07.04.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel veri ve özel nitelikli kişisel veri tanımları yapılmış, bu verilerin işlenmesi ve aktarılması hususunda belli hukuki sebepler öngörülmüş, veri güvenliğine ilişkin tedbirlerin alınması zorunlu kılınmıştır.

Sağlık sektörünü ilgilendiren, KVKK ile ihlali yaptırıma bağlanan durumları içeren çok sayıda Kişisel Verileri Koruma Kurulu (‘’Kurul’’) kararları ve veri güvenliği ihlal bildirimleri bulunmaktadır. 

Bu yazıda veri güvenliği ihlallerine, Kurul Kararlarının sağlık sektörünü ilgilendiren bölümlerine yer verilecek ve kararlar özetlenecektir. sağlık

 

  1.      Hastaneleri İlgilendiren Kararlar
  1. Veri Güvenliğine İlişkin Kararlar sağlık

    1. “İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine aaaerişim sağlanması” hakkında Kişisel Verileri Koruma Kurulunun 21/09/2021 tarihli ve 2021/962 sayılı Karar aaaÖzeti

  1. Karar Metni

    İlgili kişinin Kuruma intikal eden şikâyetinde özetle; Sağlık Bakanlığının e-nabız uygulamasına girdiğinde, iki farklı tarihte veri sorumlusu hastane çalışanı hekim tarafından izni dışında sisteme girildiğini ve şikâyet gününe kadar olan tüm muayene ve tetkik sonuçlarına erişildiğini fark ettiği, hastane bünyesinde çalışan söz konusu hekime, muayene talebi ile gitmemiş olmasına rağmen sağlık verilerine erişiminin 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu, hukuka aykırı bu eylemin, kendisi dışında birden çok kişiye karşı da gerçekleştirildiğini şifahen öğrendiği, daha önce söz konusu hastane bünyesinde çalıştığından sağlık verilerine izinsiz erişim ve hukuka aykırı veri kaydının kendisini manevi olarak zarara uğrattığı, konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya herhangi bir cevap verilmediği, sağlık verilerine hukuka aykırı erişimin sebebini dahi bilmediği belirtilerek, ilgili sisteme kendisi ile ilgili kişisel verilerin işlenip işlenmediği, verinin işlenme amacı, hukuka aykırı işlenen veri var ise bunların yok edilmesi, hukuka aykırı olarak ilgili kişinin sağlık verilerine erişen veri sorumlusu hastane çalışanı hekim hakkında gerekli adli sürecin ve disiplin sürecinin başlatılması, manevi olarak zararının giderilmesi ve tarafına bu hususlarda bilgi verilmesi talep edilmiştir.

    Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

    • İlgili kişinin veri sorumlusuna başvuru yaptığı belirtilmiş olsa da hastane kayıtlarının incelenmesinden ilgili kişinin belirtilen şekilde bir başvurusunun tespit edilemediği,
    • Öte yandan konu ile ilgili iddiaların, veri sorumlusu hastanenin eski çalışanı olan ilgili kişinin önceki dönemde şikayete konu hekimin sekreteri olan çalışma arkadaşı ile arasındaki şahsi husumet nedeniyle ortaya atıldığının değerlendirildiği,
    • Kurumun savunma yazısını müteakip hekimin bilgisine başvurulduğu ve bu esnada vicdani olarak rahatsızlık duyan hekim sekreterinin yazılı bir açıklamada bulunduğu, söz konusu yazı dikkate alındığında konu ile ilgili tüm eğitimlerin verilmesine rağmen sekreterin daha önce çok samimi olduğu ilgili kişinin bilgilerine yanında çalıştığı hekimin hasta muayene ettiği esnada baktığı ve söz konusu çalışan tarafından bu bilgilerin hiç kimse ile paylaşmadığının beyan edildiğinin anlaşıldığı,
    • Söz konusu açıklama sonrasında personel ile ilgili disiplin yaptırımı uygulandığı ve konuya ilişkin yeniden hekimler ve sekreterler başta olmak üzere tüm personelin uyarıldığı ifade edilmiştir.

    Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/09/2021 tarihli ve 2021/962 sayılı Kararı ile;

    • Kanunun 3 üncü maddesinde kişisel verilerin işlenmesinin “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, veri işleyenin ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
    • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,
      a) Hukuka ve dürüstlük kurallarına uygun şekilde,
      b) Belirli, açık ve meşru amaçlar kapsamında,
      c) Doğru ve gerektiğinde güncel olma şartıyla,
      ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
      d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
      ilkelerine uygun işlenebileceği,
    • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hükme bağlandığı bununla birlikte, (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmadan işlenebileceği diğer hallerin sayıldığı, buna göre;
      a) Kanunlarda açıkça öngörülmesi
      b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
      c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
      ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
      d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
      e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
      f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
      şartlarından birinin varlığı halinde kişisel verilerin ilgili kişinin açık rızasının alınmadan işlenmesinin mümkün bulunduğu,
    • Kanunun 6 ncı maddesinde “
      (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
      (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
      (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
      (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği,
    • Somut olayda, öncelikle, veri sorumlusu hastanenin ilgili kişi tarafından kendisine yapılmış bir başvuru olmadığına yönelik iddiasına ilişkin olarak; ilgili kişi tarafından Kuruma intikal ettirilen başvuru dilekçesi ekinde ilgili kişi tarafından veri sorumlusuna yazılı olarak yapılmış başvuruya ve söz konusu başvurunun veri sorumlusuna iletildiğini gösterir belgeye yer verildiğinin görüldüğü, dolayısıyla veri sorumlusunun söz konusu savunmasının yerinde olmadığı,
    • Öte yandan, söz konusu hukuka aykırı erişimi sağladığı görünen veri sorumlusu bünyesinde çalışan hekim ve erişimi sağladığını yazılı olarak dile getiren hekim sekreterine ilişkin olarak söz konusu durumun suç unsuru barındırabileceğinden hareketle anılan kişiler açısından konunun Türk Ceza Kanunu hükümleri kapsamında ele alınması gerektiği,
    • Diğer taraftan, veri sorumlusu tarafından kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirlere dair savunma ve belgeler Kuruma iletilmiş olmakla birlikte ilgili kişinin şikâyeti kapsamında somut olayda e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişi tarafından yazılı olarak dile getirildiği üzere ilgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından 6698 sayılı Kanunun 12 nci maddesinde düzenlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığı,
    • Diğer taraftan, ilgili kişinin manevi olarak zararının giderilmesine yönelik talebine ilişkin olarak; Kanunun 14 üncü maddesinin (3) numaralı fıkrası kapsamında kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkının saklı olduğu değerlendirmelerinden hareketle;
    • e-Nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek ilgili kişinin sağlık verilerine eriştiği dikkate alındığında söz konusu hukuka aykırı erişimin veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğu ve bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
    • Öte yandan, veri sorumlusunun Kanunun 13 üncü maddesi kapsamındaki yükümlülüğünü yerine getirmek üzere kendisine iletilen başvuruları yanıtlaması hususunda gerekli dikkat ve özen göstermesi hususunda talimatlandırılmasına karar verilmiştir.

