07.04.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel veri ve özel nitelikli kişisel veri tanımları yapılmış, bu verilerin işlenmesi ve aktarılması hususunda belli hukuki sebepler öngörülmüş, veri güvenliğine ilişkin tedbirlerin alınması zorunlu kılınmıştır.
Sağlık sektörünü ilgilendiren, KVKK ile ihlali yaptırıma bağlanan durumları içeren çok sayıda Kişisel Verileri Koruma Kurulu (‘’Kurul’’) kararları ve veri güvenliği ihlal bildirimleri bulunmaktadır.
Bu yazıda veri güvenliği ihlallerine, Kurul Kararlarının sağlık sektörünü ilgilendiren bölümlerine yer verilecek ve kararlar özetlenecektir. sağlık
- Hastaneleri İlgilendiren Kararlar
-
Veri Güvenliğine İlişkin Kararlar sağlık
1. “İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine aaaerişim sağlanması” hakkında Kişisel Verileri Koruma Kurulunun 21/09/2021 tarihli ve 2021/962 sayılı Karar aaaÖzeti
-
Karar Metni
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; Sağlık Bakanlığının e-nabız uygulamasına girdiğinde, iki farklı tarihte veri sorumlusu hastane çalışanı hekim tarafından izni dışında sisteme girildiğini ve şikâyet gününe kadar olan tüm muayene ve tetkik sonuçlarına erişildiğini fark ettiği, hastane bünyesinde çalışan söz konusu hekime, muayene talebi ile gitmemiş olmasına rağmen sağlık verilerine erişiminin 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu, hukuka aykırı bu eylemin, kendisi dışında birden çok kişiye karşı da gerçekleştirildiğini şifahen öğrendiği, daha önce söz konusu hastane bünyesinde çalıştığından sağlık verilerine izinsiz erişim ve hukuka aykırı veri kaydının kendisini manevi olarak zarara uğrattığı, konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya herhangi bir cevap verilmediği, sağlık verilerine hukuka aykırı erişimin sebebini dahi bilmediği belirtilerek, ilgili sisteme kendisi ile ilgili kişisel verilerin işlenip işlenmediği, verinin işlenme amacı, hukuka aykırı işlenen veri var ise bunların yok edilmesi, hukuka aykırı olarak ilgili kişinin sağlık verilerine erişen veri sorumlusu hastane çalışanı hekim hakkında gerekli adli sürecin ve disiplin sürecinin başlatılması, manevi olarak zararının giderilmesi ve tarafına bu hususlarda bilgi verilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin veri sorumlusuna başvuru yaptığı belirtilmiş olsa da hastane kayıtlarının incelenmesinden ilgili kişinin belirtilen şekilde bir başvurusunun tespit edilemediği,
- Öte yandan konu ile ilgili iddiaların, veri sorumlusu hastanenin eski çalışanı olan ilgili kişinin önceki dönemde şikayete konu hekimin sekreteri olan çalışma arkadaşı ile arasındaki şahsi husumet nedeniyle ortaya atıldığının değerlendirildiği,
- Kurumun savunma yazısını müteakip hekimin bilgisine başvurulduğu ve bu esnada vicdani olarak rahatsızlık duyan hekim sekreterinin yazılı bir açıklamada bulunduğu, söz konusu yazı dikkate alındığında konu ile ilgili tüm eğitimlerin verilmesine rağmen sekreterin daha önce çok samimi olduğu ilgili kişinin bilgilerine yanında çalıştığı hekimin hasta muayene ettiği esnada baktığı ve söz konusu çalışan tarafından bu bilgilerin hiç kimse ile paylaşmadığının beyan edildiğinin anlaşıldığı,
- Söz konusu açıklama sonrasında personel ile ilgili disiplin yaptırımı uygulandığı ve konuya ilişkin yeniden hekimler ve sekreterler başta olmak üzere tüm personelin uyarıldığı ifade edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/09/2021 tarihli ve 2021/962 sayılı Kararı ile;
- Kanunun 3 üncü maddesinde kişisel verilerin işlenmesinin “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, veri işleyenin ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,
a) Hukuka ve dürüstlük kurallarına uygun şekilde,
b) Belirli, açık ve meşru amaçlar kapsamında,
c) Doğru ve gerektiğinde güncel olma şartıyla,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkelerine uygun işlenebileceği, - Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hükme bağlandığı bununla birlikte, (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmadan işlenebileceği diğer hallerin sayıldığı, buna göre;
a) Kanunlarda açıkça öngörülmesi
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
şartlarından birinin varlığı halinde kişisel verilerin ilgili kişinin açık rızasının alınmadan işlenmesinin mümkün bulunduğu, - Kanunun 6 ncı maddesinde “
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği, - Somut olayda, öncelikle, veri sorumlusu hastanenin ilgili kişi tarafından kendisine yapılmış bir başvuru olmadığına yönelik iddiasına ilişkin olarak; ilgili kişi tarafından Kuruma intikal ettirilen başvuru dilekçesi ekinde ilgili kişi tarafından veri sorumlusuna yazılı olarak yapılmış başvuruya ve söz konusu başvurunun veri sorumlusuna iletildiğini gösterir belgeye yer verildiğinin görüldüğü, dolayısıyla veri sorumlusunun söz konusu savunmasının yerinde olmadığı,
- Öte yandan, söz konusu hukuka aykırı erişimi sağladığı görünen veri sorumlusu bünyesinde çalışan hekim ve erişimi sağladığını yazılı olarak dile getiren hekim sekreterine ilişkin olarak söz konusu durumun suç unsuru barındırabileceğinden hareketle anılan kişiler açısından konunun Türk Ceza Kanunu hükümleri kapsamında ele alınması gerektiği,
- Diğer taraftan, veri sorumlusu tarafından kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirlere dair savunma ve belgeler Kuruma iletilmiş olmakla birlikte ilgili kişinin şikâyeti kapsamında somut olayda e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişi tarafından yazılı olarak dile getirildiği üzere ilgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından 6698 sayılı Kanunun 12 nci maddesinde düzenlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığı,
- Diğer taraftan, ilgili kişinin manevi olarak zararının giderilmesine yönelik talebine ilişkin olarak; Kanunun 14 üncü maddesinin (3) numaralı fıkrası kapsamında kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkının saklı olduğu değerlendirmelerinden hareketle;
- e-Nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek ilgili kişinin sağlık verilerine eriştiği dikkate alındığında söz konusu hukuka aykırı erişimin veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğu ve bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
- Öte yandan, veri sorumlusunun Kanunun 13 üncü maddesi kapsamındaki yükümlülüğünü yerine getirmek üzere kendisine iletilen başvuruları yanıtlaması hususunda gerekli dikkat ve özen göstermesi hususunda talimatlandırılmasına karar verilmiştir.
- Karara İlişkin Sonuç Özeti
E-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmaması nedeniyle Kurul, veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir.
Şikayet sahibinin konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna hastane tarafından herhangi bir cevap verilmemesi üzerine Kurul, veri sorumlusuna başvuru ile ilgili düzenlemelere uygun olarak hareket etmesi yönünde gerekli özen ve dikkati göstermesi hususunda talimatlandırılmasına karar vermiştir.
2. “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından aaaÖzel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi” hakkında aaaKişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Karar Özeti
- Karar Metni
Kuruma intikal eden şikâyette özetle; şikâyetçinin veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından hastaneden temin edildiği ve Aile Mahkemesinde tarafına açılan yargılamanın iadesi davasına ilişkin dosyada, içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel veriler içeren bilgisayar ekran görüntüsünün delil olarak kullanıldığı, konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna, hastane tarafından herhangi bir cevap verilmediği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- Şikayetçi ile hastane arasında şikâyet öncesinde ve sonrasında devam eden bir dava süreci bulunmadığı,
- Hastane bünyesinde sağlık ve destek ekipleri dahil olmak üzere toplam 653 personelin çalıştığı, bu nedenle kuruma çeşitli kanallardan gelen ve kurum tarafından gönderilen evrak ve taleplere ilişkin yoğun bir trafiğin mevcut olduğu, bu nedenle gün içerisinde kuruma gelen ve gönderilen evrak ve talep sayılarının değişkenlik göstermekle birlikte gün içerisinde yaklaşık olarak bu sayının yetmişi bulduğu, evrak trafiğinin yoğunluğu nedeniyle bir hata yaşandığı ve başvurunun ilgili birimlere iletilmesindeki aksaklık nedeniyle başvuru sahibi kişiye dönüş yapılamadığı,
- Cumhuriyet Başsavcılığınca hazırlanan iddianame ve ekinde yer alan görüntünün doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğunun tespit edildiği,
- Bu ekrana ilgili birimde çalışan yatan hasta misafir hizmetleri çalışanları ve hemşirelerin erişim yetkisinin bulunduğu,
- Mevcut bölümde hizmet veren kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı,
- Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki kişiden alınan ifadelerden de anlaşılacağı üzere her iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı,
- Hastane olarak hasta bilgi gizliliği, hasta mahremiyeti konularındaki prensipleri gereği hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda oldukça detaylı idari ve teknik tedbirler alındığı belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Kararı ile;
- Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
- Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ise “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14 üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.” hükmünü haiz olduğu,
- Somut olayda, ilgili kişinin Kanunun 13 üncü maddesi çerçevesinde yazılı olarak veri sorumlusu hastaneye yaptığı başvurunun PTT gönderi belgesi sorgulamasında veri sorumlusunun söz konusu başvuruyu teslim aldığının görüldüğü, ancak yasal süresi içinde başvuruya cevap verilmemesi üzerine şikâyetçi tarafından Kanunun 14 üncü maddesi uyarınca Kuruma şikâyette bulunulduğunun anlaşıldığı,
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceğinin, Tebliğin 6 ncı maddesinde ise veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
- Veri sorumlusundan alınan cevap yazısında; hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğunun görüldüğü, bu kapsamda veri sorumlusunun Kanun kapsamında kendisine yapılan başvurular ile ilgili olarak Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmediği kanaatine varıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- 6698 sayılı Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
- Somut olayda, veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği,
- Her ne kadar veri sorumlusu tarafından hasta bilgi gizliliği, hasta mahremiyeti, hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda çalışanlara sürekli eğitimler verildiği ve sürece ilişkin yazılı kurumsal dokümanlar oluşturulduğu ifade edilse de söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olunduğu,
- Veri sorumlusu hastane tarafından kişisel verilere hukuka aykırı erişimi önlemek adına alınan idari ve teknik tedbirlerin yetersiz kaldığı ve sonuç olarak şikâyetçinin velisi bulunduğu ilgili kişiye ait kişisel verilerin üçüncü kişilerce erişimine neden olunduğu
değerlendirmelerinden hareketle;
- Şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği dikkate alındığında, bu konuda veri sorumlusu Hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
- Veri sorumlusu hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğu görüldüğünden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği dikkate alındığında Kurul, veri sorumlusu hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğine kanaat getirerek Hastaneye idari para cezası verilmesine karar vermiştir.
