilimsel amaçlar için öngörülebilir şekilde yeniden kullanılması bu tür verileri işleyen varlıkların sayısı ve türünde bir artışa yol açar.
  2. Bütünlük ve gizlilik ilkesinin GDPR madde 32 (1) ve madde 89 (1) ile birlikte okunması gerektiğine dikkat edilmelidir. Belirtilen hükümlerle tamamen uyumlu olmalı. Bu nedenle, yukarıda özetlenen yüksek riskler göz önüne alındığında uygun tekniğin ve yeterli düzeyde güvenliğin sağlamak için kurumsal güncel önlemler uygulanmalıdır.
  3. Bu tür önlemler en azından takma adlandırma şifrelemesi, gizlilik sözleşmeleri içermeli ve erişim için katı kısıtlamalar olmalıdır. Ulusal hükümler, somut teknik gereklilikler şart koşabilir veya diğer gizlilik kurallar gibi güvenceler içerebilir.
  4. Ayrıca, GDPR 35’e göre bir veri koruma etki değerlendirmesi yapılmalıdır, böyle bir işlemede GDPR 35 (1) uyarınca “gerçek kişilerin hak ve özgürlükleri için yüksek riskle sonuçlanması muhtemel” dir. GDPR madde 35 (4) ve madde 5’e uygun olacak.
  5. Bu noktada, EDPB veri koruma görevlilerinin önemini vurgulamaktadır. COVID19 salgını bağlamında bilimsel amaçlarla sağlık verilerinin işlenmesi konusunda koruma görevlilerine danışılmalıdır.
  6. Son olarak, verileri korumak için kabul edilen önlemler (aktarımlar sırasındakiler dahil) işleme faaliyetleri kaydında belgelenmiş ve düzgün olmalıdır.
6. Veri Sahibinin Haklarının Kullanılması
  1. Prensip olarak, mevcut COVID-19 salgınında veri sahipleri GDPR Madde 12-22 uyarınca haklarını kullanacak. Ancak, GDPR madde 89 (2) ulusal yasa koyucunun, veri sahibinin Bölüm 3’te belirtilen haklarının (bazılarını) kısıtlamasına izin verilir. Bu nedenle, veri sahibinin haklarının kısıtlanması, Üye Devletlerin yürürlükteki yasaları ile değişebilir.
  2. Ayrıca, veri sahibi haklarının bazı kısıtlamaları doğrudan Yönetmeliğe dayanabilir; GDPR madde 15 (4) uyarınca erişim hakkı kısıtlaması ve 17 (3) (d) uyarınca silme. GDPR madde 14 (5) uyarınca bilgi yükümlülüğü muafiyetleri zaten ele alınmıştı.
  3. Avrupa Adalet Divanı’nın içtihadı ışığında, veri haklarının tüm kısıtlamalarına dikkat edilmelidir, sadece kesinlikle gerekli olduğu sürece başvurmalıdır.
7. Bilimsel Araştırma İçin Uluslararası Veri Transferleri
  1. Araştırma ve özellikle COVID-19 salgını bağlamında, AEA dışındaki bilimsel araştırma amaçlı veriler için muhtemelen uluslararası sağlık transferleri anlamına gelebilecek uluslararası işbirliğine ihtiyaç vardır.
  2. Kişisel veriler AEA üyesi olmayan bir ülkeye veya uluslararası kuruluşa aktarıldığında, GDPR özellikle 5. maddesinde (veri koruma ilkeleri) belirtilen kurallara, madde 6 (yasallık) ve madde 9 (özel veri kategorileri), ayrıca Bölüm V (veri aktarımı) kurallarına uyulur.
