top of page

KVKK KAPSAMINDA SAĞLIK VERİLERİNİN PAYLAŞILMASINA İLİŞKİN KURUL KARARLARININ İNCELENMESİ

Yazarın fotoğrafı: İkonion Hukuk ve Kariyer Derneğiİkonion Hukuk ve Kariyer Derneği

Stj. Av. Girayhan OCAK[1]


Giriş


Günümüzde kişisel verilerin, elektronik ortamlarda kaydedilmesi ve iletilmesi şeklindeki işlemler her geçen gün artmakta iken ticaret, bankacılık, nüfus hizmetleri, sağlık gibi alanlarda ise kişilere elektronik ortamlarda çeşitli hizmetlerin verilmesi mümkün hale gelmektedir. İnternet ortamında bireylere ait kişisel verilerinin kaydedildiği birçok işlem çeşidi bulunmaktadır.


İnternet hizmetleri her ne kadar insanların hayatını kolaylaştırıcı etkiye sahip olsa da son yıllarda, kişisel verilerin elektronik ortamlarda toplanması, işlenmesi ve paylaşımı neticesinde bu verilerin hukuka aykırı biçimlerde kullanılması eylemleri ortaya çıkmaktadır. Bu durum, kişilere ait verileri koruma altına almaya yönelik düzenlemelerin yapılması ihtiyacını doğurmuştur. Bu çalışmada kısaca Kişisel Verileri Koruma Kurulu'nun (Kurul) kararları ile Kurul’un özel nitelikli kişisel veri olarak tanımlanan sağlık bilgilerinin işlenmesi ve paylaşımına ilişkin olarak özellikle dikkat çektiği noktalara değinilecektir.


Sağlık Verilerinin İşlenmesi, Paylaşımı ve İlgili Kurul Kararları


6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK veya Kanun) gerçek kişilere ait kişisel verileri işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Bu gerçek ve/veya tüzel kişilerin kişisel verilerin paylaşımında uyması gereken kurallar bütünü Kanun kapsamında ele alınmıştır.


Kişisel veri, Kanun’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi“ şeklinde tanımlanmıştır[2]. Kanunda bir de özel nitelikli kişisel veri tanımı yer almaktadır. Özel nitelikli kişisel veri Kişisel Verileri Koruma Kurumu (Kurum) tarafından kişiyi ayrımcılığa maruz bırakabilecek bilgi olarak belirlenmekte[3] ve Kanun’da “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmaktadır[4]. Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir[5].


Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir[6]. KVKK kapsamında veri sorumlularına bir takım uyulması gereken yükümlülükler getirilmiştir. Bu yükümlülüklerin başında kişisel verilerin KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmesi gelmektedir. Kişisel verilerin işlenmesinde esnasında “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkeleri belirlenmiştir[7]. Kurul kişisel verilerin işlenmesinde yukarıda bahsedilen ilkelere ve kanunda yer alan hükümlere uygun hareket edilmesini gözetmektedir.


KVKK’nin 5. maddesinde kişisel veri işleme şartları, 8. maddesinde kişisel verilerin yurt içinde aktarılması düzenlenmiştir. Kural olarak kişisel verilerin açık rıza olmaksızın aktarılması mümkün değildir. Fakat KVKK‘nin 5‘inci maddesinin ikinci fıkrasında, yer alan şartlardan birinin varlığı halinde ve yeterli önlemler alınmak kaydıyla, 6‘ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler aktarılabilir[8]. Bu kapsamda kanunlarda açıkça öngörülen hallerde ilgili kişinin açık rızası aranmaksızın kişisel veri aktarılabilecek yine veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olmasının varlığı hainde kişisel verileri ilgili kişinin rızası olmasa dahi aktarabilecektir.


KVKK’ye göre sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Buna göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Örneğin Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu ile paylaşılan kişisel veriler bu kapsamda değerlendirilecektir. Özellikle veri sorumlusunca sağlık ve cinsel hayata ilişkin kişisel verilerin paylaşılması konusunda faaliyetin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarını karşılaması gerekmektedir. Nitekim Kurul belirtilen konuya ilişkin aykırılık ile karşılaşmış, 05/12/2018 Tarihli 2018/143 Sayılı Kararı ile bir eczacıya idari yaptırım uygulamıştır.


