Sağlık Verisi İşleyenlerin Yükümlülükleri
1. Genel Olarak
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) hayatımıza girmesiyle birlikte özellikle özel nitelikli kişisel veri işleyen hekimlerin ve sağlık kurumlarının veri işleme süreçlerinde çok daha dikkatli olması gerekmektedir. İş bu yazımızda Kişisel Verileri Koruma Kurul’unun (“Kurul”) hekim faaliyetlerine yönelik yayınlamış olduğu bir karar ile veri ihlali bildirimi incelenecek ve olası sorulara yanıt vermeye çalışılacaktır.
2. Hekimlerin ve Sağlık Kurumlarının Yükümlülükleri
Kanun uyarınca, özel nitelikli kişisel verilerin açık rıza alınmadan işlenmesi yasaktır. Bunun istisnası ise sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecek olmasıdır.
Özel nitelikteki bu kişisel verilerin işlenmesi her ne kadar hekimler nezdinde açık rıza şartından muaf tutulsa dahi, kişisel verileri koruma hukuku mevzuatı kapsamında her hekimin ve sağlık kurumunun genel ilkelere uygun veri işlemesi ve hastalarını işledikleri veriler kapsamında aydınlatması gerekir.
Bununla birlikte yalnızca açık rıza alınmış olması yeterli olmayıp, bahse konu veri işlemenin amaçla uygun olması ve genel ilkeler kapsamında güncel, doğru ve ölçülü olması gerekmektedir.
Hekimlerin bu bağlamda veri işleme faaliyetleri bakımından bu hususları gözetmesi ve usule uygun olarak veri alması ve işlemesi gerekmektedir.
3. Hekimlerin ve Sağlık Kurumlarının Elektronik Ticari İleti Göndermesi
Pazarlama ve bilgilendirme faaliyetleri kapsamında hekimler ve sağlık kurumları elektronik ticari ileti göndermeye başlamışlardır. Hekimlerin ve sağlık kurumlarının, hastalarına muayene tarihi hatırlatması ve/veya bilgilendirme amaçlı elektronik ileti göndermesi mümkündür. Ancak mali amaç güdülerek yapılan pazarlama faaliyetleri çerçevesinde hastalara/danışanlara reklam ve/veya tanıtım mesajları atılması da ilgili kişinin açık rızasına bağlı olarak gerçekleştirilmelidir.
Özellikle hekimlerin gerçekleştirdiği pazarlama faaliyetleri konusunda Kurul’un 07.11.2019 tarihli bir kararı mevcuttur.
Bahse konu kararda ilgili kişi, şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine doktora başvurmuş ancak cevap alamamıştır. Bu sebeple Kurul’a şikâyet yoluna başvurmuş ve Kurul, veri sorumlusu doktordan bilgi, belge ve savunma talep etmiştir. Veri sorumlusu doktor söz konusu Kurul yazısına da cevap vermemiştir. Bu durum neticesinde ilgili kişinin açık rızası alınmaksızın ve Kanun’da sayılan işleme şartlarına dayanılmaksızın hastanın cep telefonuna mesaj gönderilmesi nedeniyle Doktor hakkında gerekli teknik ve idari tedbirlerin alınmamasından dolayı 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Görüldüğü üzere Kurul, pazarlama faaliyeti gösteren Doktor için ilgili kişinin verilerinin işleme şartlarına dayanılmamasını ve açık rıza alınmaksızın işlenmesini Kanun’a aykırı bir veri işleme olarak görülmüştür.
4. Teknik Tedbirler
Uygulamada hekimler ve sağlık kurumları kolay erişim sağlanması amacıyla hasta verilerini elektronik arşivler ve programlarda saklamaktadırlar. Ancak herhangi bir teknik aksaklık olması halinde özel nitelikli kişisel veriler yetkisiz kişilerin erişimine açılmakta ve bu sebeple ciddi veri ihlalleri gerçekleşmektedir. Bu doğrultuda diş hekimleri, psikologlar, serbest çalışan hekimler, pedagoglar, diyetisyenler, fizyoterapistler ve tüm sağlık kurumlarının mevzuata uyum çalışması yapmaları, gerekli idari ve teknik tedbirleri almaları son derece önemlidir.
Kurul’un 9.07.2020 tarihinde yayınladığı veri ihlali duyurusu kapsamında, veri sorumlusu sıfatını haiz bir doktorun hasta bilgilerinin tutulduğu sisteminin siber saldırıya uğradığı ve saldırının da hasta programının silindiğinin fark edilmesi sonucu tespit edildiği belirtilmiştir. Bahse konu veri ihlalinden etkilenen kişi sayısının tahmini 10.000 olduğu, hasta programına girilemediği için tam sayının bilinmediği açıklanmıştır. Duyuru doğrultusunda ihlalden etkilenen kişilerin; kimlik, e-posta adresleri, telefon numaraları gibi kimlik ve iletişim verilerinin, tıbbi geçmiş, muayene bulguları, laboratuvar sonuçları ile cinsel sorunları içeren özel nitelikli kişisel verilerinin hukuka aykırı olarak üçüncü kişilerce ele geçirildiği belirtilmiştir.
5. Sonuç
Kurul’un veri ihlalleri ve yeterli idari tedbirlerin alınmadığı yönündeki kararları ve uygulanan idari para cezaları da dikkate alındığında[1], özellikle ihlale konu verilerin özel nitelikli kişisel veri niteliğinde olması sebebiyle çok daha yüksek idari para cezaları ile karşılaşılması ve itibar kaybına uğranılması mümkündür.
Hekimlerin ve sağlık kurumlarının, hastalarının özel nitelikli kişisel verilerini sakladığı programlar nezdinde ciddi teknik tedbirler almaları gerekmektedir. Bahse konu elektronik ortamda tutulan veriler için ilgili ağ özel şifreler ile korunmalı, herhangi bir veri sızıntısına yönelik tedbir alınması için düzenli olarak sızma testi yaptırılmalı, özel nitelikli kişisel verilerin sır saklama yükümlülüğü altındaki hekimler dışında kimseler tarafından erişilemiyor olmasına dikkat edilmelidir. Tanıtım ve pazarlama faaliyetleri yürüten hekimlerin ve sağlık kurumlarının ilgili kişilere yönelik verilerini işlerken işleme amaçlarını belirtmeleri, bu amaç doğrultusunda ilgili kişilerden açık rıza almaları gerekmektedir.
[1] “Kişisel Verileri Koruma Kurulunun 12.03.2020 tarih ve 2020/213 sayılı kararı; ortaya çıkan sistem açığı sonucunda 69 kişiye ait kart bilgisinin 649 adet şirket müşterisi tarafından görüntülendiği tespit edilmiş ve ilgili veri sorumlularına yönelik 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmaması sebebiyle 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.