     

  2. Karara İlişkin Sonuç Özeti

E-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmaması nedeniyle Kurul, veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir. 

Şikayet sahibinin konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna hastane tarafından herhangi bir cevap verilmemesi üzerine Kurul, veri sorumlusuna başvuru ile ilgili düzenlemelere uygun olarak hareket etmesi yönünde gerekli özen ve dikkati göstermesi hususunda talimatlandırılmasına karar vermiştir. 

 

     2. “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından aaaÖzel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi” hakkında aaaKişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Karar Özeti


  1. Karar Metni

Kuruma intikal eden şikâyette özetle; şikâyetçinin veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından hastaneden temin edildiği ve Aile Mahkemesinde tarafına açılan yargılamanın iadesi davasına ilişkin dosyada, içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel veriler içeren bilgisayar ekran görüntüsünün delil olarak kullanıldığı, konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna, hastane tarafından herhangi bir cevap verilmediği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şikayetçi ile hastane arasında şikâyet öncesinde ve sonrasında devam eden bir dava süreci bulunmadığı,
  • Hastane bünyesinde sağlık ve destek ekipleri dahil olmak üzere toplam 653 personelin çalıştığı, bu nedenle kuruma çeşitli kanallardan gelen ve kurum tarafından gönderilen evrak ve taleplere ilişkin yoğun bir trafiğin mevcut olduğu, bu nedenle gün içerisinde kuruma gelen ve gönderilen evrak ve talep sayılarının değişkenlik göstermekle birlikte gün içerisinde yaklaşık olarak bu sayının yetmişi bulduğu, evrak trafiğinin yoğunluğu nedeniyle bir hata yaşandığı ve başvurunun ilgili birimlere iletilmesindeki aksaklık nedeniyle başvuru sahibi kişiye dönüş yapılamadığı,
  • Cumhuriyet Başsavcılığınca hazırlanan iddianame ve ekinde yer alan görüntünün doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğunun tespit edildiği,
  • Bu ekrana ilgili birimde çalışan yatan hasta misafir hizmetleri çalışanları ve hemşirelerin erişim yetkisinin bulunduğu, 
  • Mevcut bölümde hizmet veren kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, 
  • Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki kişiden alınan ifadelerden de anlaşılacağı üzere her iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı,
  • Hastane olarak hasta bilgi gizliliği, hasta mahremiyeti konularındaki prensipleri gereği hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda oldukça detaylı idari ve teknik tedbirler alındığı belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Kararı ile;

  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ise  “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14 üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.” hükmünü haiz olduğu, 
  • Somut olayda, ilgili kişinin Kanunun 13 üncü maddesi çerçevesinde yazılı olarak veri sorumlusu hastaneye yaptığı başvurunun PTT gönderi belgesi sorgulamasında veri sorumlusunun söz konusu başvuruyu teslim aldığının görüldüğü, ancak yasal süresi içinde başvuruya cevap verilmemesi üzerine şikâyetçi tarafından Kanunun 14 üncü maddesi uyarınca Kuruma şikâyette bulunulduğunun anlaşıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceğinin, Tebliğin 6 ncı maddesinde ise veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Veri sorumlusundan alınan cevap yazısında; hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğunun görüldüğü, bu kapsamda veri sorumlusunun Kanun kapsamında kendisine yapılan başvurular ile ilgili olarak Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmediği kanaatine varıldığı, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı, 
  • Somut olayda, veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği, 
  • Her ne kadar veri sorumlusu tarafından hasta bilgi gizliliği, hasta mahremiyeti, hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda çalışanlara sürekli eğitimler verildiği ve sürece ilişkin yazılı kurumsal dokümanlar oluşturulduğu ifade edilse de söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olunduğu,
  • Veri sorumlusu hastane tarafından kişisel verilere hukuka aykırı erişimi önlemek adına alınan idari ve teknik tedbirlerin yetersiz kaldığı ve sonuç olarak şikâyetçinin velisi bulunduğu ilgili kişiye ait kişisel verilerin üçüncü kişilerce erişimine neden olunduğu

değerlendirmelerinden hareketle;

  • Şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği dikkate alındığında, bu konuda veri sorumlusu Hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusu hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğu görüldüğünden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir. 

     b. Karara İlişkin Sonuç Özeti

Veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği dikkate alındığında Kurul, veri sorumlusu hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğine kanaat getirerek Hastaneye idari para cezası verilmesine karar vermiştir. 

Şikayet sahibinin konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna hastane tarafından herhangi bir cevap verilmemesi üzerine Kurul, veri sorumlusuna başvuru ile ilgili düzenlemelere uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar vermiştir. 

 

     B. Hukuki Sebeplere İlişkin Kararlar

  1. “İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması” hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti

     a. Karar Metni

İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde Hastaneden savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin, tarafları nezdinde SMS gönderimine ilişkin herhangi bir açık rızasının bulunmadığı,
  • İlgili kişinin kişisel verilerinin hiçbir şekilde taraflarınca işlenmediği
  • İlgili kişinin kişisel verilerinin yurt içinde ve yurt dışında hiç kimseye aktarılmadığı, çünkü ilgili kişinin kişisel verilerinin bünyelerinde işlenmediği,
  • Reklam içerikli telefon aramalarından herhangi bir şekilde haberlerinin olmadığı, ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
  • Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı

ifade edilmiştir.