Sağlık Verilerini Kanunun 6. Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Bir Kişiye Veri Aktaran Veri Sorumlusu Hakkında” Kişisel Verileri Koruma Kurulu’nun 05/12/2018 Tarihli 2018/143 Sayılı Kararı


Doktor kontrolünde ilaç kullanan ilgili kişi (hasta) tarafından, kendine ait olan özel nitelikli sağlık verisi olan ilaçlarını temin ettiği eczanenin, herhangi bir işleme şartına dayanmadan üçüncü kişiyle bilgilerini paylaşması ile ilgili Kuruma yaptığı şikâyet başvurusunda; doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerin, ilaçları temin ettiği eczane tarafından KVKK’nin 8. maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12. maddesinin 4. fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanun’un 18. maddesi uyarınca idari para cezası uygulanmıştır. Kurul kararında Kanunun “Kişisel Verilerin Aktarılması” başlıklı 8. maddesine ve özel nitelikli kişisel verilerin işlenmesine ilişkin 6. maddesine atıfta bulunarak “sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarım yapılabileceğinin” altını çizmiştir.


Kurul kararında Kanunun 12. maddesinin 1. fıkrasına ve 4. fıkrasına değinilerek, veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, yine anılan maddenin 4 numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiğini belirtmiştir.


Eczaneler hastalıkların teşhis ve tedavisi ile hastalıklardan korunmada kullanılan ilaçların hazırlanması ve hastaya sunulması; ilaçla ilgili standardizasyon ve kalite güvenliğinin sağlanması ve ilaç kullanımına bağlı sorunlar hakkında hastaların bilgilendirilmesi ve çıkan sorunların bildiriminin yapılmasına ilişkin faaliyetleri yürüten sağlık hizmetinin sunulduğu alanlardır[9]. Eczacılar faaliyetlerini gerçekleştirirken ilgili kişilere ait kimlik, iletişim, sağlık bilgisi gibi birçok kişisel bilgiyi işlemekte ve kullanmaktadır. Çünkü eczacıların ve eczanelerin faaliyetlerine bakıldığında ana faaliyet konuları sağlık bilgilerinin işlenmesi ve bu bilgilerin kullanımı ile hastalara hizmet sunmaktır. KVKK kapsamında veri sorumlusu sıfatıyla eczacılar da yer almaktadırlar. Eczanelerin veri sorumlusu sıfatına sahip olması sebebi ile kanundan kaynaklanan yükümlülüklerini yerine getirmesi gerekmektedir. Bu yükümlülüklerden biri de Kanun’un 4. maddesinde sayılan usul ve esaslara uygun şekilde Kanun hükümlerinin yerine getirilmesidir. Bu kapsamda eczaneler usul ve esaslara uymadıkları durumda çeşitli yaptırımlar ile karşılaşılabilirler.


Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulu’nun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı


Kurulun sağlık bilgileri ile ilgili bir diğer kararı banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliğine ilişkin kararıdır. Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kuruma intikal eden ihbarlar kapsamında bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, Kanunun 12. maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, ilişkin karar verilmiştir.


Kurulun söz konusu ilke kararı ile kişisel verilerin üçüncü kişilerce duyulması, görülmesi, öğrenilmesi ve ele geçirilmesinin önüne geçmek hedeflenmiştir. İlgili karar özellikle hastanelerin hasta kayıt bölümlerinde, hemşirelik hizmetlerinde hastalara ait kişisel verilerin korunması açısından önem arz etmektedir. Hastaların kişisel verilerini içeren basılı formlar, dosyalar, klasörler herkesin erişimine açık bir şekilde masa üstü, dolap vb. yerlerde tutulmamalıdır. Formlar, dosyalar, klasörler ve elektronik veriler sadece konu ile ilgili personelin erişimine uygun şekilde korunmalıdır.


Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması ile İlgili Kurul Kararı


İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen incelemen neticesinde Kanunun 12. maddesinin 1. fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari para cezası uygulanmıştır[10].


