Daha önce sağlık kuruluşlarının kişisel veri mevzuatından kaynaklanan sorumlulukları ile ilgili bir yazı yayınlamıştım. Aşağıdaki linkten bu yazıya ulaşmak mümkün. Özel muayenehane, klinik, tıp merkezi, özel hastane veya kamu hastanesi ayrımı gözetmeksizin kişisel veri işleyen tüm gerçek ve tüzel kişilerin bu mevzuata uygun hareket etmek ve mevzuatla düzenlenen VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olma zorunluluğu bulunuyor.
Kişisel Sağlık Verileri konusunda hastane ve hekimlerin sorumluluğu
Ancak geçtiğimiz hafta Kişisel Verileri Koruma Kurumu yayınladığı bir duyuru ile VERBİS kayıt sürelerini Covid-19 virüs salgını sebebiyle uzattığını açıkladı. Son tarihler aşağıda yer almakta olup sağlık kuruluşlarının da aşağıdaki tarihlerden önce VERBİS kayıtlarını gerçekleştirmeleri gerekiyor.
Veri Sorumluları | Son Tarih |
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 31.03.2021 |
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları | 30.09.2020 |
Bu tarihlerden önce VERBİS kaydını gerçekleştirmeyen gerçek ve tüzel kişiler için Kurum’un 36.050 TL‘den 1.802.640 TL‘ye kadar idari para cezası uygulama yetkisi bulunuyor. VERBİS kaydı öncesi işletmenin hacmi, iş süreçleri, bu süreçlerde işlenen kişisel veriler ve bu verilerin nitelikleri, işlenme amaçları analiz edilerek, veri envanteri çıkartılmalı. VERBiS kaydı da esasında bu envanter doğrultusunda hangi verilerin işlendiğinin ve işlenen verilerle ilgili olarak veri sorumlusunun kim olduğunun Kuruma bildirilmesi olarak ifade edilebilir.
VERBİS kaydı için süreler uzatılmış olsa da, Kişisel Verilerin Korunması Kanunu geçtiğimiz yıllarda yürürlüğe girmiş bulunan başkaca yükümlülükler de getirdi. Üstelik Kurumun bu yükümlülüklerin ihlalini tespit ettiğinde aşağıda yer alan idari para cezalarını uygulama yetkisi de mevcut. Bu sebeple sağlık kuruluşlarının en kısa sürede mevzuata uyum sürecini gerçekleştirmesi önemli.
YÜKÜMLÜLÜK | 2020 YILI İÇİN CEZA MİKTARLARI |
Aydınlatma yükümlülüğü | 9.013 – 180.264 TL |
Güvenlik yükümlülüğü | 27.040 – 1.802.641 TL |
Kurul kararlarını yerine getirme yükümlülüğü | 45.066 – 1.802.641 TL |
VERBİS’e kayıt yükümlülüğü | 36.053 – 1.802.641 TL |
Öncelikle sağlık kuruluşları faaliyet konusu itibariyle özel nitelikli kişisel veri (sağlık verisi) işlemeleri sebebiyle Kanun tarafından diğer işletmelere göre farklı bir kategoride ele alınmıştır. Hatta bu sebeple özel nitelikli kişisel veri olarak kabul edilen sağlık verisi ile ilgili olarak Kişisel Sağlık Verileri Hakkında Yönetmelik yayınlanmıştır.
Bu düzenlemelere göre işletme adına veri sorumlusunun VERBİS kaydının yapılması haricinde işletmelerin şunlara da dikkat etmesi gerekiyor:
İşlenen sağlık verileri ile ilgili olarak hastaların mevzuata uygun şekilde aydınlatılması gerekiyor. Bunun için fiziki ve dijital ortamda aydınlatma metinlerinin hazırlanması ve hastaların anlayacağı şekilde kişisel veri aydınlatması yapılmalıdır.
Estetik cerrahi uzmanı hastasının her istediği işlemi yapma yetkisine sahip midir?
Kişisel verisi işlenen hastaların veya yakınlarının veri sorumlusuna işlenen verileri ile ilgili olarak nasıl başvurabilecekleri, bu noktada hasta ve yakınlarının ne tür haklarının bulunduğuna ilişkin bir politika da hazırlanması, bu süreçlerin de bir metin ile açıklanması gerekir. Verilerin ne amaçla ve ne şekilde kullanılacağı, hangi amaçla, nerelere aktarılacağı, ne kadar süre saklanacağı, ne zaman ve ne şekilde anonimleştirileceği veya yok edileceği bu politika metinleri içerisinde açıklanmış olmalıdır.
Kişisel veriler ister fiziki ortamda isterse dijital ortamda saklansın mutlaka Kurum’un aradığı asgari standartlarda korunması gerekir. Kurum yayınladığı duyurular ile verilerin güvenliğinin asgari ne şekilde sağlanacağını açıklamıştır. Bu kriterlere uygun bir koruma sistemi oluşturulmalı, olası veri ihlalleri hakkında vakit geçirmeksizin kuruma bilgi verilmelidir.
Kişisel sağlık verilerinin bugün için yurt dışına aktarılması mümkün değildir. Dolayısıyla sağlık kuruluşları kişisel sağlık verilerini dijital ortamda tutuyorlarsa mutlaka yurt içindeki serverları ve bu anlamda yerel hizmetleri tercih etmeleri gerekir.
İşletme bünyesindeki çalışanlara kişisel veri mevzuatı konusunda bir formasyon eğitimi verilmeli, çalışanların kişisel veri mevzuatına uygun şekilde hareket etmeleri sağlanmalıdır. Bu noktada varsa kurum içi disiplin yönetmeliklerine kişisel veri ihlaline ilişkin maddelerin eklenmesi de düşünülebilir.
İleride yaşanabilecek muhtemel idari yaptırımlardan korunmak adına VERBİS kaydı ve yukarıda anılan işlemler dahil kişisel veri uyum sürecinin kişisel veri alanında uzman bir ekipten yardım alınarak gerçekleştirilmesi faydalı olacaktır.
Av. Arb. Bahadırhan TABAK
av.bahadirhantabak@gmail.com
YAZIYI PAYLAŞ
YORUMUNUZ VAR MI?