İtalya Veri Koruma Otoritesi (“Otorite” ve “Garante”), bir ilgili kişinin engellilik durumuna ilişkin teyidi, kişinin HIV teşhisine dair bilgileri gizlemeden üçüncü bir tarafa hukuka aykırı şekilde iletmiş olması nedeniyle, bir sağlık otoritesine 24.000 Euro para cezası vermiştir.

İlgili kişi, HIV pozitif olduğu için engelli statüsü kazanmak amacıyla yerel sağlık otoritesine başvuruda bulunmuştur. Bu statünün elde edilmesinden sonra, İtalyan ulusal yasalarına göre, ilgili kişinin bir aile üyesi, engelli kişiye bakmak için işinden birkaç gün izin alma hakkına sahiptir.

Bu nedenle, Adalet Bakanlığı’na bağlı bir cezaevinde çalışan ilgili kişinin damadı, söz konusu izin günlerini almak için işverenine başvuruda bulunmuştur. Bunun ardından işveren, ilgili kişinin engelli statüsünü elde edip etmediğini teyit etmek amacıyla doğrudan sağlık otoritesi (veri sorumlusu) ile iletişime geçmiştir.

Veri sorumlusu, ilgili kişinin engelli statüsüne ilişkin HIV teşhisini içeren tüm tıbbi geçmişi ve muayene sonuçlarını Adalet Bakanlığı’na göndermiştir.

İlgili kişi, belgenin tamamının damadının işverenine aktarılmasının hukuka aykırı olduğunu ileri sürerek Garante’ye şikayette bulunmuştur.

Veri sorumlusu ise bu aktarımın, çok sayıda çalışanın Covid enfeksiyonu nedeniyle görev yapmadığı bir dönemde, insan hatasından kaynaklandığını savunmuştur. Ayrıca olaydan sonra eğitim ve organizasyonel önlemler aldığını belirtmiştir.

Öncelikle Garante, GDPR Madde 9(1) uyarınca sağlıkla ilgili kişisel verilerin işlenmesinin prensipte yasak olduğunu belirtmiştir.

Bununla birlikte, Garante, GDPR Madde 9(2)(h)'nin, sağlık hizmeti sağlamak için işlemenin gerekli olduğu durumlarda bu yasağa bir istisna getirdiğini belirtmiştir. Ancak, GDPR Madde 9(4) uyarınca üye devlete tanınan yetkiye dayanarak, İtalya Veri Koruma Kanunu’nun 75. maddesi sağlık verilerinin işlenmesine ilişkin ek koşullar öngörmektedir. Bu ek koşullar sektörel mevzuatta da yer alabilecek olup örneğin, 135/1990 sayılı Kanun, HIV teşhisine ilişkin bilgilerin yalnızca ilgili kişiye açıklanabileceğini hüküm altına almaktadır.

İkinci olarak, Otorite, ulusal hukuka göre, kamu idaresi olan işverenlerin, çalışanlarının beyanlarının doğruluğunu teyit etme yükümlülüğüne sahip olduğunu belirtmiştir. Ancak Otorite, bu yükümlülüğün GDPR Madde 5’te düzenlenen genel ilkeler ışığında, özellikle de “veri minimizasyonu” ile “bütünlük ve güvenlik” ilkeleri çerçevesinde yorumlanması gerekmekte olduğunu vurgulamıştır.

Veri minimizasyonu ilkesi ile ilgili olarak, somut olayda Adalet Bakanlığı’na HIV teşhisinin açıklanmasının gerekli olmadığını, sadece belgenin düzenlenmiş olduğunun bilinmesinin beyanın doğruluğunu sağlamak için yeterli olacağını hatırlatmıştır. Bu nedenle, GDPR Madde 5(1)(c)’nin ihlal edildiğini tespit etmiştir.

Ayrıca Otorite, veri sorumlusunun, riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamadığına çünkü çalışanlarına HIV verileriyle uğraşırken nasıl hareket edecekleri konusunda daha spesifik talimatlar vermesi gerektiğine karar vermiştir. Bu nedenle, GDPR Madde 5(1)(f) ve 32(1)'in ihlal edildiğini tespit etmiştir.

Bu gerekçelerle Garante veri sorumlusu olan sağlık kurumuna 24.000 Euro para cezası vermiştir.

Kararın linkine buradan ulaşabilirsiniz.