Bununla birlikte, şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastanenin internet sitesinin iletişim bölümünde yer alan numara arandığında ise karşı tarafça  şikâyete konu telefon numarasının da Hastanenin checkup merkezi olarak açıldığı yönünde bilgi verildiğinden, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgilerle birlikte Kuruma iletilmesi talep edilmiştir.

Hastane tarafından Kuruma iletilen cevap yazısında özetle:

  • Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,
  • Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,
  • Müşterilerin Hastane tarafından bulunmadığı bu nedenle ilgili kişinin herhangi bir bilgisinin bünyelerinde bulunmadığı, Firmanın ilgili kişinin bilgilerini ne şekilde bulduğu, bulup bulmadığı vb. konularda taraflarının bilgilendirilmediği,
  • Hastane bünyesinde ilgili kişinin bilgilerinin bulunması ve gerekli onayı almış olması halinde taraflarının bu kişiyi direkt arayacağı ve checkup ile ilgili bilgileri bildireceği, başka bir firmanın checkup hizmeti için taraflarına hasta yönlendirmesi halinde komisyon aldığı dikkate alındığında Hastanenin kendi bünyesinde bulunan bilgileri bir başka firma ile paylaşmasının da hukuki ve mantıken açıklanabilecek yönünün de bulunmadığı, 
  • Firmanın, Hastaneye bağlı bir firma veya Hastanenin checkup departmanının da olmadığı, Firmanın sadece taraflarına kanuna uygun olarak hasta bulmakta olduğu, Firmanın kendisini Hastanenin checkup departmanı gibi yani kendilerine bağlı bir firma gibi tanıttığının tespit edilmesi halinde konu ile ilgili de Firma ile hukuki girişimlere başlanılacağı,
  • Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığı, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi hiçbir zaman taraflarından tedavi hizmeti almadığı, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediği, Firmanın hukuka ve sözleşmeye uygun olarak taraflarına hasta yönlendirme hizmeti vermekte olduğu sözleşme gereğince de hasta temin etme hususunda hukuka aykırı bir işlem yapması halinde Firmanın sorumlu olacağının açıkça düzenlendiği

açıklamalarına yer verilmiştir.

Müteakiben, söz konusu iddialara ilişkin Firmadan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişiye ilişkin Hastane adına arama yapıldığı, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğu, ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığı, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığı, bünyelerinde kişisel verilerin tutulmadığı, çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile kullanılarak randevuların düzenlediği, bu nedenlerle yurt içine ya da yurt dışına herhangi bir kişisel veri aktarımının söz konusu olmadığı, bu açıklamalar doğrultusunda şikâyetin reddine karar verilmesinin talep edildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Kararı ile,

  • Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;
    • Sözleşme konusunun, Hastanenin bünyesinde sunulan checkup panelinin Firma tarafından üçüncü kişilere pazarlanması ve satışı ile yapılan satıştan sonra Hastanenin bu hizmeti karşılaması ve aradaki ticari işlemleri kapsadığı,
    • Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği,
    • Firmanın kendisi için tasarlanmış checkup panelini piyasa şartları çerçevesinde Hastaneden yazılı onay almak suretiyle kendisinin belirleyebileceği, satışı artırmak için gerekli noktalarda kampanyalar ve aktiviteler düzenleyebileceği,
    • Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,
    • Firmanın bu sözleşme devam ettiği sürece bu ürünü ister web sitesi aracılığı ile ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği, 
    • Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu,
    • “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği, 
    • Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği server’ların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği,
    • Müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemedikleri,
    • Tüm arama, satış, backoffice, teslim ve takip adımlarının giriş ve yönetiminin dijital ortamda yapıldığı, ofiste müşteri bilgi güvenliğini tehlikeye sokacak gereksiz matbu formların kullanılmadığı

şartlarına yer verildiğinin görüldüğü,

  • Kanunun 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, diğer bir ifadeyle, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği, ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,
  • Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde de çağrı merkezinin veri işleyen olduğu; “… veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.” şeklinde açıklandığı,
  • Bununla birlikte Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunun “Veri sorumlusu bazı işlerini çağrı merkezine bırakır ve çağrı merkezine veri sorumlusunun müşterilerini veri sorumlusunun kimliğini kullanarak arama talimatı verir. Bu durumda müşterilerin beklentileri ve veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunma şekli dış kaynak firmasının veri sorumlusu adına bir veri işleyen olarak hareket ettiği sonucunu doğurur.” şeklindeki örnekle açıklandığı,
  • Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;  bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Hastanenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Hastanenin meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan  “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği”  hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu,  bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

     b. Karara İlişkin Sonuç Özeti

İlgili kişinin cep telefonunun özel bir hastane tarafından reklam amaçlı izinsiz aranması şeklinde gerçekleşen olayda hastane ve bir Firma arasında üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin bir sözleşmenin bulunmaktadır. Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varılması,Hastane tarafından Firmaya bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olması gerekçeleri ile Kurul, Firma hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

     2.  ‘‘Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi’’ aaahakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarihli 2021/545 sayılı Karar Özeti

     a. Karar Metni

Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağı,
  • Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı, 
  • Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı,
  • Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmüne yer verildiği,

 

  • Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
  • Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

     b. Karara İlişkin Sonuç Özeti

Somut olayda veri sorumlusu firma tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi durumunda Kanunun 5 inci maddesinde sayılan hukuki sebeplerden birinin var olmaması nedeniyle veri sorumlusu hastaneye, kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmemesi nedeniyle Kurul tarafından veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. 

