top of page

ÖZEL MUAYENEHANE SAHİBİ HEKİMLERİN 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA SORUMLULUKLARININ DEĞERLENDİRİLMESİ

            6698 Sayılı Kişisel Verilerin Korunması Kanunu ile özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerinin korunması amaç edinilerek, kişisel verilere ulaşan gerçek ve tüzel kişilerin yükümlülükleri ile uyması gereken kurallar tespit edilmiştir.

            Kanun; kişisel verilerin korunma sürecinde gerçek ve tüzel kişilerin yükümlülükleri ile uyması gereken kuralların yanında devletin de görevlerini tespit etmiştir. Bu sebeple 6698 Sayılı kanunda verilen görevleri yerine getirmek üzere Kişisel Verileri Koruma Kurumu kurulmuştur.

Kişisel veri depolayan gerçek ve tüzel kişilerin uyması gereken bir dizi yükümlülükler mevcut olup Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

  • Kişisel verilerin muhafazasını sağlamak ile

Yükümlü tutulmuştur.

 

Bu yükümlülüklere uyulmaması halinde ağır yaptırımlarla karşılaşılması riski mevcuttur. Mevzuatımız gereği, yükümlülüklere uyulmaması halinde;

  • Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

  • Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir.

  • Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir.

6698 sayılı kişisel verilerin korunması kanunu gereği;

  • 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

  • 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

  • 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

  • 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Kişisel Verilerin Korunması Kanunu gereği veri işlenmesinde aşağıdaki temel ilkelere uyulması zorunludur. Bu ilkeler;

  • Hukuka ve dürüstlük kurallarına uygun olma.

  • Doğru ve gerektiğinde güncel olma.

  • Belirli, açık ve meşru amaçlar için işlenme.

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

            Kişisel Verileri Koruma Kurumu; kişisel verilere ulaşan gerçek ve tüzel kişilere Veri Sorumluları Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğü getirmiştir.

            Bu bağlamda Özel Muayenehane sahibi hekimler; hasta muayene ve tedavi düzenleme işlemleri kapsamında veri işleme sürecinin bir parçası oldukları için  Veri Sorumluları Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğüne tabidirler.

            Özel Muayenehane sahibi hekimler için kişisel verilerin işlenmesi sürecindeki kişiler iki kısımda incelenebilir. Birinci kısım; hekimin muayenehanesine teşhis ve tedavi amacı ile başvuran kişiler, ikinci kısım ise muayenehanede istihdam edilen sekreter, yardımcı personel gibi çalışanlar.

  • Teşhis ve tedavi amacı ile başvuran kişiler için; muayene esnasında kişisel bilgilerin kayıt altına alınması, bu bilgilerin sigorta şirketi vb. birimlere gönderilmesi, hastanın sağlık bilgilerinin işlenmesi, makbuz kesme sürecinde bilgilerin işlenmesi gibi işlemlerde muayenehane sahibi hekimler veri sorumlusudurlar.

  • Muayenehanede istihdam edilen sekreter, yardımcı personel gibi çalışanlar için, özlük dosyasının tutulması esnasında erişilen kişisel veriler, mali zorunluluklar için tutulan evraklarda erişilen kişisel veriler gibi nedenlerden dolayı muayenehane sahibi hekimler veri sorumlusudurlar.

  • Ayrıca kamera kaydının yapıldığı muayenehaneler için her iki grup açısından da muayenehane sahibi hekimler veri sorumlusudurlar.

6698 Sayılı Kişisel Verilerin Korunması Kanunu 6. Madde özel nitelikli kişisel verilen tanımını ve işlenmesi şartlarını açıklamaktadır. Buna göre sağlık ve cinsel hayata ilişkin veriler özel nitelikli kişisel veridir. Bu sebeple bu veriler için en yüksek oranda koruma sağlanması gerekmektedir.

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu 31/01/2018 Tarihli ve 2018/10 Sayılı Kararını yayınlamıştır.

Bu karara göre;

  • Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekmektedir.

  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara; düzenli aralıklarla kişisel verilerin korunması ile ilgili eğitimler verilmeli, gizlilik sözleşmesi yapılmalı, verilere erişim sağlayanların net bir şekilde yetki ve kapsamları belirlenmeli, veriye erişim süreleri tanımlanmalı, periyodik olarak yetki kontrolleri yapılmalı, görev değişikliği veyahut işten ayrılma durumlarında gerekli tedbirler alınmalıdır.

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamların elektronik ortam veyahut fiziksel ortam olması durumunda ilgili mevzuat çerçevesinde gerekli önlemlerin alınması gerekmektedir. Ayrıca Özel nitelikli kişisel verilerin aktarılması durumunda da yine mevzuat çerçevesinde gerekli önlemler alınmalıdır.

Yukarıda yapılan açıklamalardan sonra; her muayenehanenin kendine özgülüğü dikkate alınarak tüm süreç gözden geçirilmeli, asgari olarak şu işlemlerin yapılması gerekmektedir.

1-) VERBİS kaydı yapılmalıdır.

2-) işlenecek kişisel veriler kategorize edilmeli, her kategoriye yönelik güvenlik planları oluşturulmalıdır.

3-)  Kişisel veri işleme envanteri oluşturulmalıdır.

4-) Özel nitelikli kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir. Aydınlatma ve rıza formları oluşturulmalıdır.

5-) Kişisel verilerin saklandığı ortamlarda teknik ve fiziki önlemler alınmalıdır.

6-) saklaması süresi biten kişisel verilerin imhasına yönelik planlar hazırlanmalı, imha tutanakları hazırlanmalıdır.

7-) Çalışanlara yönelik gizlilik sözleşmesi yapılmalı, yetkileri belirlenmeli, eğitimler verilmelidir. Belirli periyotlarda bu çalışmalar tekrarlanmalı ve gözden geçirilmelidir.

8-) Kamera kayıtlarına yönelik bilgilendirmede bulunulmalıdır.

            Her muayenehanenin kendine özgülüğü hususu çok önemli bir husus olup, veri sorumlusunun kanun ve mevzuat çerçevesinde alması gereken tüm önlemleri kendi sürecine tatbik etmesi zorunludur. Bu süreçte faydalanılabilecek kanun, yasal mevzuat, rehber ve dokümanlar kvkk.gov.tr sitesinde bulunmakta; ALO 198 ile de kuruma ulaşılabilmektedir.

bottom of page