KVKK KAPSAMINDA SAĞLIK VERİLERİNİN PAYLAŞILMASINA İLİŞKİN KURUL KARARLARININ İNCELENMESİ

Stj. Av. Girayhan OCAK[1]


Giriş


Günümüzde kişisel verilerin, elektronik ortamlarda kaydedilmesi ve iletilmesi şeklindeki işlemler her geçen gün artmakta iken ticaret, bankacılık, nüfus hizmetleri, sağlık gibi alanlarda ise kişilere elektronik ortamlarda çeşitli hizmetlerin verilmesi mümkün hale gelmektedir. İnternet ortamında bireylere ait kişisel verilerinin kaydedildiği birçok işlem çeşidi bulunmaktadır.


İnternet hizmetleri her ne kadar insanların hayatını kolaylaştırıcı etkiye sahip olsa da son yıllarda, kişisel verilerin elektronik ortamlarda toplanması, işlenmesi ve paylaşımı neticesinde bu verilerin hukuka aykırı biçimlerde kullanılması eylemleri ortaya çıkmaktadır. Bu durum, kişilere ait verileri koruma altına almaya yönelik düzenlemelerin yapılması ihtiyacını doğurmuştur. Bu çalışmada kısaca Kişisel Verileri Koruma Kurulu'nun (Kurul) kararları ile Kurul’un özel nitelikli kişisel veri olarak tanımlanan sağlık bilgilerinin işlenmesi ve paylaşımına ilişkin olarak özellikle dikkat çektiği noktalara değinilecektir.


Sağlık Verilerinin İşlenmesi, Paylaşımı ve İlgili Kurul Kararları


6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK veya Kanun) gerçek kişilere ait kişisel verileri işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Bu gerçek ve/veya tüzel kişilerin kişisel verilerin paylaşımında uyması gereken kurallar bütünü Kanun kapsamında ele alınmıştır.


Kişisel veri, Kanun’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi“ şeklinde tanımlanmıştır[2]. Kanunda bir de özel nitelikli kişisel veri tanımı yer almaktadır. Özel nitelikli kişisel veri Kişisel Verileri Koruma Kurumu (Kurum) tarafından kişiyi ayrımcılığa maruz bırakabilecek bilgi olarak belirlenmekte[3] ve Kanun’da “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmaktadır[4]. Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir[5].


Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir[6]. KVKK kapsamında veri sorumlularına bir takım uyulması gereken yükümlülükler getirilmiştir. Bu yükümlülüklerin başında kişisel verilerin KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmesi gelmektedir. Kişisel verilerin işlenmesinde esnasında “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkeleri belirlenmiştir[7]. Kurul kişisel verilerin işlenmesinde yukarıda bahsedilen ilkelere ve kanunda yer alan hükümlere uygun hareket edilmesini gözetmektedir.


KVKK’nin 5. maddesinde kişisel veri işleme şartları, 8. maddesinde kişisel verilerin yurt içinde aktarılması düzenlenmiştir. Kural olarak kişisel verilerin açık rıza olmaksızın aktarılması mümkün değildir. Fakat KVKK‘nin 5‘inci maddesinin ikinci fıkrasında, yer alan şartlardan birinin varlığı halinde ve yeterli önlemler alınmak kaydıyla, 6‘ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler aktarılabilir[8]. Bu kapsamda kanunlarda açıkça öngörülen hallerde ilgili kişinin açık rızası aranmaksızın kişisel veri aktarılabilecek yine veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olmasının varlığı hainde kişisel verileri ilgili kişinin rızası olmasa dahi aktarabilecektir.


KVKK’ye göre sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Buna göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Örneğin Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu ile paylaşılan kişisel veriler bu kapsamda değerlendirilecektir. Özellikle veri sorumlusunca sağlık ve cinsel hayata ilişkin kişisel verilerin paylaşılması konusunda faaliyetin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarını karşılaması gerekmektedir. Nitekim Kurul belirtilen konuya ilişkin aykırılık ile karşılaşmış, 05/12/2018 Tarihli 2018/143 Sayılı Kararı ile bir eczacıya idari yaptırım uygulamıştır.