Şikayet sahibinin konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna hastane tarafından herhangi bir cevap verilmemesi üzerine Kurul, veri sorumlusuna başvuru ile ilgili düzenlemelere uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar vermiştir.
B. Hukuki Sebeplere İlişkin Kararlar
a. Karar Metni
İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde Hastaneden savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin, tarafları nezdinde SMS gönderimine ilişkin herhangi bir açık rızasının bulunmadığı,
- İlgili kişinin kişisel verilerinin hiçbir şekilde taraflarınca işlenmediği
- İlgili kişinin kişisel verilerinin yurt içinde ve yurt dışında hiç kimseye aktarılmadığı, çünkü ilgili kişinin kişisel verilerinin bünyelerinde işlenmediği,
- Reklam içerikli telefon aramalarından herhangi bir şekilde haberlerinin olmadığı, ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
- Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı
ifade edilmiştir.
Bununla birlikte, şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastanenin internet sitesinin iletişim bölümünde yer alan numara arandığında ise karşı tarafça şikâyete konu telefon numarasının da Hastanenin checkup merkezi olarak açıldığı yönünde bilgi verildiğinden, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgilerle birlikte Kuruma iletilmesi talep edilmiştir.
Hastane tarafından Kuruma iletilen cevap yazısında özetle:
- Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,
- Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,
- Müşterilerin Hastane tarafından bulunmadığı bu nedenle ilgili kişinin herhangi bir bilgisinin bünyelerinde bulunmadığı, Firmanın ilgili kişinin bilgilerini ne şekilde bulduğu, bulup bulmadığı vb. konularda taraflarının bilgilendirilmediği,
- Hastane bünyesinde ilgili kişinin bilgilerinin bulunması ve gerekli onayı almış olması halinde taraflarının bu kişiyi direkt arayacağı ve checkup ile ilgili bilgileri bildireceği, başka bir firmanın checkup hizmeti için taraflarına hasta yönlendirmesi halinde komisyon aldığı dikkate alındığında Hastanenin kendi bünyesinde bulunan bilgileri bir başka firma ile paylaşmasının da hukuki ve mantıken açıklanabilecek yönünün de bulunmadığı,
- Firmanın, Hastaneye bağlı bir firma veya Hastanenin checkup departmanının da olmadığı, Firmanın sadece taraflarına kanuna uygun olarak hasta bulmakta olduğu, Firmanın kendisini Hastanenin checkup departmanı gibi yani kendilerine bağlı bir firma gibi tanıttığının tespit edilmesi halinde konu ile ilgili de Firma ile hukuki girişimlere başlanılacağı,
- Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığı, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi hiçbir zaman taraflarından tedavi hizmeti almadığı, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediği, Firmanın hukuka ve sözleşmeye uygun olarak taraflarına hasta yönlendirme hizmeti vermekte olduğu sözleşme gereğince de hasta temin etme hususunda hukuka aykırı bir işlem yapması halinde Firmanın sorumlu olacağının açıkça düzenlendiği
açıklamalarına yer verilmiştir.
Müteakiben, söz konusu iddialara ilişkin Firmadan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişiye ilişkin Hastane adına arama yapıldığı, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğu, ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığı, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığı, bünyelerinde kişisel verilerin tutulmadığı, çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile kullanılarak randevuların düzenlediği, bu nedenlerle yurt içine ya da yurt dışına herhangi bir kişisel veri aktarımının söz konusu olmadığı, bu açıklamalar doğrultusunda şikâyetin reddine karar verilmesinin talep edildiği
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Kararı ile,
- Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;
- Sözleşme konusunun, Hastanenin bünyesinde sunulan checkup panelinin Firma tarafından üçüncü kişilere pazarlanması ve satışı ile yapılan satıştan sonra Hastanenin bu hizmeti karşılaması ve aradaki ticari işlemleri kapsadığı,
- Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği,
- Firmanın kendisi için tasarlanmış checkup panelini piyasa şartları çerçevesinde Hastaneden yazılı onay almak suretiyle kendisinin belirleyebileceği, satışı artırmak için gerekli noktalarda kampanyalar ve aktiviteler düzenleyebileceği,
- Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,
- Firmanın bu sözleşme devam ettiği sürece bu ürünü ister web sitesi aracılığı ile ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği,
- Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu,
- “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği,
- Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği server’ların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği,
- Müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemedikleri,
- Tüm arama, satış, backoffice, teslim ve takip adımlarının giriş ve yönetiminin dijital ortamda yapıldığı, ofiste müşteri bilgi güvenliğini tehlikeye sokacak gereksiz matbu formların kullanılmadığı
şartlarına yer verildiğinin görüldüğü,
- Kanunun 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, diğer bir ifadeyle, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği, ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,
- Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde de çağrı merkezinin veri işleyen olduğu; “… veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.” şeklinde açıklandığı,
- Bununla birlikte Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunun “Veri sorumlusu bazı işlerini çağrı merkezine bırakır ve çağrı merkezine veri sorumlusunun müşterilerini veri sorumlusunun kimliğini kullanarak arama talimatı verir. Bu durumda müşterilerin beklentileri ve veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunma şekli dış kaynak firmasının veri sorumlusu adına bir veri işleyen olarak hareket ettiği sonucunu doğurur.” şeklindeki örnekle açıklandığı,
- Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği; bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Hastanenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Hastanenin meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği” hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
İlgili kişinin cep telefonunun özel bir hastane tarafından reklam amaçlı izinsiz aranması şeklinde gerçekleşen olayda hastane ve bir Firma arasında üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin bir sözleşmenin bulunmaktadır. Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varılması,Hastane tarafından Firmaya bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olması gerekçeleri ile Kurul, Firma hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
2. ‘‘Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi’’ aaahakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarihli 2021/545 sayılı Karar Özeti
a. Karar Metni
Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;
- Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağı,
- Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı,
- Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı,
- Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile;
- Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmüne yer verildiği,
- Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
- Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı
değerlendirmelerinden hareketle;
- Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
- Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Somut olayda veri sorumlusu firma tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi durumunda Kanunun 5 inci maddesinde sayılan hukuki sebeplerden birinin var olmaması nedeniyle veri sorumlusu hastaneye, kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmemesi nedeniyle Kurul tarafından veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
3. “Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından bir hastanenin müşterilerinin kişisel aaaverilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve aaa2021/84 sayılı Karar Özeti
a. Karar Metni
Kuruma intikal eden bir şikâyette; başvuru sahibi Hastanenin, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneleri nezdinde kayıtlı bulunan hastalara ait telefon numaralarına, öncesinde hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak adına doktorun ismi ve soyismi başlığı altında geçiş yaptığı yeni hastanenin isim ve iletişim bilgileri ile başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği yönünde kendilerine pek çok şikâyet ulaştığından hareketle Hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiği iddiaları ile anılan STH’ler hakkında Kanun çerçevesinde gerekli işlemlerin tesis edilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusu STH’lerden savunmaları istenilmiş olup, 1. STH’nin cevabi yazısında özetle; söz konusu iddiaların gerçeği yansıtmadığı, olayla hiçbir şekilde bilgilerinin ve bağlantılarının olmadığı; 2. STH’nin cevabi yazısında ise özetle kendilerinin başvuruya konu olayda yalnızca SMS trafiğini taşıma konusunda servis sağlayıcı hizmeti sunmakta oldukları, kendilerinin geçmişte olan bu işlemle ilgili yapmış oldukları incelemeler sonrasında şikâyete konu kişisel veri işleme faaliyetinin geçmişte alt bayileri olan ve şu an bayileri olmayan 1. STH üzerinden gerçekleştiği, gönderilen SMS’lerin numaralarının kime ait olduğu, nereden temin edildiği sorumluluğunun hem aboneye ait hem de alt bayilerinin sorumluluğunda olduğundan dolayı bu konuda sorumlu tutulamayacakları ve bu hususun Bayi Sözleşmesinde “Bayi Yükümlülükleri” bölümünde de belirlendiği ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/84 sayılı Kararı ile,
- 5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde ticari elektronik iletinin; “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler”, (ç) bendinde hizmet sağlayıcının; “Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişi” (d) bendinde aracı hizmet sağlayıcının; “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişi,” olarak tanımlanmış olduğu,
- Mezkur kanunun “Aracı hizmet sağlayıcıların yükümlülükleri” başlıklı 9 uncu maddesinin birinci fıkrasında; “Aracı hizmet sağlayıcılar, hizmet sundukları elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içerikleri kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün yer aldığı, bu doğrultuda 2. STH’nin bir aracı hizmet sağlayıcı olarak değerlendirilmesi halinde, aracı hizmet sağlayıcının, haberleşme altyapısını kullanan hizmet sağlayıcısı tarafından sağlanan içeriği kontrol etmekle, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü kılınmamasından dolayı, somut şikâyet kapsamında, 2. STH yönünden Kanuna aykırılığın bulunmadığı,
- Öte yandan aralarındaki anlaşma çerçevesinde Hastane ile 1. STH arasında, Hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin dördüncü fıkrasında “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmünün yer aldığı, 1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle mezkûr Kanun hükmünde öngörülen yükümlülüğe aykırı hareket etmiş olduğu,
- Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,
- 1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varıldığı
değerlendirmelerinden hareketle;
Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve 1. STH’nin Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Başvuru sahibi Hastanenin, hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı, hastane nezdinde kayıtlı bulunan hastalara ait telefon numaralarına hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak amacıyla başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği olayda:
- STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle veri güvenliğine ilişkin yükümlülükler aykırı hareket etmiş olduğu, Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varılması sebebiyle Kurul tarafından 1. STH’ye 125.000 TL idari para cezası uygulanmasına karar verilmiştir.