  3. Bu kılavuzun 7. sayfasında belirtildiği gibi şeffaflık şartına ek olarak; üçüncü ülke veya uluslararası kuruluş kişisel verileri bir bilgisayara aktarmak niyetinde olduğunu veri ihracatçısına bildirir. Transferin, GDPR madde 46 ve 49 (1)’deki istisnalara aykırı olmaması gerekir. Bu görev, kişisel verilerin doğrudan veri sahibinden elde edilip edilmediğine bakılmaksızın söz konusu olur.
  4. Genel olarak, ülkeler, uluslararası kuruluşlar veya veri ihracatçıları, kişisel verilerin üçüncü tarafa aktarılması için bu koşulların nasıl ele alınacağını düşünürken; her aktarımda veri sahibinin özgürlükleri, veri sahiplerine garanti veren çözümlerle temel haklarının sürekli korunması ve bunların işlenmesi ile ilgili güvenceler veri aktarıldıktan sonra bile geçerlidir. Bu durum, yeterli koruma seviyesi veya GDPR 46.maddede bulunan uygun önlemlerden birinin kullanılması durumunda, veri sahipleri için uygulanabilir hakların ve etkili yasal çözüm yollarının mevcut olmasını sağlar.
  5. GDPR 45 (3) veya uygun koruma tedbirleri uyarınca bir yeterlilik kararının olmaması durumunda GDPR 46. maddesi uyarınca, GDPR 49. maddesi, aşağıdaki özel durumları öngörmektedir: kişisel verilerin aktarımı bir istisna olarak gerçekleşebilir. GDPR 49. maddesinde yer alan istisnalar dolayısıyla genel kuraldan muaftırlar ve bu nedenle vaka bazında(her bir durum için ayrı ayrı) yorumlanmalıdırlar. Mevcut COVID-19 krizine uygulanan 49 (1) (d) maddesinde ele alınan (‘’transferin önemli kamu yararı nedenleriyle gerekli olması’’) ve (a) (‘’açık rıza’’) uygulanabilir.
  6. COVID-19 salgını, eşi görülmemiş bir yapı ve ölçekte olağanüstü bir sağlık krizine neden oluyor. Bu bağlamda EDPB, COVID-19 ile mücadelenin AB tarafından tanındığını düşünmektedir ve Üye Devletlerin çoğu önemli bir kamu yararı olarak, acil eylem gerektirebilecek bilimsel araştırma alanı olarak (örneğin tedavileri tanımlamak ve/veya aşı geliştirmek) üçüncü ülkeler veya uluslararası kuruluşları transferlere dâhil edebilir.
  7. Sadece kamu yetkilileri değil, aynı zamanda kamu yararını gözetmede rol oynayan özel kuruluşlar (örneğin bir üniversitenin aşı geliştirme konusunda araştırma yapan enstitüsüyle işbirliği yapan uluslararası ortaklık) yukarıda bahsedilen mevcut pandemi bağlamında derogasyona dayanabilir.
  8. Ayrıca belirli durumlarda, özellikle özel kuruluşlar tarafından COVID-19 salgını ile mücadele etmeyi amaçlayan tıbbi araştırma amacıyla, bu tür kişisel verilerin transferleri veri sahiplerinin açık rızası temelinde gerçekleşebilir.
  9. Dünyadaki tıbbi durumun aciliyeti nedeniyle geçici bir önlem olarak kamu yetkilileri ve özel kuruluşlar, mevcut pandemi bağlamında,  GDPR madde 45/3’te belirtilen uygunluk kararının olması ya da 46. maddede belirtilen uygun önlemlerin sağlanması imkânsızsa, yukarıda belirtilen istisnalara dayanabilir.
  10. Aslında,  COVID-19 krizinin niteliği, başlangıç ​​için geçerli derogasyonların kullanımını haklı kılabilirse bu bağlamda araştırma amacıyla yapılan transferler, uzun süreli bir araştırma projesinin parçası olan ülkelere GDPR Madde 46 uyarınca uygun güvencelerle aktarılır.
