Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde yürürlüğe girmesi ile birlikte kişisel veri işleyen tüm kişi ve kuruluşlar gibi sağlık verisi işleyen gerçek ve tüzel kişiler de bir takım yükümlülükler altına girdiler. Sağlık verileri ile ilgili olarak ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik 21.06.2019 tarihinde yayınlanarak yürürlüğe girdi. Ayrıca kişisel verilerle ilgili ihlalleri denetlemek ve gerektiğinde idari yaptırım kararları uygulamak üzere Kişisel Verileri Koruma Kurumu ve kurum bünyesinde Kişisel Verileri Koruma Kurulu faaliyete başladı.
Kanun ad-soyad-adres gibi kişisel verileri genel nitelikli kişisel veri olarak kabul etmekle birlikte kişinin fiziksel ve ruhsal sağlığına ilişkin bilgileri özel nitelikli kişisel veri olarak adlandırmaktadır. Özel nitelikli kişisel veriler diğer kişisel verilere göre daha fazla koruma altına alınmıştır.
Kanun ve yönetmeliğin özel nitelikli veri olarak kabul ettiği kişisel sağlık verilerine kişinin boyu, kilosu, kan grubu, sigara, alkol kullanımı, ameliyat geçmişi, kullandığı ilaçlar, kronik rahatsızlıkları gibi bilgileri örnek vermek mümkündür. Dolayısıyla ana faaliyet konusu itibariyle bu tür verileri işleyen tüm gerçek kişi ve tüzel kişi işletmelerin kişisel sağlık verileri hususundaki mevzuat kapsamında sorumlulukları ve yükümlülükleri bulunmaktadır.
Faaliyetleri kapsamında yukarıda sayılan türden kişisel sağlık verisi işleyen tüm
bu mevzuat kapsamındaki yükümlülüklere uygun hareket etmekle yükümlüdür.
Şahıs işletmesi şeklinde kurulan özel muayenehanelerde bizzat hekimin kendisi, ticaret şirketi olarak kurulan sağlık işletmelerinde ise tüzel kişilik mevzuat tarafından veri sorumlusu olarak kabul edilmektedir. Veri sorumlusunun öncelikle mevzuatta öngörülen süreler içerisinde kısaca VERBİS olarak adlandırılan Veri Sorumluları Sicil Bilgi Sistemi‘ne bizzat veya vekilleri aracılığı ile kayıt zorunluluğu bulunmaktadır. VERBİS sistemi veri sorumlusunun faaliyetleri kapsamında hangi kişisel verileri işlediğini kuruma beyan etmesi için oluşturulmuş bir dijital sicil sistemidir.
Bu sicile kayıt için tanınan sürenin bitiş tarihi işletmenin büyüklüğüne göre yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan işletmeler için 30.09.2020, bu rakamları aşan sağlık işletmeleri için 30.06.2020 olarak belirlenmiştir.
VERBİS kaydının dışında sağlık işletmelerinin işledikleri kişisel sağlık verileri ile ilgili olarak aydınlatma, açık rıza alma, kişisel veri envanteri çıkarma, dijital ortamda kaydedilen verilerin dijital koruma ve şifreleme yöntemleri ile güvenliğini sağlama, veri aktarılan üçüncü kişilerden veri koruma taahhütnamesi alma, veri saklama ve imha politikası, gizlilik politikası gibi işletmenin faaliyet kapsamı ve içeriğine göre oluşturulacak politika ve prosedürleri hazırlama gibi yükümlülükleri bulunmaktadır.
Sağlık işletmelerinin eğer bu tür evrakları mevcutsa mutlaka bir uzman tarafından gözden geçirilmeli ve mevzuata uygun hale getirilmesi sağlanmalıdır. Eğer yoksa işletmenin mevcut departmanları ve bu departmanlarda hangi kişisel verilerin işlendiği, ne şekilde depolandığı, nerelerde kullanıldığı tespit edilerek işletmenin faaliyetlerine uygun şekilde gerekli evrak, politika ve prosedürlerin hazırlanması sağlanmalıdır, personele gerekli eğitimler verilmelidir.
Bunlarla birlikte eğer kişisel sağlık verileri dijital ortamda kayıt altına alınıyor ve depolanıyorsa mutlaka bilişim uzmanlarının da desteğiyle gerekli koruma ve şifreleme yöntemleri ile sızmalara, veri hırsızlığına karşı kurumun hazırladığı rehberlerdeki şifreleme yöntemleri de dikkate alınarak koruma altına alınmalıdır.
Kişisel Verileri Koruma Kurulu’nun özel nitelikli kişisel veriler hakkında alınması gereken yeterli önlemlerine neler olduğuna ilişkin 31.01.2018 tarihli kararını linkten okuyabilirsiniz.
Ayrıca kişisel veriler ile ilgili mevzuat metinlerinin, ilgili kurum ve karar linklerinin yer aldığı kişisel sağlık verileri işleme rehberine de göz atmanızı tavsiye ederiz.
Yukarıda sayılan yükümlülüklerden VERBİS kaydının yapılması işletmenin büyüklüğüne göre 30.06.2020 ve 30.09.2020 tarihlerine ertelenmiş olmakla birlikte diğer yükümlülükler Kanun’un yürürlüğe girmesi ile başlamış olup en kısa sürede gerekli uyum sürecinin tamamlanması sağlık işletmelerine tavsiye edilmektedir.
2020 güncel rakamlarına göre Kurum’un mevzuata aykırılık halinde uygulayacağı idari para cezası miktarları aşağıdaki gibidir:
* Aydınlatma yükümlülüğünün ihlali halinde 9.012 TL‘den 180.263 TL‘ye kadar,
* Veri güvenliğinin ihlali halinde 27.037 TL‘den 1.802.640 TL‘ye kadar,
* Kurul kararlarına aykırılık halinde 36.762 TL‘den 1.470.583 TL‘ye kadar,
* Verbis’e kayıt yükümlülüğünün ihlali halinde 36.050 TL‘den 1.802.640 TL‘ye kadar
idari para cezası
Bu denli yüksek idari para cezalarının öngörüldüğü bir alanda Kişisel Verileri Koruma Kurumu’nun kişisel veri mevzuatını ihlal eden şirketlere idari para cezası uygulamaya başladığını ve kararlardan bazı örnekleri de sitesinde yayınladığını belirtelim. Dolayısıyla hekimlerimizin ve sağlık hizmeti sunan işletmelerin bu konuda gerekli tedbirleri almalarını tavsiye ederiz.
YAZIYI PAYLAŞ
YORUMUNUZ VAR MI?