C. Aktarıma İlişkin Kararlar
1. “Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” aaahakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti
a. Karar Metni
Kuruma intikal eden şikâyet dilekçesinde özetle;
- Şikayetçinin aralarında boşanma davası devam eden eşinin, müşterek çocuklarını taciz ettiği iddiasıyla yargılanmakta olduğu, dosyanın istinaf aşamasında bulunduğu, ilgili kişinin eşinin istinaf dilekçesi ve eklerinde müşterek çocuklarına ait sağlık ve epikriz raporlarına yer verildiği,
- Şikayetçinin karşı tarafın İstinaf Mahkemesine vermiş olduğu epikriz raporlarında oğlu hakkında “yalan söyler, hırsızlık yapar” gibi cümlelerin olduğunu gördüğü, oğlunu çocuk psikiyatrisi bölümüne sadece dikkat dağınıklığı için muhtelif zamanlarda toplamda 3-4 kez muayeneye götürdüğü, ancak hiçbir zaman oğlunu yalan söylemesinden bahisle hastaneye götürmediği, yine İstinaf Mahkemesine sunulan raporların özel hayatın gizliliği hiçe sayılarak ve usulsüz olarak konuyla alakasız kişiler tarafından kendisinin haberi olmadan alındığı, alınan raporda değişiklik yapılarak Mahkemeyi yanıltılmak amacıyla karşı tarafa verildiği,
- Bunun üzerine, söz konusu sağlık raporlarının şikayetçi annenin izni olmadan bir Eğitim ve Araştırma Hastanesi (“Hastane”) tarafından hapiste bulunan eşinin vekiline verildiğinin anlaşıldığı, vekilin vekaletnamesinde ise bu konuda özel bir iznin bulunmadığı,
- Başlatılan araştırmalar kapsamında edindiği bilgilerden; Hastanede Arşiv Memuru olarak çalışan kişinin söz konusu raporları kendisinden sadece Hastane şefinin talep ettiği, diğer kişilerle bu konuda bir görüşmesinin olmadığı, bu talep üzerine çıktılar aldığı bunun yolu olarak sistemde kaydet butonuna basarak epikriz formu oluşturduğu, bu işlem sırasında bulgular ya da tanıda herhangi bir değişiklik yapmadığı ve çıktığı aldığını beyan ettiği, Hastanede Şef olarak çalışan kişinin söz konusu raporlara ilişkin talep üzerine ilk etapta belgeleri vermeyip amirine danıştığı, geçmişte konu ile ilgili mevcut olan bir görüş yazısı ve İl Sağlık Müdürlüğünün avukatı ile yaptığı görüşme üzerine raporları alma talebi ile başvuran kişilerin ikinci gelişlerinde bu raporları veremeyeceğini beyan ettiği, Çocuk Hastalıkları Uzmanı doktorunun ise söz konusu belgeleri şikayetçinin eşinin vekiline kendisi tarafından verildiğini kabul ettiği, başvuru esnasında avukatın kimliği, vekâletnamesi, nüfus kayıt örneği, babaya ait dilekçeleri inceleyerek uygun olduğunu gördüğü, belgelerin imzalanıp kaşelenmeden resmi hüviyet kazanamayacağı, idareden resmi onaylı nüshanın talep edilmesi gerektiği hususlarının avukata açıkça beyan edildiği,
- Ancak şikayetçinin çocuğunu söz konusu doktora hiç muayeneye götürmediği,
- Konu hakkında ilgili Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ancak doktorun açık ikrarına rağmen Valilikçe soruşturma izninin verilmediği
hususları ifade edilerek ilgili kişinin kişisel verilerini 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olarak işleyen ve velisinin rızası dışında kullanan veri sorumlusu hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.
Şikayet dilekçesinin ekinde yer alan ilgili Valilik İl İdare Kurulu Müdürlüğünce alınan Kararda özetle;
- İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği,
- Raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü,
- Hastane Bilgi İşlem Müdürlüğü tarafından söz konusu hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, hastane otomasyon sisteminde ekleme, silme ve değiştirme işlemlerinde log kaydı tutulduğu, hastaların bilgilerinin görüntülenmesi noktasında ise log kaydı tutulmadığına ilişkin bilgi verildiği,
- Raporları vekile teslim eden doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi nedeniyle raporları teslim ettiğini belirttiği,
- Doktorun söz konusu belgeleri verdiği ikrarı ile bu davranışının gerekçelerinin birlikte değerlendirilmesi neticesinde; çocuk hastalıkları uzmanı olarak görev yapan hekimin yoğun poliklinik şartları, gece nöbetleri ve diğer görevleri esnasında, kendisine yapılan tüm taleplerle ilgili yasaları bilmesinin ve/veya hatırlamasının mümkün olmadığı, muhatap olduğu hastaların kendisini ifade edemeyecek, kendisi ile ilgili karar alamayacak durumda olan 18 yaşın altındaki bireylerden oluşması ve hastaları ile ilgili tüm bilgileri ve açıklamaları hastası konumundaki çocukların ailelerine izah etme/belge verme zorunluluğunun olması, talep eden avukatın istediği belgeleri mahkeme yoluyla da elde edilebileceği, imzasız ve kaşesiz olarak bilgilendirme amacıyla verildiği, doktorun bilerek ve isteyerek bir kişinin mağduriyetine sebep olma isteği taşıyamayacağının anlaşıldığı
belirtilerek, Valilik tarafından soruşturma izni verilmemesine karar verildiği bilgileri yer almaktadır.
