HASTANELER VE DOKTORLAR İÇİN KVKK

Bu yazımızda hastaneler, doktorlar ve sağlık sektöründeki diğer birimler için KVKK hak ve yükümlülükleri konusu ele alınacaktır.

GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘Kanun’), 7 Nisan 2016’da yürürlüğe girmiştir. İlgili Kanun uyarınca, gerçek ve tüzel kişilerin işledikleri kişisel verilerin, elde edilmesi, kaydedilmesi, depolanması, 3. kişilere veya yurtdışına aktarılması da dahil olmak üzere, veriler üzerinde gerçekleştirilen tüm işlemler düzenlemektedir.

Bu doğrultuda öncelikle kişisel veri kavramını incelemek gerekirse;

– Kişisel Veri, bir kişi ile ilişkilendirilebilecek bilgilerin tamamıdır. Örnek vermek gerekirse kişinin adı, soyadı, kimlik bilgileri, aile bireylerine ait bilgiler, doğum tarihi, gibi tüm veriler 6698 Sayılı Kanun kapsamında kişisel veridir.

– Özel Nitelikli Kişisel Veri, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örnek olarak, tahliller, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler sağlık verisi olup özel nitelikli kişisel veri sayılmaktadır.

Bu kapsamda sağlık sektöründe çalışan gerçek ve tüzel kişiler (Hastaneler, hekimler, diş hekimleri, eczaneler, laboratuvarlar vs.) KVKK kapsamında özel nitelikli kişisel veri işlemektedirler. Sağlık sektöründe çalışanlarda randevu alınması ile birlikte kişilerin sağlık verilerine yani özel nitelikli kişisel verilerine erişmektedirler. Bu nedenle ana faaliyet konusu sağlık ve cinsel hayat verisi olan sağlık sektöründeki hekimler, hastaneler, muayenehaneler, diş hekimi muayenehaneleri, polikliniklerin hepsi Kanun kapsamında sağlık verisi işliyor olmaları nedeniyle daha sıkı koruma şartlarına tabidirler.

Bunlarla birlikte hekimler, kişisel verileri İl Sağlık Müdürlüğü, Tabipler Odası gibi kuruluşlarla da paylaşmaları nedeniyle bu aktarımın tabi olduğu hukuki prosedüre uygun hareket etmekle yükümlüdürler. Yine hekimler veya hastaneler yada bir sağlık kuruluşu tarafından hastalara mesaj atılırken, mail gönderilirken Kanun kapsamındaki yükümlülüklere uyulması gerekmekte olup aksi halde idari yaptırım uygulanmakla karşı karşıya kalınabilinir.

KANUN GEREĞİ UYULMASI GEREKEN YÜKÜMLÜLÜKLER 

Kişisel Veri İşleme İlkeleri

Kişisel verilerin işlenmesinde Kanunda belirtilen genel ilkelerin hepsine uygun davranılması gerekmektedir. Bu ilkeler: 

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel Veri İşleme Şartlarına Uygun İşleme

Kanun’da belirtilen kişisel veri işleme şartlarının varlığı hâlinde kişisel verilerinin işlenmesi mümkündür. Bu şartlar aşağıdaki gibidir;

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi, ·
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanun, özel nitelikli kişisel veriler de ise ayrıma giderek bu verilerin işlenmesini daha sıkı şartlara bağlamıştır. Hastaneler, hekimler, diş hekimleri, eczaneler ve laboratuvarlar başta olmak üzere sağlık sektöründe işlenen tüm sağlık ve cinsel hayata ilişkin kişisel verilerin işlenebilmesi için açık rıza alınması gerekmektedir. Bu durumun istisnai halleri mevcuttur:

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi mümkündür.

Ayrıca Kanunda, özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. Tabloda özel nitelikli kişisel verilere ait işleme şartları yer almaktadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler hastaneler, hekimler ve sağlık sektöründeki diğer veri sorumluları tarafından silinmeli, yok edilmeli veya anonim hâle getirilmesi gerekmektedir.

Yurtiçi ve Yurtdışı Aktarımda Mevzuata Uygunluk

Kişisel verilerin yurtiçinde veya yurtdışında başka bir veri sorumlusuna aktarılması halinde Kanunda belirtilen şartlara uygun hareket edilmesi gerekmektedir. Ayrıca yurtdışı aktarımının yapılacağı zamanlarda yazılı taahhüte ve Kişisel Verileri Koruma Kurulunun iznine ihtiyaç duyulabilmektedir.

Aydınlatma Yükümlülüğü

Hastaneler hekimler ve sağlık sektöründeki diğer veri sorumluları, aydınlatma yükümlülüğü kapsamında kimlik, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür.