Veri sorumlusunun faaliyetleri kapsamında otomasyon sistemleri, yazılımlar, portal ve web siteleri kullanması durumunda bünyesinde bulunan her personele kendisine ait erişim yetkisi tanıması gerekmektedir. Bu kapsamda personelin kullanıcı adı ve şifresini ikinci bir kişi ile paylaşmaması, bir başka personelin kullanıcı adı ve şifresini talep etmemesi gerekir. Personele ait kişisel verilerin kanuni yükümlülükler dışında kurum dışarısına çıkartmamalı ve üçüncü kişilere ifşa etmemelidir. Bu durumların personele tebliğ edilecek kişisel verilerin korunması hükümlerini içeren disiplin yönetmeliği ve çeşitli veri koruma prosedürleri ile hüküm altına alınması Kanunun 12. maddesi kapsamında alınacak bir tedbirdir. Ek olarak Kurul "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı ile özel nitelikli kişisel verilerin korunmasında gözetilmesi gereken tedbirlere de yer vermiş bulunmaktadır. Sağlık bilgilerinin de özel nitelikli kişisel veri olduğu göz önüne alındığında bu tedbirlerin veri sorumlularınca alınması gerekmektedir.


“Bir Market Zincirinin Sadakat Kart Uygulamasına İlişkin İhbar ve Şikayetler Hakkında” Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/82 Sayılı Kararı


Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle Kanun kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet başvurusu ve aydınlatma metninin muğlaklığı ile ilgili yapılan incelemede; ilgili aydınlatma metninde ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programı’na üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıkların bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği, Aydınlatma Metni’nde şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve şirketin Aydınlatma Metni’nin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda karar verilmiştir.


Görüldüğü üzere sağlık bilgilerinin işlenmesi, paylaşılması veri sorumlularının gerçekleştirdiği faaliyetler kapsamında Kanunun ilkelerine uygun bir şekilde amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bununla beraber ilgili kişiye ait kişisel verilerin paylaşımında aydınlatma metninde yer alan ifadelerin açık ve anlaşılabilir olması ve kişisel verilerin aktarılacağı mecralarının sınırının çizilmesi gerektiği belirtilmiştir.


Sonuç


Yukarıda yer alan Kurul kararlarına ve mevzuat hükümlerine bakıldığında sağlık bilgilerinin paylaşılması son derece hassasiyet teşkil etmektedir. Kurul, KVKK hükümlerine dayanarak sağlık bilgilerinin paylaşılmasında uyulması gereken hususları açıklamıştır. Yükümlülükleri yerine getirmeyen veri sorumluları idari yaptırım kararları ile karşı karşıya kalmıştır. Bu kapsamda KVKK hükümleri çerçevesinde veri sorumlularınca gerçekleştirilen sağlık bilgilerinin paylaşılması konusu ele alınmış, farkındalık oluşturma niyetiyle aydınlatıcı bilgiler ortaya konulmaya çalışılmıştır.


 

[1] Aksay Hukuk Bürosu [2] KVKK m.3/1 (d) [3] https://www.kvkk.gov.tr/Icerik/2051/Ozel-Nitelikli-Kisisel-Veriler (Erişim Tarihi 05.05.2020) [4] KVKK m.6/1 [5] KVKK m.3/1(e) [6] KVKK m.3/1 (ı) [7] KVKK m.4 [8] KVKK m.8 [9] Eczacılar ve Eczaneler Hakkında Kanun 1. madde [10] https://www.kvkk.gov.tr/Icerik/5408/Ozel-Nitelikli-Kisisel-Verilerin-Kanuna-Aykiri-Sekilde-Internet-ve-Sosyal-Medya-Mecralarinda-Paylasilmasi ( Erişim Tarihi 03.05.2020) İşbu çalışmanın tüm sayfaları Fikir ve Sanat Eserleri Kanunu'na tabidir ve içeriğine ilişkin her türlü bilgi-belge ve her türlü fikri ve sınai haklar ile tüm telif hakları ve diğer fikri ve sınai mülkiyet hakları yazarı ile birlikte Aksay Hukuk'a aittir. Sitede yer alan bilgilerin çoğaltılması, başka bir lisana çevrilmesi, saklanması veya işleme tutulması da dahil yazarı ve Aksay Hukuk kaynak gösterildiği sürece yapılabilir. Bu sebeple işbu çalışmanın herhangi bir bölümü kaynak gösterilmeden hiçbir şekilde, çoğaltılamaz, yayınlanamaz, kopyalanamaz, sunulamaz ve aktarılamaz.

127 görüntüleme

Son Yazılar

Hepsini Gör

Коментарі


bottom of page