Bu çerçevede konuya ilişkin başlatılan inceleme çerçevesinde söz konusu şikayet dilekçesinde yer alan iddialar kapsamında Sağlık Bakanlığının açıklamalarına başvurulmuş olup, konuya ilişkin ilgili Valilik İl Sağlık Müdürlüğü tarafından verilen cevapta özetle;
- Şikayete konu doktor ve arşiv memurunun kamu personeli ve sağlık çalışanı olmaları nedeniyle sır saklama yükümlülüğü altında bulundukları,
- Sağlık çalışanlarının hastalara ait kişisel verilere erişmelerinin sağlık hizmetinin sunulması için bir zorunluluk olduğu, erişim yetkisinin sağlık hizmetinin sunumu açısından zorunlu olması sebebiyle, şikayete konu olan kişilerin de dahil olduğu meslek grubu olan sağlık çalışanlarının ve kamu personelinin sır saklama yükümlülüklerinin pek çok temel mevzuatta düzenlendiği ve bu erişim yetkisinin hasta mahremiyetini zedeleyecek şekilde kötüye kullanılmasının yaptırımlara bağlandığı,
- Şikayete konu edilen olayın Bakanlığa bağlı bir hastanede gerçekleştiği, Bakanlığın veri işleme faaliyetinin sebebinin 6698 sayılı Kanunun 6 ncı maddesinde tanımlanan “tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi” dahilinde olduğu ve dolayısıyla da sağlık çalışanlarının hasta dosyalarına sağlık hizmetinin sunulması kapsamında erişimlerinin bulunmasının Kanun kapsamında hukuki dayanağının bulunduğu,
- 21.06.2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 6 ncı maddesinde, sağlık personelinin verilere erişimine ilişkin şartların belirlenmiş olduğu ve buna göre, sağlık hizmet sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceğinin düzenlendiği,
- Şikâyete konu olaydan tamamen bağımsız olarak düşünüldüğünde, sağlık çalışanlarına, çalıştıkları pozisyon ve sahip oldukları unvan gereğince ve verilecek sağlık hizmetinin gereği ile sınırlı olmak kaydıyla hasta verilerine erişim yetkisi verilmesinin hukuka uygun olduğu,
- Hekimlerin hastaların sağlık verilerine geçmiş hastalık öykülerini, tedavilerini öğrenmek ve mevcut rahatsızlıkları için tedaviyi belirlemek adına erişim sağladıkları,
- Aynı şekilde arşiv memurlarının da, yaptıkları işle ilintili olarak hastaların dosyalarına erişim ihtiyacı olan sağlık çalışanları oldukları, bu kişilerin hasta dosyalarına erişiminin kısıtlanmasının, sağlık hizmetinin sunumunu aksatacak, insan sağlığı açısından telafisi imkansız sonuçlara yol açabileceği,
- Dolayısıyla, bahsi geçen olaydaki meslek gruplarının, yani bir uzman doktorun ve arşiv memurunun hasta kayıtlarına meslekleri icabı erişme zorunluluğu bulunduğu, bu kişilerin, sağlık hizmetinin sunumu esnasında amaçla sınırlı olmak kaydıyla hasta kayıtlarına erişmelerinde kişisel verilerin korunmasına ilişkin mevzuata aykırı bir husus bulunmadığının değerlendirildiği,
- Nihai değerlendirmelerinde Sağlık Bakanlığının kişisel veri işleme faaliyetlerinin dayanağını yürürlükteki mevzuattan aldığı, sağlık hizmetinin sunumu ile bağlantılı konularda, bu amacı aşmamak kaydıyla sağlık çalışanlarının hasta kayıtlarına erişmesinin mümkün olduğu, hasta kayıtları üzerinde yapılan her türlü değişikliğin log kaydının tutulduğu,
- Hekimlerin sadece kendileri üzerinden kayıtları açılmış hastaların dosyalarına erişmesinin veya arşiv memurlarının erişebilecekleri hasta dosyalarının kısıtlanmasının, sağlık hizmetinin doğası ile bağdaşmadığı, bir hekimin, kendi hastası olmayan bir hastaya doğrudan veya dolaylı olarak sağlık hizmeti sunabildiği, bir başka hekime konsültasyon verebildiği, bu sebeple de hastanedeki hekimlerin ve hasta dosyalarının muhafazasından sorumlu arşiv memurlarının hasta dosyalarına erişmesinde hukuka aykırılık görülmediği,
- Başvuruya konu olan olayda hukuka aykırılık, eğer gerçekten vuku buldu ise (yargısal süreç halen devam etmekte olduğu belirtilmekte), insan faktöründen kaynaklandığı, sağlık sektörünün doğası gereği, insan faktörünün tamamen gözden çıkarılamadığı, bununla birlikte Sağlık Bakanlığının caydırıcılığını arttırmak ve hasta mahremiyetini sağlamlaştırmak için idari, hukuki, cezai müeyyidelerin takipçisi ve uygulayıcısı olduğu, sayısız resmi yazı ile sayısız kurum ve kuruluşa hasta mahremiyeti ve kişisel verilerin korunmasına ilişkin talimatlandırma yaptığı, tüm bunlar birlikte değerlendirildiğinde olayda Bakanlığa atfedilebilecek bir güvenlik açığı tespit edilmediğinin düşünüldüğü
hususları bildirilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/08/2021 tarih ve 2021/761 sayılı Kararı ile;
- Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği, - Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de
1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.
hususlarına yer verildiği, - İlgili sağlık mevzuatı incelendiğinde; 01.08.1998 tarihli Resmi Gazete’de yayınlanan Hasta Hakları Yönetmeliğinin “Kayıtların İncelenmesi” başlıklı 16 ncı maddesinde “Hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları doğrudan veya yetkili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir.” hükmü yer alırken yine aynı Yönetmeliğin 23 üncü maddesinde; “Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu ortadan kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.” hükmüne yer verildiği,
- Ayrıca, 21.06.2019 tarihli Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin çocukların sağlık verilerine erişim başlıklı 8 inci maddesinin ikinci fıkrasında “Anne ve babanın boşanması halinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.” hükmü yer alırken, aynı Yönetmeliğin Sağlık verilerine avukatların erişimi başlıklı 10 uncu maddesinde “Avukatlar, müvekkilinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.” hükmüne yer verildiği,
- Yine aynı Yönetmeliğin “Sağlık verilerine hasta yakınlarının erişimi” başlıklı 9 uncu maddesinin ilk fıkrasında kişisel sağlık verilerinin hasta yakınları ile paylaşımında 6698 sayılı Kanunun ilkelerine aykırılık teşkil etmeyecek şekilde, 01/08/1998 tarihli Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edileceğinin belirtildiği, Hasta Hakları Yönetmeliğinin söz konusu fıkrasında ise hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verileceğinin hüküm altına alındığı,
- Yine Sağlık Bilgi Sistemleri Genel Müdürlüğünün güncellemiş olduğu “Bilgi Güvenliği Politikaları Kılavuzu”nun 41. sayfasında; “3.7.4.1. Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyaları, barkodlar, gözlem formları vb.) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı Kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır.” ifadesinin, 64. sayfasında “Özel nitelikli kişisel verilere (kişisel sağlık verileri) erişim için KVKK’nın 2018/10 sayılı kararında belirtilen teknik ve idari tedbirlerin alınmış olması gerekir.” ifadesinin, 122. sayfasında ise “9.9.25. KVKK’nın 2018/10 sayılı kararı uyarınca özel nitelikli kişisel verilerin işlendiği yazılımlarda; veriler üzerinde gerçekleştirilen tüm hareketlerin iz kayıtlarının bir başka ortamda güvenli olarak saklanması gerekmektedir.” ifadesinin yer aldığı,
- Bununla birlikte, Kılavuzun çeşitli sayfalarında salt 2018/10 sayılı Karara atıfta bulunmanın yeterli olmadığı, söz konusu kararda da atıf yapılan Kişisel Veri Güvenliği Rehberinde, kişisel veri güvenliğinin sağlanması için veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açabileceği kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınmasının gerekmekte olduğu, risklerin tanımlanması ve önceliğin belirlenmesinden sonra risklerin azaltılması ya da ortadan kaldırılmasına yönelik teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiğinin belirtildiği,
- Veri sorumlusu bünyesinde çalışanların kendilerine gelen özel nitelikli kişisel verilerin paylaşımı konulu bu tür talepler karşısında aksiyon alırken dikkatsizlik, dalgınlık veya tecrübesizlik gibi durumların önüne geçmek adına risklerin/tehditlerin henüz olaylar gerçekleşmeden önce değerlendirilerek takip edilmesi gereken sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politikanın belirlenmesi gerektiği,
- Somut olayda doktorun ilgili kişi çocuğa muayene ve tedavi hizmeti verdiğinin epikriz formundan görüldüğü, ancak anılan doktorun ilgili kişiyi çocuk ve ergen psikiyatrisi olarak değil, çocuk hastalıkları kapsamında muayene ettiğinin görüldüğü,
- Bu kapsamda, veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından Kanunun 8 nci maddesine aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı,
- Bir diğer konu olarak hastanedeki tüm poliklinik hasta kayıt personelleri ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olmasının veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, kimin hangi veriyi görüntülediği noktasında log kaydı tutulmadığı için herhangi bir kontrolün de mümkün olmadığı bu bakımdan, hastanedeki tüm doktor ve hasta kayıt personellerinin tüm hasta kayıtlarına erişmesi yerine, hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesinin uygun olabileceği, veri sorumlusunun kimlerin hasta verilerini görüntülenebileceğine dair yetki matrisini oluşturmak suretiyle olası hukuka aykırı veri işlemelerin önüne geçebileceği, bu kapsamda veri sorumlusu Sağlık Bakanlığının cevabi yazısında bahsetmiş olduğu, uzman doktorların sadece kendi üzerlerine kayıtlı hastalara hizmet vermedikleri, planlı veya ani gelişen durumlarda başka hastalara da hizmet verdikleri, sağlık hizmetlerinin yoğun ekip çalışması gerektirmesi ve aciliyet arz eden durumların da dikkate alınabileceği,
- Ayrıca, hastanenin otomasyon sisteminden çıktı alma noktasında sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı
değerlendirmelerinden hareketle
- Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması gerektiği hususunda veri sorumlusunun talimatlandırılmasına,
- İdari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, bu eğitimde özel nitelikli kişisel verilerle muhatap olan hastane personelinin kişisel verilerin işlenmesinde yetki kapsamlarına açıkça yer verilmesi ve alınan eğitim belgelerinin Kuruma sunulması hususunda veri sorumlusunun talimatlandırılmasına,
- Kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına,
- Hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine,
- Veri sorumlusu bünyesinde çalışan kişinin, ilgili kişinin çocuğuna ait özel nitelikli kişisel verileri ilgili avukata 6698 sayılı Kanunun 8 inci maddesinde yer alan aktarım şartlarından herhangi birine dayanmadan aktardığı, bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından, Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Kurul’un yaptığı incelemeye göre bütün sağlık çalışanları sır saklama yükümlülüğü altındadır.