 

     3. “Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından bir hastanenin müşterilerinin kişisel  aaaverilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve aaa2021/84 sayılı Karar Özeti

     a. Karar Metni

Kuruma intikal eden bir şikâyette; başvuru sahibi Hastanenin, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneleri nezdinde kayıtlı bulunan hastalara ait telefon numaralarına, öncesinde hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak adına doktorun ismi ve soyismi başlığı altında geçiş yaptığı yeni hastanenin isim ve iletişim bilgileri ile başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği yönünde kendilerine pek çok şikâyet ulaştığından hareketle Hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiği iddiaları ile anılan STH’ler hakkında Kanun çerçevesinde gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusu STH’lerden savunmaları istenilmiş olup, 1. STH’nin cevabi yazısında özetle; söz konusu iddiaların gerçeği yansıtmadığı, olayla hiçbir şekilde bilgilerinin ve bağlantılarının olmadığı; 2. STH’nin cevabi yazısında ise özetle kendilerinin başvuruya konu olayda yalnızca SMS trafiğini taşıma konusunda servis sağlayıcı hizmeti sunmakta oldukları, kendilerinin geçmişte olan bu işlemle ilgili yapmış oldukları incelemeler sonrasında şikâyete konu kişisel veri işleme faaliyetinin geçmişte alt bayileri olan ve şu an bayileri olmayan 1. STH üzerinden gerçekleştiği, gönderilen SMS’lerin numaralarının kime ait olduğu, nereden temin edildiği sorumluluğunun hem aboneye ait hem de alt bayilerinin sorumluluğunda olduğundan dolayı bu konuda sorumlu tutulamayacakları ve bu hususun Bayi Sözleşmesinde “Bayi Yükümlülükleri” bölümünde de belirlendiği ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/84 sayılı Kararı ile,

  • 5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde ticari elektronik iletinin; “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler”, (ç) bendinde hizmet sağlayıcının; “Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişi” (d) bendinde aracı hizmet sağlayıcının; “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişi,” olarak tanımlanmış olduğu,
  • Mezkur kanunun “Aracı hizmet sağlayıcıların yükümlülükleri” başlıklı 9 uncu maddesinin birinci fıkrasında; “Aracı hizmet sağlayıcılar, hizmet sundukları elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içerikleri kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün yer aldığı, bu doğrultuda 2. STH’nin bir aracı hizmet sağlayıcı olarak değerlendirilmesi halinde, aracı hizmet sağlayıcının, haberleşme altyapısını kullanan hizmet sağlayıcısı tarafından sağlanan içeriği kontrol etmekle, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü kılınmamasından dolayı, somut şikâyet kapsamında, 2. STH yönünden Kanuna aykırılığın bulunmadığı,
  • Öte yandan aralarındaki anlaşma çerçevesinde Hastane ile 1. STH arasında, Hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin dördüncü fıkrasında “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmünün yer aldığı, 1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle mezkûr Kanun hükmünde öngörülen yükümlülüğe aykırı hareket etmiş olduğu,
  • Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,
  • 1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varıldığı

değerlendirmelerinden hareketle;

Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve 1. STH’nin Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına

karar verilmiştir.

     b. Karara İlişkin Sonuç Özeti

Başvuru sahibi Hastanenin, hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı, hastane nezdinde kayıtlı bulunan hastalara ait telefon numaralarına hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak amacıyla başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği olayda:

  1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle veri güvenliğine ilişkin yükümlülükler aykırı hareket etmiş olduğu, Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varılması sebebiyle Kurul tarafından 1. STH’ye 125.000 TL idari para cezası uygulanmasına karar verilmiştir. 

   C. Aktarıma İlişkin Kararlar

     1. “Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” aaahakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti 

     a. Karar Metni

Kuruma intikal eden şikâyet dilekçesinde özetle;

  • Şikayetçinin aralarında boşanma davası devam eden eşinin, müşterek çocuklarını taciz ettiği iddiasıyla yargılanmakta olduğu, dosyanın istinaf aşamasında bulunduğu, ilgili kişinin eşinin istinaf dilekçesi ve eklerinde müşterek çocuklarına ait sağlık ve epikriz raporlarına yer verildiği,
  • Şikayetçinin  karşı tarafın İstinaf Mahkemesine vermiş olduğu epikriz raporlarında oğlu hakkında “yalan söyler, hırsızlık yapar” gibi cümlelerin olduğunu gördüğü, oğlunu çocuk psikiyatrisi bölümüne sadece dikkat dağınıklığı için muhtelif zamanlarda toplamda 3-4 kez muayeneye götürdüğü, ancak hiçbir zaman oğlunu yalan söylemesinden bahisle hastaneye götürmediği, yine İstinaf Mahkemesine sunulan raporların özel hayatın gizliliği hiçe sayılarak ve usulsüz olarak konuyla alakasız kişiler tarafından kendisinin haberi olmadan alındığı, alınan raporda değişiklik yapılarak Mahkemeyi yanıltılmak amacıyla karşı tarafa verildiği,
  • Bunun üzerine, söz konusu sağlık raporlarının şikayetçi annenin izni olmadan bir Eğitim ve Araştırma Hastanesi (“Hastane”) tarafından hapiste bulunan eşinin vekiline verildiğinin anlaşıldığı, vekilin vekaletnamesinde ise bu konuda özel bir iznin bulunmadığı,
  • Başlatılan araştırmalar kapsamında edindiği bilgilerden; Hastanede Arşiv Memuru olarak çalışan kişinin söz konusu raporları kendisinden sadece Hastane şefinin talep ettiği, diğer kişilerle bu konuda bir görüşmesinin olmadığı, bu talep üzerine çıktılar aldığı bunun yolu olarak sistemde kaydet butonuna basarak epikriz formu oluşturduğu, bu işlem sırasında bulgular ya da tanıda herhangi bir değişiklik yapmadığı ve çıktığı aldığını beyan ettiği, Hastanede Şef olarak çalışan kişinin söz konusu raporlara ilişkin talep üzerine ilk etapta belgeleri vermeyip amirine danıştığı, geçmişte konu ile ilgili mevcut olan bir görüş yazısı ve İl Sağlık Müdürlüğünün avukatı ile yaptığı görüşme üzerine raporları alma talebi ile başvuran kişilerin ikinci gelişlerinde bu raporları veremeyeceğini beyan ettiği, Çocuk Hastalıkları Uzmanı doktorunun ise söz konusu belgeleri şikayetçinin eşinin vekiline kendisi tarafından verildiğini kabul ettiği, başvuru esnasında avukatın kimliği, vekâletnamesi, nüfus kayıt örneği, babaya ait dilekçeleri inceleyerek uygun olduğunu gördüğü, belgelerin imzalanıp kaşelenmeden resmi hüviyet kazanamayacağı, idareden resmi onaylı nüshanın talep edilmesi gerektiği hususlarının avukata açıkça beyan edildiği,
  • Ancak şikayetçinin çocuğunu söz konusu doktora hiç muayeneye götürmediği, 
  • Konu hakkında ilgili Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ancak doktorun açık ikrarına rağmen Valilikçe soruşturma izninin verilmediği