Veri Güvenliğini Sağlama

Sağlık sektöründe yer alanlar; ·

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

VERBİS’e Kayıt

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) veri sorumlularının kaydedildiği, kamuya açık olarak tutulan sicildir. Kişisel veri işleyen gerçek veya tüzel kişiler -istisna olanlar hariç- VERBİS’e kaydolmak zorundadır. Sağlık sektöründe yer alanların ana faaliyet konusunun sağlık ve cinsel hayat verisi olması sebebiyle VERBİS’e kayıt mecburiyetleri bulunmaktadır. VERBİS’e kayıt için son tarih 31.12.2021’dir. Ancak halen kaydını yapmayanların ivedilikle VERBİS kaydını yapmaları gerekmektedir. Bunun haricinde, VERBİS’e kayıt yükümlülüğü yeni başlayan kişilerin kayıt yükümlülüğü başladığı tarihten itibaren 30 (otuz) gün içerisinde kayıtlarını yapmaları gerekmektedir. Aksi halde hastaneler ve doktorların (ve diğer veri sorumlularının) yüksek meblağ da idari para cezaları ile karşı karşıya kalmaları kaçınılmaz olacaktır.

YÜKÜMLÜLÜKLERE AYKIRI DAVRANMANIN YAPTIRIMI

  1. Cezai sorumluluk: Kanun’un 17. maddesi Türk Ceza Kanunu’na (“TCK”) atıfta bulunarak kişisel verilere ilişkin suçları düzenlemektedir. Buna göre, Kanun’a aykırı davranan gerçek ve/veya tüzel kişilere TCK’nın 135. maddesi vd. uyarınca bir(1) yıldan dört(4) yıla kadar hapis cezası uygulanmaktadır.
  • Kişisel Verilerin Kaydı: Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir(1) yıldan üç(3) yıla kadar hapis cezası verilir.
  • Kişisel Verileri Verme veya Ele Geçirme: Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki(2) yıldan dört(4) yıla kadar hapis cezası ile cezalandırılır.
  • Kişisel Verileri Yok Etmeme: Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir(1) yıldan iki(2) yıla kadar hapis cezası verilir.
  • Özel Güvenlik Tedbirleri: Yukarıda tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirleri uygulanır. Tüzel kişinin faaliyet izninin iptali ve müsadere yoluyla suça konu eşyanın veya kazancın devlet tarafından el konulması güvenlik tedbirlerine örnek olarak gösterilebilir.
  • İdari Sorumluluk: Kanunun 18. Maddesi uyarınca Kanun hükümlerine aykırı hareket edenler hakkında her bir veri ihlali başına 2022 yılı itibariyle 13.391-TL’den 2.678.863-TL’ye kadar idari para cezası uygulanmaktadır.
  • Aydınlatma Yükümlülüğünü yerine getirmeyenler hakkında 13.391-TL’den 267.883-TL’ye,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 40.179-TL’den 2.678.863-TL’ye,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 66.965TL’den 2.678.863-TL’ye,
  • Sicil’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.572TL’den 2.678.863-TL’ye kadar idari para cezası uygulanmaktadır.
  • Tazminat Sorumluluğu: Türk Ceza Kanunu uyarınca uygulanacak hapis cezalarının ve Kanun kapsamında uygulanacak hapis cezalarının yanı sıra, kişisel verilerinin ihlal edildiğini iddia eden kişilerin uğramış oldukları zararları hukuk mahkemeleri nezdinde talep etme hakkı bulunmaktadır.

HASTANELERE VE HEKİMLERE KURUM TARAFINDAN KESİLEN CEZALARA İLİŞKİN ÖRNEK KARARLAR

“Bir hastanenin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Karar Özeti

Bir hastaneden hastalara ait dosyaların arşivden alınarak dışarı çıkarılması neticesinde hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği tespit edilmiş. Ayrıca veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediği anlaşılmıştır. Son olarak, ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu tespit edilmiştir.

Veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 450.000 TL, ayrıca Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak  150.000 TL olmak üzere toplam 600.000 TL idari para cezası uygulanmasına karar verilmiştir.[1]

HASTANELER VE DOKTORLAR İÇİN KVKK

 “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti

İlgili kişi, şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark etmiştir. Yapılan incelemeler neticesinde veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varılmıştır.

Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, 100.000 TL idari para cezası uygulanmasına karar verilmiştir.[2] 

‘‘Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi’’ hakkında Kurulun 07/11/2019 tarihli ve 2019/332 Sayılı Karar Özeti

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusu iletmiştir.

Veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında  kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, 50.000 TL idari para cezası uygulanmasına karar verilmiştir. [3]

İzmir avukat olarak, hukuki konularda size rehberlik etmek ve sorularınıza cevap vermek için buradayız. Diğer yazılarımıza göz atmak için linke tıklayabilirsiniz.

Av. Şeyma DEMİRCİOĞLU

Av. Harun Ümit EREN

Sosyal Medyada Bizi Takip edin

https://www.facebook.com/kapitalhukuk

https://www.instagram.com/kapitalhukuk/

https://tr.linkedin.com/company/kapi%CC%87tal-huku

KAYNAKÇA

  • Kişisel Verileri Koruma Kurulu, K. 2021/407, T. 20/04/2021
  • Kişisel Verileri Koruma Kurulu, K. 2020/407, T. 20/05/2020
  • Kişisel Verileri Koruma Kurulu, K. 2019/332, T. 07/11/2019 

Son Yazılar

Hukuki Yardım Al

Danışmak istediğiniz her konuda bize ulaşın!

BİZE ULAŞIN