Kişisel Sağlık Verileri Hakkında Yönetmelik m.8/2’de yer alan düzenleme gereğince velayete sahip olmayan ebeveyn de çocuğuna ilişkin sağlık verilerine erişebilecektir.
Kişisel Sağlık Verileri Hakkında Yönetmelik m.10’da yer alan düzenleme gereğince avukatlar, müvekkillerinin sağlık bilgilerini genel vekaletname ile talep edemezler. Bu talep için düzenlenen vekaletnamede ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.
Veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından KVKK m. 8’e aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı gerekçeleriyle Kurul ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine karar vermiştir.
2. “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” aaahakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti
a. Karar Metni
İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikayet dilekçesinde yer alan iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği,
- Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun 12 nci maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı
ifade edilerek, Hastane tarafından veri sorumlusu olarak mesul müdürün gösterildiği Veri Sorumlusu Tanıtım Formu Kurumumuza intikal ettirilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Kararı ile,
- Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, bu minvalde ilgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan maddenin (4) numaralı fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün yer aldığı, bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı,
- Kanunun 8 inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.” hükümlerine yer verildiği, bu çerçevede, kişisel verilerin herhangi bir veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
- Bu çerçevede başvuruya konu olayda, ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı
değerlendirmelerinden hareketle;
- Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiği görüldüğünden, 6698 sayılı Kanunun 3 üncü maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde Hastanenin bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
- Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
İlgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında; tahlil sonuçlarının üçüncü bir taraf olarak hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılarak aktarılması, Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle Kurul tarafından Hastaneye 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterilmesi üzerine veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olması gerekçeleriyle Hastaneye veri sorumlusu sıfatına haiz olduğunun hatırlatılmasına karar verilmiştir.
II. Sigorta Sağlayıcılarını İlgilendiren Kararlar
1. “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet” hakkında aaaKişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti
a. Karar Metni
Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;
- Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği,
- Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği
değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Bir sigorta şirketinin ilgili kişiye vereceği sağlık sigortası hizmetini açık rıza temini şartına bağlaması şeklinde gerçekleşen olayda sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içermesi, poliçede yer alan sağlık verilerinin ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler kapsamında işlenememesi nedeniyle ancak ilgili kişiden açık rıza alınması yoluyla veri işlemenin gerçekleştirilebilmesi gerekçeleriyle Kurul tarafından ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediğine karar verilmiştir.
III. Eczaneleri İlgilendiren Kararlar
1. “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun aaa07/05/2020 Tarihli ve 2020/355 Sayılı Karar Özeti
a. Karar Metni
İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda özetle;
- İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
- Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği
belirtilmiştir.
İlgili kişiye ait Medula Eczane çıktılarının, dilekçe sahibinin eşinin eczanesinden alınarak kullanılması hakkındaki ihbar başvurusunun incelenmesi neticesinde
- İhbara konu olan Medula Sisteminin, Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı,
- Medula Eczanenin ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
- SGK ile sözleşmeli olan eczanelerin bu sistemi kullanmaya yetkili olduğu, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebildikleri göz önünde bulundurulduğunda eczacıların Medula sistemi kapsamında veri işleme faaliyetinde bulunabildikleri
değerlendirilmiş, Sosyal Güvenlik Kurumu’ndan alınan bilgiler doğrultusunda ise ihbara konu Medula Eczane çıktılarının şikayet sahibinin eşinin eczanesinden alındığı tespit edilmiş olup, Kurulun 07/05/2020 tarihli ve 2020/355 sayılı Kararı ile;
Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı
Kanunun 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerinin düzenlendiği,
Öte yandan, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı dikkate alınarak;
- Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
- İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması şeklinde gerçekleşen olayda Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin hukuka aykırı olarak erişimini önlemek üzere gerekli güvenlik tedbirlerini almaması gerekçeleriyle Kurul, Eczane hakkında 60.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili kişiye ait Medula eczane çıktılarına İl Sağlık Müdürlüğüne verdiği dilekçede yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Kurul tarafından Türk Ceza Kanunu m.136’da yer alan “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına karar verilmiştir.
a. Karar Metni
Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.
Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.
Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
b. Karara İlişkin Sonuç Özeti
Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması şeklinde gerçekleşen olayda ilgili kişinin özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun (‘’Kanun’’) 8. maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12. maddesinin 4. fıkrasında yer alan veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanunun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı şeklindeki düzenlemeye aykırılık teşkil etmesi gerekçeleriyle Kurul tarafından veri sorumlusu eczane hakkında a idari para cezası uygulanmasına karar verilmiştir.
IV. Doktorları İlgilendiren Kararlar
1. “Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili aaanumaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve aaa2019/332 Sayılı Karar Özeti
a. Karar Metni
İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde, Şikayete konu olayın değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu’nun bilgi, belge ve savunma talep edilen yazısına da veri sorumlusu Doktor tarafından cevap verilmemesi sonucunda;
6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,
İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurulun 11/04/2019 tarihli ve 2019/98 sayılı Kararı ile başlatılan inceleme kapsamında veri sorumlusundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuzun 18/06/2019 tarihli yazısının 20/06/2019 tarihinde aynı konutta bir yakınına teslim edilmesine rağmen, bugüne kadar herhangi bir cevap verilmediği de dikkate alınarak, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, anılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi şeklinde gerçekleşen olayda veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaması gerekçesiyle Kurul tarafından veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
V. Sağlık Sektörünü Genel Olarak İlgilendiren Kararlar
1. “Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve aaasonrasında imha edilmesi hakkındaki ihbar”a ilişkin Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı aaaKarar Özeti
a. Karar Metni
Bir hastanede çalışan doktordan alınan ihbar dilekçesinde özetle; hastanede çalıştığı dönemde idarenin önerisi ile kronik hastalıklar ile ilgili yan dal polikliniklerini kurarak hasta verilerini, poliklinik bilgisayarı ve hastane veri sistemine klinik olarak, uzmanlar ve yan asistanları ile kaydetmeye başladıkları, ayrıca hastane idaresinin bilgisinde, etik kurul onayları alınmış ve bazılarında bilimsel araştırma projelendirmelerinde projelendirilmiş olarak, hastalara ait kan, serum ve doku örneklerini de -80 derecede derin soğutucuda toplamaya başladıkları, geçici görevinin bitmesi sonucu hastaneden ayrıldıktan sonra ilgili Hastane başhekimlerine veriler hakkında bilgi verildiği, ancak bilgilendirmelere rağmen ülkemizdeki tek doku ve kan bilimsel materyallerinin olduğu -80 derece dondurucuların gözden uzak klimasız bir odaya aktarıldığı, sonrasında da erimiştir denilerek ve kıymetli doku materyallerinin bilimsel hayata tekrar kazandırılıp kazandırılmayacağının araştırılmadan tutanak altında çöpe atıldığı dolayısıyla bilimsel verilerin korunmasında ihmalkar davranıldığı ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinde belirtilen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İhbarda bulunan doktorun görev yaptığı dönemde de bundan sonraki süreçte de hasta kayıtlarının devamlılık esasına dayanılarak Gastroenteroloji Polikliniğinde tutulmaya devam edildiği ve hastaların takip ve tedavilerinin halen devam ettiği, bu hastaların Gastroenteroloji Kliniğine başvuruda bulunan, teşhis ve tedavileri yapılmış ve halen tedavi takipleri yapılan hastalar olduğu, kayıtlarının Sağlık Bakanlığının talimatları doğrultusunda elektronik olarak tutulduğu, hasta mahremiyeti esası ile hasta bilgilerinin, takip eden doktorlar ve ailesi dışında kimse ile paylaşılmadığı,
- Buzdolaplarının 08.03.2018 tarihinde arıza verene kadar herhangi bir şekilde kullanılmadığı, arıza tutanaklarının tutulduğu, arıza esnasında Başhekimliğin bilgilendirildiği, buzdolaplarındaki materyallerin eridiğinin görüldüğü ve ilgili branşlara bu örneklerin kullanılıp kullanılamayacağının sorulduğu, bu işlemlerin de tutanak altına alındığı, bu esnada buzdolaplarının nasıl alındığının bilinmediği, Başhekimliğin bilgisinin olmadığı ve demirbaş kaydının alınmadığının görüldüğü, Başhekimliğin durumdan haberdar edilip onamları alınarak buzdolabı içindekilerin imha edildiği, Başhekimlik talimatı ile buzdolaplarının biyokimya laboratuvarına teslim edildiği,
- Örneklerin Hastane yöneticiliğinin bilgisi ve talimatı doğrultusunda imha edildiği, hasta bilgilerinin ve tarafına teslim edilen bilimsel çalışmalarda kullanılmak üzere hastalar tarafından bilgilendirilmiş onam formlarının olmaması ve örneklerin bozulmuş olması nedeniyle kimlik bilgileri ile eşleştirme yapılmasının da bilimsel bir anlamının olmadığı,
- Örneklerin arıza nedeniyle erimiş olması nedeniyle bunlarla ilgili analiz yapılmadığı, yapılsa dahi bilimsel etik kuralları gereği hasta onamları olmaması nedeniyle hükümsüz olacağı, bu örneklerin başka araştırmalarda kullanılmadığı, örneklerin hastaların tedavisini etkilemek veya değiştirmek amacıyla değil olası bilimsel çalışmalar için toplandığının tahmin edildiği, toplanan örneklerin etik kurul onayları ve belgelendirilmiş onamları ile ilgili herhangi bir devir teslim yapılmadığı
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Kararı ile,
- “Bilimsel veri, kan ve doku bankası” olarak adlandırılan ve dilekçe ekinde yer alan doküman ve resimlerden hastalara ilişkin örnekler üzerinde çeşitli barkodların olduğunun görülmesi ile doku ve kan bankasındaki listede bu örneklerin, isim ve ependorf (tüp) sayılarına göre dolaplara yerleştirildiğinin anlaşılması nedeniyle anılan örneklerin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirildiği,
- Bununla birlikte, Kanunun “İstisnalar” başlıklı 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, bu Kanun hükümlerinin uygulanmayacağı
değerlendirmelerinden hareketle;
- Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği Kanunun 28 inci maddesi kapsamında bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesinin hastaneden çalışan bir doktor tarafından ihbar edilmesi şeklinde gerçekleşen olayda bilimsel veri niteliğindeki kan, serum ve doku örneklerinin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek şekilde muhafaza edilmesi nedeniyle bunların kişisel veri olarak; verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirilmektedir. Ancak KVKK gereğince kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla bilimsel amaçlarla işlenmesi durumunda KVKK hükümlerinin uygulanmaması nedeniyle şikayet hakkında Kurul tarafından yapılabilecek bir işlem olmadığına karar verilmiştir.