hususları ifade edilerek ilgili kişinin kişisel verilerini 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olarak işleyen ve velisinin rızası dışında kullanan veri sorumlusu hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

Şikayet dilekçesinin ekinde yer alan ilgili Valilik İl İdare Kurulu Müdürlüğünce alınan Kararda özetle;

  • İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği,
  • Raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü,
  • Hastane Bilgi İşlem Müdürlüğü tarafından söz konusu hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, hastane otomasyon sisteminde ekleme, silme ve değiştirme işlemlerinde log kaydı tutulduğu, hastaların bilgilerinin görüntülenmesi noktasında ise log kaydı tutulmadığına ilişkin bilgi verildiği,
  • Raporları vekile teslim eden doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi nedeniyle raporları teslim ettiğini belirttiği,
  • Doktorun söz konusu belgeleri verdiği ikrarı ile bu davranışının gerekçelerinin birlikte değerlendirilmesi neticesinde; çocuk hastalıkları uzmanı olarak görev yapan hekimin yoğun poliklinik şartları, gece nöbetleri ve diğer görevleri esnasında, kendisine yapılan tüm taleplerle ilgili yasaları bilmesinin ve/veya hatırlamasının mümkün olmadığı, muhatap olduğu hastaların kendisini ifade edemeyecek, kendisi ile ilgili karar alamayacak durumda olan 18 yaşın altındaki bireylerden oluşması ve hastaları ile ilgili tüm bilgileri ve açıklamaları hastası konumundaki çocukların ailelerine izah etme/belge verme zorunluluğunun olması, talep eden avukatın istediği belgeleri mahkeme yoluyla da elde edilebileceği, imzasız ve kaşesiz olarak bilgilendirme amacıyla verildiği, doktorun bilerek ve isteyerek bir kişinin mağduriyetine sebep olma isteği taşıyamayacağının anlaşıldığı 

belirtilerek, Valilik tarafından soruşturma izni verilmemesine karar verildiği bilgileri yer almaktadır.

Bu çerçevede konuya ilişkin başlatılan inceleme çerçevesinde söz konusu şikayet dilekçesinde yer alan iddialar kapsamında Sağlık Bakanlığının açıklamalarına başvurulmuş olup, konuya ilişkin ilgili Valilik İl Sağlık Müdürlüğü tarafından verilen cevapta özetle;

  • Şikayete konu doktor ve arşiv memurunun kamu personeli ve sağlık çalışanı olmaları nedeniyle sır saklama yükümlülüğü altında bulundukları,
  • Sağlık çalışanlarının hastalara ait kişisel verilere erişmelerinin sağlık hizmetinin sunulması için bir zorunluluk olduğu, erişim yetkisinin sağlık hizmetinin sunumu açısından zorunlu olması sebebiyle, şikayete konu olan kişilerin de dahil olduğu meslek grubu olan sağlık çalışanlarının ve kamu personelinin sır saklama yükümlülüklerinin pek çok temel mevzuatta düzenlendiği ve bu erişim yetkisinin hasta mahremiyetini zedeleyecek şekilde kötüye kullanılmasının yaptırımlara bağlandığı,
  • Şikayete konu edilen olayın Bakanlığa bağlı bir hastanede gerçekleştiği, Bakanlığın veri işleme faaliyetinin sebebinin 6698 sayılı Kanunun 6 ncı maddesinde tanımlanan “tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi” dahilinde olduğu ve dolayısıyla da sağlık çalışanlarının hasta dosyalarına sağlık hizmetinin sunulması kapsamında erişimlerinin bulunmasının Kanun kapsamında hukuki dayanağının bulunduğu,
  • 21.06.2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 6 ncı maddesinde, sağlık personelinin verilere erişimine ilişkin şartların belirlenmiş olduğu ve buna göre, sağlık hizmet sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceğinin düzenlendiği,
  • Şikâyete konu olaydan tamamen bağımsız olarak düşünüldüğünde, sağlık çalışanlarına, çalıştıkları pozisyon ve sahip oldukları unvan gereğince ve verilecek sağlık hizmetinin gereği ile sınırlı olmak kaydıyla hasta verilerine erişim yetkisi verilmesinin hukuka uygun olduğu,
  • Hekimlerin hastaların sağlık verilerine geçmiş hastalık öykülerini, tedavilerini öğrenmek ve mevcut rahatsızlıkları için tedaviyi belirlemek adına erişim sağladıkları,
  • Aynı şekilde arşiv memurlarının da, yaptıkları işle ilintili olarak hastaların dosyalarına erişim ihtiyacı olan sağlık çalışanları oldukları, bu kişilerin hasta dosyalarına erişiminin kısıtlanmasının, sağlık hizmetinin sunumunu aksatacak, insan sağlığı açısından telafisi imkansız sonuçlara yol açabileceği,
  • Dolayısıyla, bahsi geçen olaydaki meslek gruplarının, yani bir uzman doktorun ve arşiv memurunun hasta kayıtlarına meslekleri icabı erişme zorunluluğu bulunduğu, bu kişilerin, sağlık hizmetinin sunumu esnasında amaçla sınırlı olmak kaydıyla hasta kayıtlarına erişmelerinde kişisel verilerin korunmasına ilişkin mevzuata aykırı bir husus bulunmadığının değerlendirildiği,
  • Nihai değerlendirmelerinde Sağlık Bakanlığının kişisel veri işleme faaliyetlerinin dayanağını yürürlükteki mevzuattan aldığı, sağlık hizmetinin sunumu ile bağlantılı konularda, bu amacı aşmamak kaydıyla sağlık çalışanlarının hasta kayıtlarına erişmesinin mümkün olduğu, hasta kayıtları üzerinde yapılan her türlü değişikliğin log kaydının tutulduğu,
  • Hekimlerin sadece kendileri üzerinden kayıtları açılmış hastaların dosyalarına erişmesinin veya arşiv memurlarının erişebilecekleri hasta dosyalarının kısıtlanmasının, sağlık hizmetinin doğası ile bağdaşmadığı, bir hekimin, kendi hastası olmayan bir hastaya doğrudan veya dolaylı olarak sağlık hizmeti sunabildiği, bir başka hekime konsültasyon verebildiği, bu sebeple de hastanedeki hekimlerin ve hasta dosyalarının muhafazasından sorumlu arşiv memurlarının hasta dosyalarına erişmesinde hukuka aykırılık görülmediği,
  • Başvuruya konu olan olayda hukuka aykırılık, eğer gerçekten vuku buldu ise (yargısal süreç halen devam etmekte olduğu belirtilmekte), insan faktöründen kaynaklandığı, sağlık sektörünün doğası gereği, insan faktörünün tamamen gözden çıkarılamadığı, bununla birlikte Sağlık Bakanlığının caydırıcılığını arttırmak ve hasta mahremiyetini sağlamlaştırmak için idari, hukuki, cezai müeyyidelerin takipçisi ve uygulayıcısı olduğu, sayısız resmi yazı ile sayısız kurum ve kuruluşa hasta mahremiyeti ve kişisel verilerin korunmasına ilişkin talimatlandırma yaptığı, tüm bunlar birlikte değerlendirildiğinde olayda Bakanlığa atfedilebilecek bir güvenlik açığı tespit edilmediğinin düşünüldüğü

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/08/2021 tarih ve 2021/761 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin
    (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
  • Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de
    1.    Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
    2.    Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak,
    a)    Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    b)    Gizlilik sözleşmelerinin yapılması,
    c)    Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
    d)    Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
    3.    Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
    a)    Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
    b)    Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
    c)    Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    d)    Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    e)    Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.
    hususlarına yer verildiği, 
  • İlgili sağlık mevzuatı incelendiğinde; 01.08.1998 tarihli Resmi Gazete’de yayınlanan Hasta Hakları Yönetmeliğinin “Kayıtların İncelenmesi” başlıklı 16 ncı maddesinde “Hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları doğrudan veya yetkili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir.” hükmü yer alırken yine aynı Yönetmeliğin 23 üncü maddesinde; “Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu ortadan kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.” hükmüne yer verildiği,
  • Ayrıca, 21.06.2019 tarihli Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin çocukların sağlık verilerine erişim başlıklı 8 inci maddesinin ikinci fıkrasında “Anne ve babanın boşanması halinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.” hükmü yer alırken, aynı Yönetmeliğin Sağlık verilerine avukatların erişimi başlıklı 10 uncu maddesinde “Avukatlar, müvekkilinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.” hükmüne yer verildiği,
  • Yine aynı Yönetmeliğin “Sağlık verilerine hasta yakınlarının erişimi” başlıklı 9 uncu maddesinin ilk fıkrasında kişisel sağlık verilerinin hasta yakınları ile paylaşımında 6698 sayılı Kanunun ilkelerine aykırılık teşkil etmeyecek şekilde, 01/08/1998 tarihli Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edileceğinin belirtildiği, Hasta Hakları Yönetmeliğinin söz konusu fıkrasında ise hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verileceğinin hüküm altına alındığı,
  • Yine Sağlık Bilgi Sistemleri Genel Müdürlüğünün güncellemiş olduğu “Bilgi Güvenliği Politikaları Kılavuzu”nun 41. sayfasında; “3.7.4.1. Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyaları, barkodlar, gözlem formları vb.) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı Kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır.” ifadesinin, 64. sayfasında “Özel nitelikli kişisel verilere (kişisel sağlık verileri) erişim için KVKK’nın 2018/10 sayılı kararında belirtilen teknik ve idari tedbirlerin alınmış olması gerekir.” ifadesinin, 122. sayfasında ise “9.9.25. KVKK’nın 2018/10 sayılı kararı uyarınca özel nitelikli kişisel verilerin işlendiği yazılımlarda; veriler üzerinde gerçekleştirilen tüm hareketlerin iz kayıtlarının bir başka ortamda güvenli olarak saklanması gerekmektedir.” ifadesinin yer aldığı,
  • Bununla birlikte, Kılavuzun çeşitli sayfalarında salt 2018/10 sayılı Karara atıfta bulunmanın yeterli olmadığı, söz konusu kararda da atıf yapılan Kişisel Veri Güvenliği Rehberinde, kişisel veri güvenliğinin sağlanması için veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açabileceği kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınmasının gerekmekte olduğu, risklerin tanımlanması ve önceliğin belirlenmesinden sonra risklerin azaltılması ya da ortadan kaldırılmasına yönelik teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiğinin belirtildiği, 
  • Veri sorumlusu bünyesinde çalışanların kendilerine gelen özel nitelikli kişisel verilerin paylaşımı konulu bu tür talepler karşısında aksiyon alırken dikkatsizlik, dalgınlık veya tecrübesizlik gibi durumların önüne geçmek adına risklerin/tehditlerin henüz olaylar gerçekleşmeden önce değerlendirilerek takip edilmesi gereken sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politikanın belirlenmesi gerektiği,
  • Somut olayda doktorun ilgili kişi çocuğa muayene ve tedavi hizmeti verdiğinin epikriz formundan görüldüğü, ancak anılan doktorun ilgili kişiyi çocuk ve ergen psikiyatrisi olarak değil, çocuk hastalıkları kapsamında muayene ettiğinin görüldüğü,
  • Bu kapsamda, veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından Kanunun 8 nci maddesine aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı, 
  • Bir diğer konu olarak hastanedeki tüm poliklinik hasta kayıt personelleri ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olmasının veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, kimin hangi veriyi görüntülediği noktasında log kaydı tutulmadığı için herhangi bir kontrolün de mümkün olmadığı bu bakımdan, hastanedeki tüm doktor ve hasta kayıt personellerinin tüm hasta kayıtlarına erişmesi yerine, hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesinin uygun olabileceği, veri sorumlusunun kimlerin hasta verilerini görüntülenebileceğine dair yetki matrisini oluşturmak suretiyle olası hukuka aykırı veri işlemelerin önüne geçebileceği, bu kapsamda veri sorumlusu Sağlık Bakanlığının cevabi yazısında bahsetmiş olduğu, uzman doktorların sadece kendi üzerlerine kayıtlı hastalara hizmet vermedikleri, planlı veya ani gelişen durumlarda başka hastalara da hizmet verdikleri, sağlık hizmetlerinin yoğun ekip çalışması gerektirmesi ve aciliyet arz eden durumların da dikkate alınabileceği,
  • Ayrıca, hastanenin otomasyon sisteminden çıktı alma noktasında sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı 

