Sağlık Verileri İhlalleri: KVKK  Örnek Kararları

Modern çağın teknolojik imkânları ve dijitalleşme süreci, kişisel veri niteliği taşıyan sağlık verilerinin korunmasını sağlık hukukunun temel ve güncel konularından biri hâline getirmiştir. Bu güncel konu, eğitim amaçlı kullandığımız web sayfamızda sıklıkla ele alınmakta, farkındalık oluşturulmaya çalışılmaktadır.

(https://www.yorulmazmedikolegal.com/kvkk-kapsaminda-e-nabiz-verilerine-erisim Bu yazıda da 20. Adli Tıp Günleri Kongresi’nde sözel bildiri olarak sunulan çalışmadan elde edilen bulgulardan da söz etmek istedim.

Sağlık hizmetlerinin sunumu sırasında kişisel verilerin işlenmesi kaçınılmaz olup, bu süreçte sağlık kurumları ve sağlık çalışanları, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu veya veri işleyen sıfatıyla hukuki sorumluluk üstlenmektedir. Sağlık verileri, Kanunda özel nitelikli kişisel veri olarak düzenlenmiş ve işlenmelerine ilişkin sıkı şartlar öngörülmüştür. Kanunun 6’ncı maddesinde, kişilerin sağlık verilerinin ilgili kişinin açık rızası olmaksızın işlenemeyeceği açıkça hüküm altına alınmıştır.

Ancak sağlık hizmetlerinin niteliği ve sürekliliğini gözetilerek bu genel kurala istisnalar tanımıştır. Buna göre sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik uygulamaları, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması ve yönetimi amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

Bu noktada, sağlık kurumları bakımından veri sorumluluğu; hasta kayıtlarının tutulması, saklanması, paylaşılması ve imhası süreçlerinin tamamını kapsamakta olup, bu süreçlerin hukuka uygun şekilde yürütülmemesi hâlinde idari ve hukuki yaptırımlar gündeme gelebilmektedir. Benzer şekilde sağlık çalışanları da mesleki faaliyetleri sırasında eriştikleri sağlık verileri bakımından sır saklama yükümlülüğü ve veri güvenliğini sağlama sorumluluğu altındadır.

Sağlık verilerine ilişkin ihlalleri konu alan Kurul kararları, yasal düzenlemelerin uygulamadaki yansımalarını ortaya koyan somut içtihatlar niteliğindedir.

Burada özellikle vurgulanması gereken husus; kurul yaptırımları verilerin güvenliğini sağlayamama nedenli veri sorumlusuna yöneliktir. Ancak paylaşılan kurul kararlarındaki ihlallerin önemli bir kısmının çalışan personel kaynaklı olduğu dikkat çekmektedir. Bu durum, sağlık alanında görev yapan tüm personelin KVKK mevzuatı kapsamında sürekli ve etkin eğitimlere tabi tutulmasının zorunluluğunu ortaya koymaktadır.

Aşağıda KVKK tarafından verilmiş uygulamada sık karşılaşılan sağlık alanındaki veri ihlal türlerini yansıtan seçilmiş örnek Kurul kararları paylaşılmaktadır.

Örnek Kurul Kararı- Karar No:2021/761

  • Velayetin annede olduğu bu olguda, çocuğa yönelik cinsel istismar suçundan tutuklu bulunan babanın avukatı tarafından, çocuğun tedavi gördüğü hastanede görev yapan bir pediatrist aracılığıyla çocuğa ait çocuk psikiyatrisi değerlendirme ve muayene notlarının temin edilerek, babanın vekili tarafından mahkemeye sunulduğu tespit edilmiştir.
  • Kurul; Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması gerektiği hususunda, idari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması ve alınan eğitim belgelerinin Kuruma sunulması hususunda, kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda, hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına, hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine, kişisel verilerin açık rıza olmadan, kanuna uygun kişisel veri aktarım şartları sağlanmadan avukat ile paylaşılması ve bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin almaması nedeniyle, kamu kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine karar verilmiştir.

Örnek Kurul Kararı- Karar No: 2023/695

  • Hekimin tıbbi sekreteri tarafından, hekimin bilgisi dışında bir kişinin e-Nabız bilgileri sorgulanmış, bu sorgulamayı da sekreterin bir arkadaşının ricası ile yaptığı tespit edilmiştir.
  • Kurul tarafından; Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığından Kanun’un 12’nci maddesinde belirtilen kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerine uymadığı değerlendirilen tıp merkezi hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Örnek Kurul Kararı-Karar No:2020/355

  • Bir eczacının eşi, başka bir eczacının sağlık verilerinin kopyalarını, eşinin Medulla Sistemi üzerinden izinsiz şekilde aldığı, bu verilerle İl Sağlık Müdürlüğüne, söz konusu eczacının yeni adresinde eczane açmasının halkın güvenliği için riskli olduğunu söyleyerek bu verileri aleyhe sunduğu dilekçe ile başvurduğu belirtilmiştir. Olay, İl Sağlık Müdürlüğü tarafından Kurul’a bildirilmiştir.
  • Kurul tarafından; eczanenin Medula sistemine üçüncü kişilerin erişimini engelleyecek yeterli güvenlik önlemlerini almadığı tespit edilerek, veri sorumlusu eczane hakkında 60.000 TL idari para cezasıuygulanmasına ve ayrıca, ilgili kişiye ait sağlık verilerini hukuka aykırı şekilde ele geçirip kullandığı değerlendirilen eczacının eşi hakkında Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçu kapsamında Cumhuriyet Savcılığına ihbarda bulunulmasına hükmedilmiştir.

Sonuç olarak; Kişisel Verilerin Korunması Kurulu kararları, sağlık alanındaki veri ihlallerinin büyük ölçüde yönetimsel zafiyetler, yetersiz iç denetim mekanizmaları ve personel kaynaklı ihmallerden kaynaklandığını ortaya koymaktadır. Sağlık kurumlarının medikolegal riskleri azaltabilmesi için, görevle sınırlı veri erişimini esas alan yetki matrislerini oluşturması, tüm veri erişimlerini log kayıtlarıyla izleyebilir hâle getirmesi ve sağlık çalışanlarını kişisel verilerin korunması konusunda düzenli ve belgelendirilebilir eğitimlere tabi tutması zorunludur.

Dr. Fatime Gül

Yorum Yapın

SEKMELER

© 2012 - 2026 | Yorulmaz Medikolegal | Tüm Hakları Saklıdır.

Görüşme Talebi
×