2. “Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri” hakkında Kişisel Verileri aaaKoruma Kurulunun 27/01/2020 tarihli ve 2020/63 sayılı Karar Özeti
a. Karar Metni
İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, konunun incelenmesi talep edilmiştir.
Şikâyet dilekçesi ekinde yer alan veri sorumlusunun konuya ilişkin yapmış olduğu başvuru çerçevesinde ilgili kişiye verdiği cevapta özetle,
- Hasta kayıt sürecinde yaşanan olay ile ilgili olarak tutanak tutulduğu, Sağlık Bakanlığının Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak, Cumhuriyet Savcılığına bildirim yapıldığı,
- Ayrıca Kanunun 6 ncı maddesi gereğince, kişisel verilerin sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı
ifade edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- Hastanede yaşanan tartışma sonucunda veri giriş elemanı tarafından Beyaz Kod verildiği, bu sebeple, Beyaz Kod tutanağının tutulduğu, söz konusu tutanak tutulurken ilgili kişinin kimlik bilgilerinin tutanağa işlendiği, kimlik bilgileri işlenmeden Beyaz Kod tutanağının tutulmasının mümkün olmadığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin ikinci fıkrasında yer alan hüküm ile söz konusu kişisel verilerin işlenmesinin mümkün olduğu
ifade edilmiştir.
Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/63 sayılı Kararında;
- Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hükme bağlandığı,
- Taraflar arası yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin işlendiği,
- Öte yandan, 2/11/2011 tarih ve 28103 mükerrer sayılı Resmi Gazetede yayımlanan Sağlık Alanında Bazı Düzenlemeler Hakkında Kanun Hükmünde Kararnamenin “Hukuki Yardım” başlıklı 54 üncü maddesinin birinci fıkrasında, “Bakanlık ve bağlı kuruluşlarında; sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan işlemler ve davalarda personelin talebi üzerine Bakanlık ve bağlı kuruluşlarınca hukukî yardım yapılır. Bakanlık ve bağlı kuruluşları merkez ve taşra teşkilatı ile döner sermaye teşkilatı kadrolarında bulunan hukuk birimi amirleri, hukuk müşavirleri ve avukatlar, ayrıca vekâletname ibraz etmeksizin ilgili personeli vekil sıfatı ile temsil eder. Bu yardımın usûl ve esasları Bakanlıkça belirlenir.” hükmünün yer aldığı,
- Bununla birlikte, Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi ile Beyaz Kod uygulamasına başlandığı, bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına “Beyaz Kod Kullanım Kılavuzu 2.0” kapsamında, şiddete maruz kalan çalışanın, adli süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte, olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edildiği,
- Uygulamada yürütme organının Anayasada öngörülmüş düzenleyici işlemlere ek olarak, genel, soyut ve objektif hukuk kuralları öngörebildiği, bu tür düzenleyici işlemlere “adsız düzenleyici işlemler” denildiği, genelgelerin de bunlardan biri olduğu
değerlendirmelerinden hareketle,
- İlgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla ilgili hastane görevlilerince tutanak tutulduğu, sonrasında hastane görevlilerince ilgili kişi hakkında Savcılığa suç duyurusunda bulunulduğu, bu kişilerce kamu gücü kullanılarak açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerinin hastane verilerinden alınarak olay yeri tutanağına 1 yıl 3 ay sonra işlendiği, bu şekilde temel hak ve özgürlüklerinin ihlal edildiği gerekçesiyle hastaneye başvurduğu; hastanenin vermiş olduğu cevapta ise, ilgili kişinin babasının tedavisinin eksiksiz planlanıp yapıldığı, olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği; ayrıca Kanunun 6 ncı maddesi uyarınca kişisel verilerin, hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kuruma yaptığı şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Beyaz Kod, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 54 üncü maddesi çerçevesinde sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan işlemler ve davaların kayıt altına alındığı ve takibinin yapıldığı bir uygulamadır. Beyaz Kod’un amacı, mezkûr personele hukuki yardım verilmesi sürecini kolaylaştırmak ve ayrıca kök neden analizleri yaparak şiddet ile mücadele kapsamında yol gösterecek istatistiki verilere ulaşmaktır.
Taraflar arasında yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin işlendiği olayda Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi (‘’Genelge’’) ile Beyaz Kod uygulamasına başlandığı, bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına “Beyaz Kod Kullanım Kılavuzu 2.0” kapsamında, şiddete maruz kalan çalışanın, adli süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte, olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edilmesi, olayla aynı gün tutulduğu ve Genelgeye göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği göz önünde bulundurulacak Kurul tarafından ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
3. Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun aaa21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı
a. Karar Metni
Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;
– Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,
– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına
oy birliği ile karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Kurul tarafından bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren kurum ve kuruluşların kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, bu tedbirleri almayanlar hakkında Kanunun 18. maddesi kapsamında işlem yapılmasına karar verilmiştir.
4. “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler” hakkında Kişisel Verileri Koruma Kurulunun aaa06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti
a. Karar Metni
İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan alınan yazıda;
- Anayasanın 20 nci maddesinde kişisel verilerin korunmasını isteme hakkının kişisel verilerin silinmesini talep etme hakkını da kapsadığı ifade edilse de kişisel verilerin korunmasına ilişkin usul ve esaslarının kanunla düzenleneceğinin öngörüldüğü ve buna ilişkin usul ve esasların 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile belirlendiği,
- Kanunun 7 nci maddesi hükmünden de anlaşılacağı üzere Anayasanın 20 nci maddesinde yer alan kişisel verilerin silinmesini talep etme hakkının mutlak hak olmayıp bu hakkın ileri sürülmesinin belirli şartların varlığına bağlandığı, Kanun ve ikincil düzenlemelerle belirlenen bu şartların dayanağının yine Anayasanın 20 nci maddesinin son fıkrasında bulunan “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü olduğu,
- Buna ilaveten, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinde
“ 1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.” hükmünün bulunduğu, dolayısıyla kişisel veri işleme şartlarının tamamının ortadan kalkmadığı gerekçesiyle ilgili kişilerin kişisel verilerinin silinmesi taleplerinin veri sorumlusu tarafından reddedilebileceği, bu Yönetmelik ile de bunun hüküm altına alındığı, - Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin düzenlendiği,
- Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği,
- Kanunun tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,
- Ayrıca Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü kapsamında, sağlığa ilişkin verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık rızaları olmaksızın Bakanlıklarınca işlenebileceği, bu durumda verilerin işlenme sebeplerinin açık rıza değil, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan amaçlar olduğu,
- Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların, Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların silinmesinin uygun olmayacağının değerlendirildiği,
- Diğer taraftan, Bakan Yardımcılığının 17.05.2019 tarihli Makam Oluru kapsamında sehven konulan tanıların silinmesi için tanı girişi yapan hekimin tanının hatalı kaydedildiğini bildiren yazısı, tanı girişinin yapıldığı sağlık tesisinin başhekim onaylı resmi yazısı veya hatalı kaydedildiği belirtilen tanının silinmesine ilişkin ilgili il sağlık müdürlüğünün ya da ilgili Genel Müdürlük yazısının Genel Müdürlüklerine iletilmesi gerektiği;
- Sehven kaydedildiği kanıtlanmamış tanılar için ise ilgili il sağlık müdürlüğüne başvurulması ve bünyesinde kurulan bir komisyon ya da ilgili il sağlık müdürlüğü tarafından görevlendirilen hekim vasıtası ile hatalı kaydedildiği iddia edilen tanının araştırılması, araştırma sonucunda tanının hatalı kaydedildiği sonucuna ulaşılması halinde düzenlenecek raporda “ilgili tanının kişide bulunup bulunmadığının” net şekilde ifade edilmesi ya da bu hususta bir eğitim araştırma hastanesinden alınacak heyet raporu ile birlikte sağlık tesisinin bağlı bulunduğu il sağlık müdürlüğüne başvuru yapılması gerektiği; bu sürecin takip edilmesi sonucunda sehven konulan tanılarla belirli bir muayene neticesinde konulmasına karşın kişi üzerindeki etkisi devam etmeyen tanıların silinmesinin mümkün bulunduğu
belirtilmiştir.
