SAĞLIK VERİLERİNİN ÜÇÜNCÜ KİŞİLERE AKTARIMI VE YASAYA AYKIRI AKTARIM SONUCU HUKUKİ SORUMLULUK
SAĞLIK VERİLERİNİN ÜÇÜNCÜ KİŞİLERE AKTARIMI VE YASAYA AYKIRI AKTARIM SONUCU HUKUKİ SORUMLULUK
SAĞLIK VERİLERİNİN ÜÇÜNCÜ KİŞİLERE AKTARIMI VE YASAYA AYKIRI AKTARIM SONUCU HUKUKİ SORUMLULUK
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin 1. fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Maddenin 2. fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış, aynı zamanda 3. fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak:
- kamu sağlığının korunması,
- koruyucu hekimlik,
- tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir.
Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.
Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/143 sayılı Kararında, doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu sonucunda, veri sorumlusu eczane hakkında Kanunun 18. maddesi uyarınca idari para cezası uygulanmıştır.
Kurum tarafından yapılan incelemeler neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğu, kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’da öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır