KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KİŞİSEL SAĞLIK VERİLERİNİN PAYLAŞILMASINA İLİŞKİN KURUL KARARLARI İNCELEMESİ

^{Stj.Av.Girayhan OCAK}

Giriş

Günümüzde kişisel verilerin, elektronik ortamlarda kaydedilmesi, iletilmesi gibi işlemler her geçen gün artmakta ticaret, bankacılık, nüfus hizmetleri, sağlık gibi alanlarda kişilere çeşitli hizmetlerin verilmesi mümkün hale gelmektedir. İnternet ortamında insanların kişisel verilerinin kaydedildiği birçok işlem çeşidi bulunmaktadır. İnternet hizmetleri her ne kadar insanların hayatını kolaylaştırıcı etkiye sahipse de son yıllarda, kişisel verilerin elektronik ortamlarda toplanması, işlenmesi ve paylaşımı neticesinde bu verilerin hukuka aykırı biçimlerde kullanılması davranışları ortaya çıkmaktadır. Bu durum, kişilerin verileri koruma altına almaya yönelik düzenlemelerin yapılması ihtiyacını doğurmuştur. Bu ihtiyacın bir tezahürü olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu (KVKK veya Kanun) gerçek kişilere ait kişisel verileri işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Bu gerçek ve/veya tüzel kişilerin Kanun kapsamında kişisel verilerin paylaşımında uyması gereken kurallar bütünü mevcuttur. Bu çalışmada kısaca Kişisel Verileri Koruma Kurul’unun (Kurul) kararları ile özel nitelikli kişisel veri olarak tanımlanan sağlık bilgilerinin işlenmesi ve paylaşımına ilişkin dikkat çektiği noktalara değinilecektir.

Sağlık Verilerinin İşlenmesi, Paylaşımı ve İlgili Kurul Kararları

Kişisel veri, Kanun’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi“ şeklinde tanımlanmıştır². Kanun da bir de özel nitelikli kişisel veri tanımlanmaktadır. Özel nitelikli kişisel veri Kişisel Verileri Koruma Kurumu (Kurum) tarafından kişiyi ayrımcılığa maruz bırakabilecek bilgi olarak belirlenmekte³ ve Kanun’da “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmaktadır⁴. Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir⁵. Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir⁶. KVKK kapsamında veri sorumlularına bir takım uyması gereken yükümlülükler getirilmiştir. Bu yükümlülüklerin başında Kişisel verilerin KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmesi getirilmiş, kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkeleri belirlenmiştir⁷. Kurul kişisel verilerin işlenmesinde yukarıda bahsedilen ilkelere ve kanunda yer alan hükümlere uygun hareket edilmesini gözetmektedir.

KVKK’nin 5. maddesinde kişisel veri işleme şartları, 8. maddesinde kişisel verilerin yurt içinde aktarılması düzenlenmiştir. Kural olarak kişisel verilerin açık rıza olmaksızın aktarılması mümkün değildir. Fakat KVKK‘nin 5‘inci maddesinin ikinci fıkrasında, yer alan şartlardan birinin varlığı halinde ve yeterli önlemler alınmak kaydıyla, 6‘ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler aktarılabilir⁸. Bu kapsamda kanunlarda açıkça öngörülen hallerde ilgili kişinin açık rızası aranmaksızın kişisel veri aktarılabilecek yine veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olmasının varlığı hainde kişisel verileri ilgili kişinin rızası olmasa dahi aktarabilecektir.

KVKK’ye göre sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Buna göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Örneğin Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu ile paylaşılan kişisel veriler bu kapsamda değerlendirilecektir. Özellikle veri sorumlusunca sağlık ve cinsel hayat ilişkin kişisel verilerin paylaşılması konusunda faaliyetin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarını karşılaması gerekmektedir. Nitekim Kurul belirtilen konuya ilişkin aykırılık ile karşılaşmış, 05/12/2018 Tarihli 2018/143 Sayılı Kararı ile bir eczacıya idari yaptırım uygulamıştır.

“Sağlık Verilerini Kanunun 6‘ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Bir Kişiye Aktaran Veri Sorumlusu Hakkında” Kişisel Verileri Koruma Kurulu’nun 05/12/2018 Tarihli 2018/143 Sayılı Kararı

Doktor kontrolünde ilaç kullanan ilgili kişi (hasta) tarafından, özel nitelikli sağlık verisi olan ilaçların temin edildiği eczanenin her hangi bir işleme şartına dayanmadan üçüncü kişiyle bilgilerini paylaşması ile ilgili Kuruma yapılan şikâyet başvurusunda; doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından KVKK’nin 8’inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12’nci maddesinin 4 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanun’un 18’inci maddesi uyarınca idari para cezası uygulanmıştır. Kurul kararında Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesine ve özel nitelikli kişisel verilerin işlenmesine ilişkin 6. maddesine atıfta bulunarak “sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarım yapılabileceğinin” altını çizmiştir.

Kurul kararında Kanun’un 12. maddesinin 1. fıkrasına ve 4. fıkrasına değinilerek, veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, yine anılan maddenin 4 numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiğini belirtmiştir.

Eczaneler hastalıkların teşhis ve tedavisi ile hastalıklardan korunmada kullanılan ilaçların hazırlanması ve hastaya sunulması; ilaçla ilgili standardizasyon ve kalite güvenliğinin sağlanması ve ilaç kullanımına bağlı sorunlar hakkında hastaların bilgilendirilmesi ve çıkan sorunların bildiriminin yapılmasına ilişkin faaliyetleri yürüten sağlık hizmetinin sunulduğu alanlardır⁹. Eczacılar faaliyetlerini gerçekleştirirken ilgili kişilere ait kimlik, iletişim, sağlık bilgisi gibi birçok kişisel bilgiyi işlemekte ve kullanmaktadır. Eczacıların ve eczanelerin faaliyetlerine bakıldığında ana faaliyet konuları sağlık bilgilerinin işlenmesi ve bu bilgilerin kullanımı ile hastalara hizmet sunmaktır. KVKK kapsamında veri sorumlusu sıfatıyla eczacılar da yer almaktadırlar. Eczanelerin veri sorumlusu sıfatına sahip olması sebebi ile kanundan kaynaklanan yükümlülüklerini yerine getirmesi gerekmektedir. Bu yükümlülüklerden biri de Kanun’un 4. maddesinde sayılan usul ve esaslara uygun şekilde Kanun hükümlerinin yerine getirilmesidir. Bu kapsamda usul ve esaslara uyulmaması durumunda çeşitli yaptırımlar ile karşılaşılabilir.

Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulu’nun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı

Kurul’un sağlık bilgileri ile ilgili bir diğer kararı banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliğine ilişkin kararıdır. Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kuruma intikal eden ihbarlar kapsamında bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, Kanun’un 12’nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, ilişkin karar verilmiştir.

Kurulun söz konusu ilke kararı ile kişisel verilerin üçüncü kişilerce duyulması, görülmesi, öğrenilmesi ve ele geçirilmesinin önüne geçmek hedeflenmiştir. İlgili karar özellikle hastanelerin hasta kayıt bölümlerinde, hemşirelik hizmetlerinde hastalara ait kişisel verilerin korunması açısından önem arz etmektedir. Hastaların kişisel verilerini içeren basılı formlar, dosyalar, klasörler herkesin erişimine açık bir şekilde masa üstü, dolap vb. yerlerde tutulmamalıdır. Formlar, dosyalar, klasörler ve elektronik veriler sadece konu ile ilgili personelin erişimine uygun şekilde korunmalıdır.

Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması ile İlgili Kurul Kararı

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen incelemen neticesinde Kanun’un 12’nci maddesinin 1 numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanun’un 18’inci maddesi uyarınca idari para cezası uygulanmıştır¹⁰.

Veri sorumlusunun faaliyetleri kapsamında otomasyon sistemleri, yazılımlar, portal ve web siteleri kullanması durumunda bünyesinde bulunan her personele kendisine ait erişim yetkisi tanıması gerekmektedir. Bu kapsamda personelin kullanıcı adı ve şifresini ikinci bir kişi ile paylaşmaması, bir başka personelin kullanıcı adı ve şifresini talep etmemesi gerekir. Personele ait kişisel verilerin kanuni yükümlülükler dışında kurum dışarısına çıkartmamalı ve üçüncü kişilere ifşa etmemelidir. Bu durumların personele tebliğ edilecek kişisel verilerin korunması hükümlerini içeren disiplin yönetmeliği ve çeşitli veri koruma prosedürleri ile hüküm altına alınması Kanun’un 12. maddesi kapsamında alınacak bir tedbirdir. Ek olarak Kurul "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı ile özel nitelikli kişisel verilerin korunmasında gözetilmesi gereken tedbirlere de yer vermiş bulunmaktadır. Sağlık bilgilerinin de özel nitelikli kişisel veri olduğu göz önüne alındığında bu tedbirlerin veri sorumlularınca alınması gerekmektedir.

“Bir Market Zincirinin Sadakat Kart Uygulamasına İlişkin İhbar ve Şikayetler Hakkında” Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/82 Sayılı Kararı

Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle Kanun kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet başvurusu ve aydınlatma metninin muğlaklığı ile ilgili yapılan incelemede; ilgili aydınlatma metninde ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıkların bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,

Aydınlatma metninde şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda karar verilmiştir.

Görüldüğü üzere sağlık bilgilerinin işlenmesi, paylaşılması veri sorumlularının gerçekleştirdiği faaliyetler kapsamında Kanun’un ilkelerine uygun bir şekilde amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bununla beraber ilgili kişiye ait kişisel verilerin paylaşımında aydınlatma metninde yer alan ifadelerin açık ve anlaşılabilir olması ve kişisel verilerin aktarılacağı mecralarının sınırının çizilmesi gerektiği belirtilmiştir.

Sonuç

Yukarıda yer alan Kurul kararlarına ve mevzuat hükümlerine bakıldığında sağlık bilgilerinin paylaşılması son derece hassasiyet teşkil etmektedir. Kurul, KVKK hükümlerine dayanarak sağlık bilgilerinin paylaşılmasında uyulması gereken hususları açıklamıştır. Yükümlülükleri yerine getirmeyen veri sorumluları idari yaptırım kararları ile karşı karşıya kalmıştır. Bu kapsamda KVKK hükümleri çerçevesinde veri sorumlularınca gerçekleştirilen sağlık bilgilerinin paylaşılması konusu ele alınmış, farkındalık oluşturma niyetiyle aydınlatıcı bilgiler ortaya konulmaya çalışılmıştır.

1^ Aksay Hukuk Bürosu

2^ KVKK m.3/1 (d)

3^ https://www.kvkk.gov.tr/Icerik/2051/Ozel-Nitelikli-Kisisel-Veriler (Erişim Tarihi 05.05.2020)

4^ KVKK m.6/1

5^ KVKK m.3/1(e)

6^ KVKK m.3/1 (ı)

7^ KVKK m.4

8^ KVKK m.8

9^ Eczacılar ve Eczaneler Hakkında Kanun 1. madde

10^ https://www.kvkk.gov.tr/Icerik/5408/Ozel-Nitelikli-Kisisel-Verilerin-Kanuna-Aykiri-Sekilde-Internet-ve-Sosyal-Medya-Mecralarinda-Paylasilmasi ( Erişim Tarihi 03.05.2020)