Bahse konu şikayet başvurularının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06/02/2020 tarih ve 2020/93 sayılı Kararı ile;
- 6698 sayılı Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup, Kanunun 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlandığı,
- Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,
a)Hukuka ve dürüstlük kurallarına uygun şekilde,
b)Belirli, açık ve meşru amaçlar kapsamında,
c)Doğru ve gerektiğinde güncel olma şartıyla,
ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği, - Kanunun 6 ncı maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmiş olup, anılan maddenin;
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde hüküm altına alındığı, - Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
- Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesinin (1) numaralı fıkrasında Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği; 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun düzenlendiği,
- Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasında ise ilgili kişinin, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel verileri sileceği, yok edeceği veya anonim hale getireceği, ayrıca veri sorumlusunun, ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracağı ve ilgili kişiye bilgi vereceğinin belirlendiği,
- Kanunun 11 inci maddesinde ise ilgili kişilerin hakları sıralanmış olup, maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir” hükmüne yer verildiği,
- 21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k) bendinde kişisel verilerin imha edilmesinin; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde tanımlandığı,
- Anılan Yönetmeliğin “Kişisel Sağlık Verilerinin Düzeltilmesi” başlıklı 13 üncü maddesinin;
“(1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.” ve kişisel sağlık verilerinin imha edilmesi başlıklı 14 üncü maddesinin “(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.” hükmünü amir olduğu
değerlendirmelerinden hareketle;
- İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına,
- İlgili kişilerin kişisel sağlık verilerinin silinmesine ilişkin talepleri hususunda kişisel sağlık verilerinin işlenme şartlarından “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bu verilerin Bakanlık tarafından Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında işlendiği ve söz konusu işleme şartlarının ortadan kalkmaması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına,
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Şikayete konu olayda Geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği gerekçesiyle söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesinin talep edilmiştir.
Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesininde kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesi yer almaktadır. Kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında Kurul tarafından yapılacak bir işlem olmadığına karar verilmiştir.
VI. Veri İhlali Bildirimleri ve İlgili Kurul Kararları
A. Kurul Kararları
1. “Bir hastanenin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Karar Özeti
a. Karar Metni
Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;
- Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği,
- Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği,
- İhlalden; 789 hastanın etkilendiği,
- İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,
- İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği,
- İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu,
- İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı dikkate alındığında Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kararında yer alan “Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,…gerekir.” ifadesine aykırı olarak veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu,
- İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu
- İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği hususunun Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kararında yer alan “… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
- İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra tespit edildiği hususlarının Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi” başlığı altında yer alan “Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.” ifadelerinde yer aldığı üzere; veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
- İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin “Kişisel Veri Güvenliği Rehberi”nin “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır …” ifadelerine aykırı olarak hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği
dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,
– İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği,
– İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu
hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL
olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,
İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
Hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılması ile veri ihlali gerçekleşmiştir.
Veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu, hasta dosyalarının bulunduğu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı, hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği göz önünde bulundurularak ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ile ekonomik durumu da dikkate alınarak Kurul tarafından veri sorumlusuna 450.000 TL,
İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, ilgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu hususları göz önünde bulundurulacakve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ile ekonomik durumu da dikkate alınarak Kurul tarafından veri sorumlusuna 150.000 TL,
olmak üzere toplamda 600.000 TL idari para cezası uygulanmasına karar verilmiştir.
2. “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 30.06.2020 tarih ve 2020/511 sayılı Karar aaaÖzeti
a. Karar Metni
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
- Sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla toplu bir liste hazırlanması gerektiği,
- Bu amaçla ilgili kişilerin kimlik ve ilaç kullanım bilgilerinin yer aldığı bir excel dosyasının oluşturulduğu,
- Söz konusu dosyada yer alan bilgilerin provizyon uygulamasına kişi bazlı olarak girilir iken ilgili dosyanın aynı zamanda provizyon sistemine entegre olarak çalışan doküman yönetim sistemine excel dokümanı olarak sehven bütün halinde yüklendiği,
- İhlalden etkilenen kişi sayısının 683; kayıt sayısının 2413 olduğu,
- Etkilenen kişi kategorilerinin müşteriler olduğu,
- İhlalden etkilenen kişisel verilerin kimlik, müşteri işlem ve sağlık bilgileri olduğu,
- İhlale konu excel dosyasına erişimin yalnızca mobil uygulamanın “sağlık geçmişim/Eczane” bölümünden 11 sağlık müşteri açısından mümkün olduğu, bunlardan yalnızca iki kişinin uygulama kullanıcısı olduğunun tespit edildiği, söz konusu dosyaya erişimin mobil uygulama üzerinden bir kişi tarafından yapıldığı, diğer kullanıcının ilgili dosyaya herhangi bir erişiminin olmadığı,
- Diğer taraftan ilgili dosyaya erişim sağlayan kullanıcı ile irtibata geçildiği, kendisine ihlal ve sonuçlarına yönelik bilgilendirme yapıldığı, erişim sağladığı dosyanın acil olarak silinmesi konusunda talepte bulunulduğu, bu kapsamda ihlalin ilgili kişiler üzerindeki potansiyel etkilerinin oldukça sınırlı olduğunun değerlendirildiği
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/511 sayılı Kararı ile,
- İhlalin, veri sorumlusunun eczane provizyon ekranlarının değiştirilmesi esnasında, kişi bazında kimlik ve ilaç kullanım bilgilerinin yer aldığı excel dosyasının, yeni sisteme aktarılırken 11 sigortalı tarafından görüntülenebilir hale gelmesi sonucu gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik, müşteri işlem ve özel nitelikli kişisel veri olarak da sağlık bilgileri gibi kişisel verilerinin etkilendiği,
- 25.04.2019 tarihinden 07.12.2019 tarihine kadar açıklığın devam ettiği ve dosyaya erişim sağlayan kişi tarafından bilgilendirilinceye kadar veri sorumlusunun açıklığı tespit edemediği, Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında da belirtildiği üzere “…veri sorumlusunun hazırlanmış olan kişisel veri güvenliği politika ve prosedürleri kapsamında; uygulamanın düzenli olarak kontrollerini yapmak, yapılan kontrolleri belgelemek, geliştirilmesi gereken hususlar belirlemek ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam etmek gibi yükümlülüklerini” yerine getirmediği,
- Ayrıca yine Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “veri sorumlularının gizlilik ve bütünlüğü bozan ihlaller gibi istenmeyen olayların önüne geçilmesi adına veri sorumlusu tarafından düzenli olarak zaafiyet taramalarının yapılmadığının” göstergesi olduğu, Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması başlığı altında belirtilen “çalışanların sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için yeterli güvenlik tedbirinin” alınmadığı,
- Veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almadığı, bu durumun Kişisel Veri Güvenliği Rehberi’nin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında da ifade edildiği üzere “veri sorumlusu tarafından yeni sistemin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önünde bulundurulmadığı, uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yeterli ve gerekli ölçüde yapılmadığı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmediği ve belgelerin sisteme yüklenirken bir onay sürecinin işletilmediği”,
- İhlalden etkilenen kişisel verilerin içinde özel nitelikli kişisel veriler olarak sağlık bilgilerinin bulunduğu, ihlale konu olan dosyanın içerisinde özel nitelikli kişisel verilerin de yer aldığı göz önünde bulundurulduğunda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında da belirtildiği üzere “özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerekirken veri sorumlusu tarafından diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerektiğinin” göz önünde bulundurulmadığı,
- İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da öğrenilmesi halinde ilgili kişiler hakkında mağduriyete neden olabilecek nitelikteki verilerin ihlale konu olduğu bu yüzden de ihlalin potansiyel tehdit açısından ciddi bir risk taşıdığı,
dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) uyarınca 100.000 TL idari para cezası uygulanmasına,
- 07.12.2019 tarihinde tespit edilen veri ihlalinin, Kurumumuza 10.12.2019 tarihinde (72 saatlik süre koşulunun içerisinde) bildirildiği ve ihlalden etkilenen 683 kişiye yeterli bildirimin yapıldığı, bildirim örneklerinin Kurumumuza sunulduğu dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca yapılacak bir işlem bulunmadığına
karar verilmiştir.
