Dernekler ve sendikalar, kişisel verilerin ABD’ye olası aktarımından endişe ettikleri için Fransız Danıştayı référé yargıcından, Health Data Hub platformunu acilen askıya almasını talep etti. Hâkim, Microsoft ile bir sözleşme kapsamında Hollanda’da barındırılan kişisel verilerin yasal olarak Avrupa Birliği dışına aktarılamayacağını belirtti. ABD istihbarat servislerinin bu verilere erişim talebinde bulunma riski tamamen ortadan kaldırılamazsa, çok kısa vadede bu durum platformun askıya alınmasını haklı kılmaz fakat CNIL’nin (Fransız Veri Koruma Kurumu) kontrolü altında özel önlemler alınmasını gerektirir.
Sağlık Verileri Platformu; Health Data Hub olarak da bilinen kamu kuruluşu Kasım 2019 sonunda, araştırmayı teşvik etmek amacıyla sağlık verilerinin paylaşımını kolaylaştırmak için kuruldu. Bu verilerin bir kısmı özellikle acil sağlık durumlarını yönetme ve Covid-19 virüsünü daha iyi tanıma amaçları için kullanılmakta. Platform, 15 Nisan 2020’de Amerikan şirketi Microsoft’un İrlandalı bir alt kuruluşu ile verilerin barındırılması ve verilerin işlenmesinde gerekli olan yazılımların kullanılması için bir sözleşme imzaladı.
Birçok dernek, sendika ve bireysel başvurucu, ABD’ye olası veri aktarımları göz önünde bulundurulduğunda, bu durumun özel hayatın gizliliği hakkına ilişkin ihtiva ettiği riskler nedeniyle Fransız Danıştayı’nın référé-liberté yargıcından, Sağlık Verileri Platformu’ndaki Covid-19 salgınıyla ilgili verilerin işlenmesini askıya alması yönünde ivedilikle karar vermesini talep etti.
Microsoft ile yapılan sözleşme kapsamında hiçbir kişisel veri Avrupa Birliği dışına aktarılamaz.
Bu talep, Amerika Birleşik Devletleri’ne “Privacy Shield” (gizlilik kalkanı) ile aktarılan verilerin korunmasının Avrupa yasalarına göre yetersiz olduğuna karar veren “Schrems II” Avrupa Birliği Adalet Divanı kararına uygun düşmekte.
Fransız Danıştayı référé yargıcı, Sağlık Verileri Platformu ve Microsoft’un yaptıkları sözleşme ile, sağlık verilerinin Avrupa Birliği dışına herhangi bir aktarımını reddetmeyi taahhüt ettiklerini ifade etti. Ayrıca, 9 Ekim 2020’de çıkarılan bir bakanlık kararnamesi, kişisel nitelik taşıyan bir verinin bu sözleşme kapsamında herhangi bir şekilde aktarılmasını da yasaklamaktadır.
Verilerin Microsoft tarafından AB sınırları içerisinde işlenmesi kendi başına ciddi ve açık bir yasadışılık değildir.
Référé yargıcı, Amerikan otoritelerinin Microsoft’tan ve İrlandalı yan kuruluşlarından, gözetim ve istihbarat programları çerçevesinde bazı verilere erişim istemesinin tamamen önlenemeyeceğini belirtti.
Ancak her şeyden önce Avrupa Adalet Divanı bugüne kadar GDPR’nin, verilerin işlenmesinin Avrupa Birliği sınırları içerisinde bulunan bir Amerikan şirketine verilmesini yasaklayacağına karar vermemiştir. Buna ek olarak, böyle bir durumda bir GDPR ihlali -Microsoft’un ABD yetkililerinin olası bir talebine karşı çıkamayacağı anlamına geleceğinden- varsayım olarak kalmaya devam etmektedir. Kaldı ki, sağlık verileri Platform tarafından barındırılmadan ve işlenmeden önce anonim hale getirilmektedir. Dolayısı ile Platformun sahip olduğu teknik imkânlar sayesinde, sağlık verilerinin Covid-19 salgınıyla mücadele amacı için sürekli kullanımına izin verilmesinde önemli bir kamu yararı bulunmaktadır.
Sonuç olarak, Fransız Danıştayı référé yargıcı bu platform tarafından veri işlenmesinin derhal askıya alınmasını haklı çıkaracak herhangi bir ciddi ve açık hukuka aykırılık bulmamıştır.
Diğer taraftan, bir riskin varlığı ve référé yargıcının da yalnızca çok kısa vadeli tedbirler alabileceği düşünüldüğünde, Sağlık Verileri Platformu’nun Microsoft ile çalışmaya, veri sahiplerinin kişisel verileri üzerindeki haklarının korunmasını güçlendirmek amacıyla, CNIL’in kontrolü altında devam etmesine karar vermiştir. Danıştay’daki duruşmayla aynı gün Teknoloji Bakanı tarafından duyurulduğu üzere bu önlemlerin, ABD makamlarının kişisel verilere erişim riskini bütünüyle ortadan kaldıracak bir çözüm sağlanana kadar alınması gerekecektir (potansiyel yeni alt yüklenici seçenekleri, CNIL tarafından önerilen bir lisans sözleşmesinin kullanımı vb. gibi). Ayrıca référé yargıcı, Sağlık Verileri Platformu’nu kullanan projelerin, durumun aciliyeti göz önüne alındığında, tatmin edici başka bir teknik çözümü bulunmayan projeler olduğuna da dikkat çekmektedir.
Nazım Kaan Demir
Fransız Danıştayı / Devlet Konseyi (Conseil d’état), 13 Ekim 2020, N° 444937