Kişisel verilerin işlenmesi ve veri siciline kayıt zorunluluğu - Oya Öznur*
- Hekim Sözü Ocak-Şubat 2021
- 710
PDF formatında okumak için tıklayınız.
Muayenehane, laboratuvar, müessese gibi sağlık kuruluşları için de 31.03.2021 son kayıt tarihidir. VERBİS’e kayıt yükümlülüğünü yerine getirmeyenler hakkında 39.337,22-1.966.861,00-TL arasında idari para cezası öngörülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişilerin diğer bilgilerine nazaran daha yüksek bir korumaya tabi kılınan “ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı ve cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri” ise özel nitelikli kişisel veri olarak adlandırılmaktadır.
Kanun’un kapsamına, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler girmektedir. Örneğin, muayenehanede hiç çalışanı olmayan, sadece kâğıt şeklinde hasta dosyası tutan bir hekim, 6698 sayılı Kanun kapsamında değerlendirilmeyecektir. Kapsam dışında olanların da kişisel verileri genel hükümler çerçevesinde koruması gerekir.
Verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlem, kişisel verilerin işlenmesi olarak tanımlanmaktadır. Kural olarak, kişisel veriler ilgilisinin açık rızası olmadan işlenemez. Ancak “açık rıza” aranmayan istisnalar da bulunmaktadır. Bunlar;
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
halleridir.
Özel nitelikli kişisel verilerin de açık rıza olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca, bu verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması da şarttır.
Kişisel verilerin aktarılması durumunda da aynı kurallar geçerlidir. Yurtdışına aktarılacak kişisel verilerle ilgili olarak ise 6698 sayılı Kanun’un aradığı koşulların sağlanması gerekir.
Veri Sorumlusu ve Yükümlülükleri
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi “veri sorumlusu” olarak adlandırılmaktadır. Kurumlarda veri sorumlusu tüzel kişiliğin kendisidir. Örneğin hekimler tarafından kurulan şirketler açısından veri sorumlusu hekim değil, şirketin tüzel kişiliğidir. Muayenehanesinde çalışan hekimler açısından ise hekim doğrudan veri sorumlusudur. Veri sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesini sağlayacak bütün gerekliliklerin yerine getirilmesinden sorumludur. Yükümlülükleri şöyle sıralanabilir;
• Aydınlatma: Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, verileri işlenecek kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile kişilerin hakları konularında bilgi vermekle yükümlüdür. Bu yükümlülüğün yerine getirildiğinin ispatlanması için yazılı yapılması önerilmektedir. Örneğin muayenehane hekimi veya temsilcisi tarafından yapılacak aydınlatmanın belgelenmesi için verileri işlenecek kişilere (hastalara/çalışanlara) yazılı olarak sunulup imzalatılması önemlidir.
• Gerekli hallerde rıza alma: Açık rıza, belirli bir konuya ilişkin veri işlemeye/aktarmaya yönelik olarak, bilgilendirilmeye dayanan ve bireyin özgür iradesiyle açıklanan rızadır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, verilerin işlenmesi ve aktarılması için kişilerin açık rızalarının alınması gerekir. Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla işlenecek sağlık verileri dışındaki durumlar için (örneğin muayenehanede çalışanlar için) rıza metni kullanılması ve verisi işlenen kişinin bu metni imzalayarak onay vermesi ispat bakımından önemlidir.
Aydınlatma ve rıza metinleri hazırlanırken TTB tarafından hazırlanan kılavuzdaki örnek metinden faydalanılabilir.
• Tedbir alma: Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek için her türlü tedbiri almak zorundadır. Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde gerekli tedbirlerin alınması hususunda bu kişilerle birlikte sorumludur.
• Denetim: Veri sorumlusu, kendi kurum veya kuruluşunda 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Yanıt verme: Kişisel verisi işlenen gerçek kişiler, verilerin silinmesi veya yok edilmesi veya verilerin kanuna aykırı olarak işlenmesi sebebiyle uğradığı zararın giderilmesi gibi taleplerle veri sorumlusuna başvuru hakkına sahiptir. Veri sorumlusu, kendisine iletilen talepleri en kısa sürede -en geç otuz gün içinde- sonuçlandırmalıdır. Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
• Yükümlülük süresi: Veri işleyen kişiler, öğrendikleri verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
• Bildirim yapma: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür.
Veri Sorumlusu Sicili ve Kayıt Zorunluluğu
Veri sorumlularının uymaları gereken yükümlülüklerden sonuncusu Veri Sorumlusu Sicili’ne (VERBİS) kayıt olma zorunluluğudur. VERBİS, E-Nabız gibi hastalara ait kişisel verilerin kaydedildiği bir sistem değildir. VERBİS’e hastalara ait kişisel bilgiler gönderilmeyecektir.
VERBİS, veri sorumluları ile veri sorumlularının irtibat kişilerinin ve işlenen verilere ilişkin kategorik bilgilerin kaydedileceği bir sicildir. Kamu kurum ve kuruluşları ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon liradan az olan gerçek ve tüzel kişiler için son kayıt tarihi 31.03.2021’dir. Dolayısıyla muayenehane, laboratuvar, müessese gibi sağlık kuruluşları için de 31.03.2021 son kayıt tarihidir. VERBİS’e kayıt yükümlülüğünü yerine getirmeyenler hakkında 39.337,22-1.966.861,00-TL arasında idari para cezası öngörülmektedir.
VERBİS’e, kayıt olmadan önce bir veri envanteri hazırlanması gerekir. Bu envanter, işyerinin genel profilinin çıkarılmasına yönelik bir rapordur Envanter, VERBİS’e gönderilmeyecek veya kaydedilmeyecektir. Kayıt sırasında faydalanılacak, veri sorumlusunda saklanacak ve Kurul talep ederse ibraz edilecektir. Envanterde;
• Kişisel veri işleme amaçları
• Veri işlemenin hukuki sebebi
• Veri kategorisi
• Verilerin aktarıldığı alıcı grubu
• Verilerin saklama süresi
• Yabancı ülkelere aktarım konusu
• Veri güvenliğine ilişkin tedbirler
yer alacaktır.
Yukarıda özetlediğimiz genel bilgiler dışında ihtiyaç duyulacak açıklamalara ve yol gösterici kılavuzlara İstanbul Tabip Odası’nın, Türk Tabipleri Birliği’nin ve Kişisel Verileri Koruma Kurulu’nun web sayfalarından ulaşılabilir.
*Av, İstanbul Tabip Odası Hukuk Bürosu