b. Karara İlişkin Sonuç Özeti
İhlalin, veri sorumlusunun eczane provizyon ekranlarının değiştirilmesi esnasında, kişi bazında kimlik ve ilaç kullanım bilgilerinin yer aldığı excel dosyasının, yeni sisteme aktarılırken 11 sigortalı tarafından görüntülenebilir hale gelmesi sonucu gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik, müşteri işlem ve özel nitelikli kişisel veri olarak da sağlık bilgileri gibi kişisel verilerinin etkilendiği olayda dosyaya erişim sağlayan kişi tarafından bilgilendirilinceye kadar veri sorumlusunun açıklığı tespit edemediği, veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almadığı, özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemlerin alınmadığı göz önünde bulundurulduğunda Kurul tarafından veri sorumlusuna 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
B. Veri İhlali Bildirimleri
1. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Özel Dentapoint Diş Sağlığı Polikliniği
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Özel Dentapoint Diş Sağlığı Polikliniği (İzmir) tarafından Kurumumuza gönderilen veri ihlali bildiriminde özetle;
- 12.07.2021 tarihinde yapılan siber saldırı sonucu hasta bilgilerini barındıran bilgisayarların şifrelenerek erişimin engellendiği,
- İhlalden etkilenen ilgili kişi gruplarının hastalar, müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, görsel ve işitsel kayıtlar olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise ırk ve etnik köken bilgisi ile sağlık bilgileri olduğu,
- İhlalden etkilenen kişi sayısının tahmini 14.000 olduğu
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 19.07.2021 tarih ve 2021/729 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
2. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – INTERGEN Genetik ve Nadir Hastalıklar Tanı Araştırma & Uygulama Merkezi
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan INTERGEN Genetik ve Nadir Hastalıklar Tanı Araştırma & Uygulama Merkezi tarafından Kurumumuza gönderilen kişisel veri ihlali bildiriminde özetle;
- İşten ayrılan bilgi işlem çalışanı tarafından bulunduğu departman itibariyle yetkilerini kötüye kullanarak işten ayrılmadan önce verilerin kopyalandığı,
- İhlalden etkilenen kişi grupları arasında çalışanlar, kullanıcılar, hastalar ve çocukların olduğu,
- Adli bilgi işleme başvurulduktan sonra gelen rapor neticesinde verilerin kopyalandığının tespit edildiği,
- İhlalden etkilenen kişisel veri kategorilerinin tespit edilemediği, ihlalden etkilenmiş olabilecek kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, görsel ve işitsel kayıtlar ile özel nitelikli kişisel veri kategorilerinden sağlık bilgileri ve genetik veri kategorileri olduğu,
- İhlalden etkilenen kişi sayısının yaklaşık 10.000 olduğu
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.06.2021 tarih ve 2021/633 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
3. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Prof. Dr. Birol CİVELEK
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Prof. Dr. Birol CİVELEK tarafından Kurumumuza gönderilen veri ihlali bildiriminde özetle;
- .a.İhlalin 10 Haziran 2021 tarihinde gerçekleştiği,
- .a.Siber saldırı sonucu, muayenehane hastalarına ait tıbbi amaçla yalnızca sır saklama yükümlülüğü altında bulunan ve doktor tarafından .a.erişilebilen bulut ortamında yer alan fotoğrafların çalındığı,
- .a.İhlali gerçekleştiren kişi tarafından çeşitli iletişim yolları ile tehdit mesajları alınmaya başlanması ile ihlalin tespit edildiği,
- .a.İhlalden etkilenen ilgili kişi gruplarının hastalar olduğu,
- .a.İhlalden etkilenen kişisel veri kategorilerinin kimlik (hastanın ismi), görsel ve işitsel kayıtlar (kaydedilen sağlık hizmetine ait öncesi sonrası fotoğraflar) olduğu,
- .a.İhlalden etkilenen kişi sayısının 600 olduğu
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 14.06.2021 tarih ve 2021/593 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
4. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Generali Sigorta AŞ
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Generali Sigorta AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
- İhlalin, veri sorumlusunun tamamlayıcı sağlık sigortası teklifi alınan internet sayfası üzerinden TC kimlik numaralarının otomatik yazılımlar ve botlar aracılığıyla olağandışı sorgulama yapılması suretiyle gerçekleştiği,
- 21.03.2021 ve 24.03.2021 tarihleri arasında gerçekleşen veri ihlalinin 24.03.2021 tarihinde tespit edildiği,
- İlgili teklif formu sayfasının ihlalin tespitinin ardından veri sorumlusu tarafından kullanıma kapatıldığı,
- İhlalden etkilenen kişisel verilerin ad, soyad, doğum tarihi ve cinsiyet bilgisi olduğu,
- İhlalden 951 kişinin etkilendiği,
- İhlale ilişkin incelemelere veri sorumlusu tarafından devam edildiği
ifade edilmiştir. Konuya ilişkin inceleme devam etmekle birlikte,
Kişisel Verileri Koruma Kurulunun 29.03.2021 tarih ve 2021/323 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
5. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Rezzan Günday (Şimşek Eczanesi)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Rezzan Günday (Şimşek Eczanesi) tarafından Kurumumuza gönderilen yazıda özetle;
- İhlalin; veri sorumlusunun eski çalışanı tarafından ilaçların tedarikinin başka eczanelerden sağlanması amacıyla, hastalara ait T.C. kimlik numaralarının bir şekilde (cep telefonuyla ekran görüntüsünün alınması, kağıda not edilmesi gibi) elde edilerek, “Medula Sistemi”ne girilmesi için hastaların bilgisi olmaksızın bir başka eczaneye aktarılması ile pandemi döneminde ise elde edilmiş olan T.C. kimlik numaralarının “Devam Reçetesi” uygulaması üzerinden kullanılarak ilaç tedarik edilmesiyle gerçekleştiği,
- İhlalin en az 2019 yılının Ekim ayından bu yana gerçekleştiği ve 11.08.2020 tarihinde bir hastanın ilaçlarına ulaşamaması üzerine eczane içinde durumun araştırılması ve bazı hastaların ifadeleri üzerine tespit edildiği,
- İhlalden etkilenen kişisel verilerin; T.C. kimlik numarası, telefon numarası, hastanın statüsü (emekli, çalışan), kurum adı (Bağkur Genel Müdürlüğü, Sosyal Güvenlik Kurumu, 60/G Sigortalılar) olduğu,
- İhlalden etkilenen özel nitelikli kişisel verilerin; sağlık bilgileri (hastalık bilgileri, hastalık raporları, hastaların kullandığı ilaçlar) olduğu,
- İhlalden etkilenen kişilerin hastalar olduğu,
- İhlalden etkilenen kişi sayısının bilinmediği,
- İhlale konu olay hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu
ifade edilmiştir.
Konuya ilişkin inceleme devam. etmekle birlikte, Kişisel Verileri Koruma .Kurulunun 18.08.2020 tarih ve 2020/636 sayılı Kararı. ile söz konusu veri ihlali bildiriminin. Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
6. Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Doktor Atadan Egemen KOYUNCU
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel. verilerin kanuni olmayan yollarla başkaları tarafından elde. edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi. hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Doktor Atadan Egemen KOYUNCU tarafından Kurumumuza gönderilen yazıda özetle;
- Hasta bilgilerinin tutulduğu sistemin 05.07.2020 tarihinde bir siber saldırıya (fidye saldırısı) maruz kaldığı,
- İhlalin 06.07.2020 tarihinde hasta programının silindiğinin fark edilmesi sonucu tespit edildiği,
- İhlalden etkilenen kişi sayısının tahmini 10.000 olduğu, hasta programına girilemediği için tam sayının bilinmediği,
- İhlalden etkilenen kişisel. verilerin hastalara ait kimlik bilgileri, e-posta adresleri, telefon numaraları, sağlık ile ilgili. detaylı bilgiler, tıbbi geçmişler, muayene. bulguları, laboratuvar sonuçları ve cinsel. sorunları içeren veriler olduğu,
ifade edilmiştir.
Konuya ilişkin inceleme devam. etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.07.2020 tarih. ve 2020/540 sayılı Kararı ile söz konusu veri ihlali bildiriminin. Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
VII. Sonuç
Kişisel Verileri Koruma Kurulu kararları, 6698 Sayılı Kişisel Verilerin. Korunması Kanunu uygulamaları ve ihlali. yaptırıma bağlanmış durumlar bakımından açıklayıcı ve yol .gösterici olması nedeniyle oldukça önemlidir.
Kurul’un idari para cezası, talimatlandırma.veya KVKK kapsamında verilebilecek bir karar bulunmadığını. öngördüğü kararları uygulamada rehber görevi görmekte ve doğru bilinen. yanlışları düzeltme hususunda büyük önem taşımaktadır.
Yukarıda bahsedilen nedenlerden dolayı Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kurul kararları ve veri ihlal bildirimleri takip edilerek süreçlerin kararlara uygun olarak yürütülmesi, gerekli önlemlerin alınması ve mesleki faaliyetlerin gösterildiği alanlarda bilinçlenmenin sağlanması sağlık sektörü açısından faydalı olacaktır.
Daha fazla okuma için: https://www.eralp.av.tr/sosyal-icerik-ureticileri-ile-mobil-cihazlar-icin-uygulama-gelistiricilerine-taninan-vergi-istisnalari/