değerlendirmelerinden hareketle 

  • Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması gerektiği hususunda veri sorumlusunun talimatlandırılmasına,
  • İdari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, bu eğitimde özel nitelikli kişisel verilerle muhatap olan hastane personelinin kişisel verilerin işlenmesinde yetki kapsamlarına açıkça yer verilmesi ve alınan eğitim belgelerinin Kuruma sunulması hususunda veri sorumlusunun talimatlandırılmasına,
  • Kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına,
  • Hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine,
  • Veri sorumlusu bünyesinde çalışan kişinin, ilgili kişinin çocuğuna ait özel nitelikli kişisel verileri ilgili avukata 6698 sayılı Kanunun 8 inci maddesinde yer alan aktarım şartlarından herhangi birine dayanmadan aktardığı, bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından, Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine

karar verilmiştir.

     b. Karara İlişkin Sonuç Özeti

Kurul’un yaptığı incelemeye göre bütün sağlık çalışanları sır saklama yükümlülüğü altındadır. 

Kişisel Sağlık Verileri Hakkında Yönetmelik m.8/2’de yer alan düzenleme gereğince velayete sahip olmayan ebeveyn de çocuğuna ilişkin sağlık verilerine erişebilecektir. 

Kişisel Sağlık Verileri Hakkında Yönetmelik m.10’da yer alan düzenleme gereğince avukatlar, müvekkillerinin sağlık bilgilerini genel vekaletname ile talep edemezler. Bu talep için düzenlenen vekaletnamede ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.

Veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından KVKK m. 8’e aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı gerekçeleriyle Kurul ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine karar vermiştir. 

     2. “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” aaahakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti

     a. Karar Metni

İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikayet dilekçesinde yer alan iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği,
  • Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun 12 nci maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı

ifade edilerek, Hastane tarafından veri sorumlusu olarak mesul müdürün gösterildiği Veri Sorumlusu Tanıtım Formu Kurumumuza intikal ettirilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Kararı ile,

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, bu minvalde ilgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan maddenin (4) numaralı fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün yer aldığı, bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı,
  • Kanunun 8 inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.” hükümlerine yer verildiği, bu çerçevede, kişisel verilerin herhangi bir veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,  
  • Bu çerçevede başvuruya konu olayda, ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiği görüldüğünden, 6698 sayılı Kanunun 3 üncü maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde Hastanenin bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
  • Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

     b. Karara İlişkin Sonuç Özeti 

İlgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında; tahlil sonuçlarının üçüncü bir taraf olarak hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılarak aktarılması, Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle Kurul tarafından Hastaneye 100.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterilmesi üzerine veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olması gerekçeleriyle Hastaneye veri sorumlusu sıfatına haiz olduğunun hatırlatılmasına karar verilmiştir. 

 

II. Sigorta Sağlayıcılarını İlgilendiren Kararlar

     1. “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet” hakkında aaaKişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti


     a. Karar Metni

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği,
  • Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği

değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

     b. Karara İlişkin Sonuç Özeti

Bir sigorta şirketinin ilgili kişiye vereceği sağlık sigortası hizmetini açık rıza temini şartına bağlaması şeklinde gerçekleşen olayda sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içermesi, poliçede yer alan sağlık verilerinin ise  kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler kapsamında işlenememesi nedeniyle ancak ilgili kişiden açık rıza alınması yoluyla veri işlemenin gerçekleştirilebilmesi gerekçeleriyle Kurul tarafından ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediğine karar verilmiştir. 

 

III.  Eczaneleri İlgilendiren Kararlar

     1. “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun aaa07/05/2020 Tarihli ve 2020/355 Sayılı Karar Özeti

     a. Karar Metni

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda özetle;

  • İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
  • Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği

belirtilmiştir.

İlgili kişiye ait Medula Eczane çıktılarının, dilekçe sahibinin eşinin eczanesinden alınarak kullanılması hakkındaki ihbar başvurusunun incelenmesi neticesinde

  • İhbara konu olan Medula Sisteminin, Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı,
  • Medula Eczanenin ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
  • SGK ile sözleşmeli olan eczanelerin bu sistemi kullanmaya yetkili olduğu, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebildikleri göz önünde bulundurulduğunda eczacıların Medula sistemi kapsamında veri işleme faaliyetinde bulunabildikleri

değerlendirilmiş, Sosyal Güvenlik Kurumu’ndan alınan bilgiler doğrultusunda ise ihbara konu Medula Eczane çıktılarının şikayet sahibinin eşinin eczanesinden alındığı tespit edilmiş olup, Kurulun 07/05/2020 tarihli ve 2020/355 sayılı Kararı ile;

Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,

Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı

Kanunun 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerinin düzenlendiği,

Öte yandan, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı dikkate alınarak;

  • Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
  • İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına

karar verilmiştir.

 

     b. Karara İlişkin Sonuç Özeti 

İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması şeklinde gerçekleşen olayda Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin hukuka aykırı olarak erişimini önlemek üzere gerekli güvenlik tedbirlerini almaması gerekçeleriyle Kurul, Eczane hakkında 60.000 TL idari para cezası uygulanmasına karar vermiştir. 

İlgili kişiye ait Medula eczane çıktılarına İl Sağlık Müdürlüğüne verdiği dilekçede yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Kurul tarafından Türk Ceza Kanunu m.136’da yer alan “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına karar verilmiştir. 

  1. “Sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 Tarihli ve 2018/143 Sayılı Karar Özeti

 a. Karar Metni

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

     b. Karara İlişkin Sonuç Özeti

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması şeklinde gerçekleşen olayda ilgili kişinin özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun (‘’Kanun’’) 8. maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12. maddesinin 4. fıkrasında yer alan veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanunun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı şeklindeki düzenlemeye aykırılık teşkil etmesi gerekçeleriyle Kurul tarafından veri sorumlusu eczane hakkında a idari para cezası uygulanmasına karar verilmiştir. 

     IV. Doktorları İlgilendiren Kararlar

     1. “Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili aaanumaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve aaa2019/332 Sayılı Karar Özeti


     a. Karar Metni 

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde, Şikayete konu olayın değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu’nun bilgi, belge ve savunma talep edilen yazısına da veri sorumlusu Doktor tarafından cevap verilmemesi sonucunda;

6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurulun 11/04/2019 tarihli ve 2019/98 sayılı Kararı ile başlatılan inceleme kapsamında veri sorumlusundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuzun 18/06/2019 tarihli yazısının 20/06/2019 tarihinde aynı konutta bir yakınına teslim edilmesine rağmen, bugüne kadar herhangi bir cevap verilmediği de dikkate alınarak, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, anılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

 

     b. Karara İlişkin Sonuç Özeti  

Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi şeklinde gerçekleşen olayda veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaması gerekçesiyle Kurul tarafından veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir. 

 

V. Sağlık Sektörünü Genel Olarak İlgilendiren Kararlar

     1. “Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve aaasonrasında imha edilmesi hakkındaki ihbar”a ilişkin Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı aaaKarar Özeti


     a. Karar Metni

Bir hastanede çalışan doktordan alınan ihbar dilekçesinde özetle; hastanede çalıştığı dönemde idarenin önerisi ile kronik hastalıklar ile ilgili yan dal polikliniklerini kurarak hasta verilerini, poliklinik bilgisayarı ve hastane veri sistemine klinik olarak, uzmanlar ve yan asistanları ile kaydetmeye başladıkları, ayrıca hastane idaresinin bilgisinde, etik kurul onayları alınmış ve bazılarında bilimsel araştırma projelendirmelerinde projelendirilmiş olarak, hastalara ait kan, serum ve doku örneklerini de -80 derecede derin soğutucuda toplamaya başladıkları, geçici görevinin bitmesi sonucu hastaneden ayrıldıktan sonra ilgili Hastane başhekimlerine veriler hakkında bilgi verildiği, ancak bilgilendirmelere rağmen ülkemizdeki tek doku ve kan bilimsel materyallerinin olduğu -80 derece dondurucuların gözden uzak klimasız bir odaya aktarıldığı, sonrasında da erimiştir denilerek ve kıymetli doku materyallerinin bilimsel hayata tekrar kazandırılıp kazandırılmayacağının araştırılmadan tutanak altında çöpe atıldığı dolayısıyla bilimsel verilerin korunmasında ihmalkar davranıldığı ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinde belirtilen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İhbarda bulunan doktorun görev yaptığı dönemde de bundan sonraki süreçte de hasta kayıtlarının devamlılık esasına dayanılarak Gastroenteroloji Polikliniğinde tutulmaya devam edildiği ve hastaların takip ve tedavilerinin halen devam ettiği, bu hastaların Gastroenteroloji Kliniğine başvuruda bulunan, teşhis ve tedavileri yapılmış ve halen tedavi takipleri yapılan hastalar olduğu, kayıtlarının Sağlık Bakanlığının talimatları doğrultusunda elektronik olarak tutulduğu, hasta mahremiyeti esası ile hasta bilgilerinin, takip eden doktorlar ve ailesi dışında kimse ile paylaşılmadığı,
  • Buzdolaplarının 08.03.2018 tarihinde arıza verene kadar herhangi bir şekilde kullanılmadığı, arıza tutanaklarının tutulduğu, arıza esnasında Başhekimliğin bilgilendirildiği, buzdolaplarındaki materyallerin eridiğinin görüldüğü ve ilgili branşlara bu örneklerin kullanılıp kullanılamayacağının sorulduğu, bu işlemlerin de tutanak altına alındığı, bu esnada buzdolaplarının nasıl alındığının bilinmediği, Başhekimliğin bilgisinin olmadığı ve demirbaş kaydının alınmadığının görüldüğü, Başhekimliğin durumdan haberdar edilip onamları alınarak buzdolabı içindekilerin imha edildiği, Başhekimlik talimatı ile buzdolaplarının biyokimya laboratuvarına teslim edildiği,
  • Örneklerin Hastane yöneticiliğinin bilgisi ve talimatı doğrultusunda imha edildiği,  hasta bilgilerinin ve tarafına teslim edilen bilimsel çalışmalarda kullanılmak üzere hastalar tarafından bilgilendirilmiş onam formlarının olmaması ve örneklerin bozulmuş olması nedeniyle kimlik bilgileri ile eşleştirme yapılmasının da bilimsel bir anlamının olmadığı,
  • Örneklerin arıza nedeniyle erimiş olması nedeniyle bunlarla ilgili analiz yapılmadığı, yapılsa dahi bilimsel etik kuralları gereği hasta onamları olmaması nedeniyle hükümsüz olacağı, bu örneklerin başka araştırmalarda kullanılmadığı, örneklerin hastaların tedavisini etkilemek veya değiştirmek amacıyla değil olası bilimsel çalışmalar için toplandığının tahmin edildiği, toplanan örneklerin etik kurul onayları ve belgelendirilmiş onamları ile