Sağlık Verilerini Kanunun 6. Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Bir Kişiye Veri Aktaran Veri Sorumlusu Hakkında” Kişisel Verileri Koruma Kurulu’nun 05/12/2018 Tarihli 2018/143 Sayılı Kararı


Doktor kontrolünde ilaç kullanan ilgili kişi (hasta) tarafından, kendine ait olan özel nitelikli sağlık verisi olan ilaçlarını temin ettiği eczanenin, herhangi bir işleme şartına dayanmadan üçüncü kişiyle bilgilerini paylaşması ile ilgili Kuruma yaptığı şikâyet başvurusunda; doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerin, ilaçları temin ettiği eczane tarafından KVKK’nin 8. maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12. maddesinin 4. fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanun’un 18. maddesi uyarınca idari para cezası uygulanmıştır. Kurul kararında Kanunun “Kişisel Verilerin Aktarılması” başlıklı 8. maddesine ve özel nitelikli kişisel verilerin işlenmesine ilişkin 6. maddesine atıfta bulunarak “sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarım yapılabileceğinin” altını çizmiştir.


Kurul kararında Kanunun 12. maddesinin 1. fıkrasına ve 4. fıkrasına değinilerek, veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, yine anılan maddenin 4 numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiğini belirtmiştir.


Eczaneler hastalıkların teşhis ve tedavisi ile hastalıklardan korunmada kullanılan ilaçların hazırlanması ve hastaya sunulması; ilaçla ilgili standardizasyon ve kalite güvenliğinin sağlanması ve ilaç kullanımına bağlı sorunlar hakkında hastaların bilgilendirilmesi ve çıkan sorunların bildiriminin yapılmasına ilişkin faaliyetleri yürüten sağlık hizmetinin sunulduğu alanlardır[9]. Eczacılar faaliyetlerini gerçekleştirirken ilgili kişilere ait kimlik, iletişim, sağlık bilgisi gibi birçok kişisel bilgiyi işlemekte ve kullanmaktadır. Çünkü eczacıların ve eczanelerin faaliyetlerine bakıldığında ana faaliyet konuları sağlık bilgilerinin işlenmesi ve bu bilgilerin kullanımı ile hastalara hizmet sunmaktır. KVKK kapsamında veri sorumlusu sıfatıyla eczacılar da yer almaktadırlar. Eczanelerin veri sorumlusu sıfatına sahip olması sebebi ile kanundan kaynaklanan yükümlülüklerini yerine getirmesi gerekmektedir. Bu yükümlülüklerden biri de Kanun’un 4. maddesinde sayılan usul ve esaslara uygun şekilde Kanun hükümlerinin yerine getirilmesidir. Bu kapsamda eczaneler usul ve esaslara uymadıkları durumda çeşitli yaptırımlar ile karşılaşılabilirler.


Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulu’nun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı


Kurulun sağlık bilgileri ile ilgili bir diğer kararı banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliğine ilişkin kararıdır. Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kuruma intikal eden ihbarlar kapsamında bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, Kanunun 12. maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, ilişkin karar verilmiştir.


Kurulun söz konusu ilke kararı ile kişisel verilerin üçüncü kişilerce duyulması, görülmesi, öğrenilmesi ve ele geçirilmesinin önüne geçmek hedeflenmiştir. İlgili karar özellikle hastanelerin hasta kayıt bölümlerinde, hemşirelik hizmetlerinde hastalara ait kişisel verilerin korunması açısından önem arz etmektedir. Hastaların kişisel verilerini içeren basılı formlar, dosyalar, klasörler herkesin erişimine açık bir şekilde masa üstü, dolap vb. yerlerde tutulmamalıdır. Formlar, dosyalar, klasörler ve elektronik veriler sadece konu ile ilgili personelin erişimine uygun şekilde korunmalıdır.


Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması ile İlgili Kurul Kararı


İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen incelemen neticesinde Kanunun 12. maddesinin 1. fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari para cezası uygulanmıştır[10].


Veri sorumlusunun faaliyetleri kapsamında otomasyon sistemleri, yazılımlar, portal ve web siteleri kullanması durumunda bünyesinde bulunan her personele kendisine ait erişim yetkisi tanıması gerekmektedir. Bu kapsamda personelin kullanıcı adı ve şifresini ikinci bir kişi ile paylaşmaması, bir başka personelin kullanıcı adı ve şifresini talep etmemesi gerekir. Personele ait kişisel verilerin kanuni yükümlülükler dışında kurum dışarısına çıkartmamalı ve üçüncü kişilere ifşa etmemelidir. Bu durumların personele tebliğ edilecek kişisel verilerin korunması hükümlerini içeren disiplin yönetmeliği ve çeşitli veri koruma prosedürleri ile hüküm altına alınması Kanunun 12. maddesi kapsamında alınacak bir tedbirdir. Ek olarak Kurul "Özel