  11. Son olarak, bu tür transferlerin ilgili roller temel alınarak her durum için ayrı ayrı dikkate alınması gerekeceğine dikkat edilmelidir. Aktarımı çerçevelemek için uygun önlemleri belirlemek amacıyla ilgili roller (kontrolör, işlemci, ortak denetleyici) ve katılımcılarla ilgili yükümlülükleri (sponsor, araştırmacı) temel alınır.
8. Özet
  1. Bu kılavuzun temel bulguları:
  • GDPR,  COVID-19 salgını bağlamında yapılacak araştırmalarda sağlık verilerinin bilimsel amaçla işlenmesi için özel kurallar sağlar.
  • Her Üye Devletin ulusal yasa koyucusu, GDPR madde 9’a göre, GDPR (2) (i) ve (j) uyarınca bilimsel araştırma amacıyla sağlık verilerinin işlenmesini sağlamak için belirli yasalar çıkarabilir. Bilimsel araştırma amacıyla sağlık verilerinin işlenmesi de, GDPR madde 6 (1) ‘deki yasal dayanaklardan biri tarafından karşılanmalıdır.
  • GDPR  (9) (2) (i) ve (j) maddesine dayanan tüm yürürlükteki yasalar GDPR ilkeleri ışığında, GDPR 5. madde uyarınca ve Avrupa Adalet Mahkemesinin içtihadı dikkate alınarak yorumlanmalıdır. Özellikle, GDPR madde 9 (2) (j) ve madde 89 (2) ‘de sunulan verilerin korunmasına ilişkin derogasyonlar ve sınırlamalar sadece gerekli olduğu ölçüde uygulanmalıdır.
  • COVID-19 salgını bağlamında işleme riskleri göz önüne alındığında, GDPR madde 5 (1) (f), madde 32 (1) ve madde 89 (1)’e uyulmasına büyük önem verilmelidir. GDPR 35’inci maddesi uyarınca bir DPIA’nın (Veri Koruma Etki Değerlendirilmesi) gerçekleştirilmesi gerekiyorsa bunun için bir değerlendirme yapılmalıdır.
  • Depolama süreleri (zaman çizelgeleri) belirlenmeli ve orantılı olmalıdır. Bu gibi depolama sürelerini tanımlamak için araştırmanın uzunluğu ve amacı gibi kriterler dikkate alınmalıdır. Ulusal hükümlerde de depolama süresine ilişkin kurallar konabilir.
  • Prensip olarak, mevcut COVID-19 salgını nedeniyle ortaya çıkan durumlar, veri sahiplerinin GDPR 12 ila 22 maddeleri uyarınca haklarını kullanma olasılığını askıya alamaz veya kısıtlayamaz ancak GDPR madde 89 (2) ulusal yasa koyucuya veri sahibinin GDPR Bölüm 3’te belirtilen haklarını (bazılarını) kısıtlama imkânı vermektedir. Bu nedenle, veri sahibinin haklarının kısıtlanması, ilgili Üye Devletin yürürlükteki yasalarına bağlı olarak değişebilir.
  • Uluslararası transferlerle ilgili olarak, GDPR 45 (3) maddesi uyarınca bir yeterlilik kararı veya GDPR 46 uyarınca uygun güvenceler bulunmaması durumunda; kamu makamları ve özel kuruluşlar GDPR 49 uyarınca yürürlükteki istisnalara başvurabilirler ancak GDPR 49 istisnaları sadece istisnai bir nitelik taşımaktadır.

Bilimsel Amaçlı Sağlık Verisi İşleme İçin Avrupa Veri Koruma Kurulu’nun Yayımladığı Rehber Çevirisi PDF Dokümanı İçin: https://www.verko.com.tr/wp-content/uploads/2020/11/Bilimsel-Amacli-Saglik-Verisi-Isleme-Icin-Avrupa-Veri-Koruma-Kurulunun-Yayimladigi-Rehber-Cevirisi-donusturuldu.pdf

Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr