Hastanenin, hastasına ait tahlil sonucunu hataen başka bir kişinin mail adresine iletmesi durumda nasıl bir hukuksal süreç yaşanabileceğini, KVKK’na göre olaydaki hukuksal sorumluluğun kime ait olduğunu, alınması gereken önlemeleri Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu 20.05.2020 tarihli, 2020/407 sayılı kararı ile birlikte inceleyeceğiz.

Şikayet konusu olay:

Hastanenin Tüp Bebek bölümüne tahlil için başvuran hasta, tahlil sonuçlarının elektronik posta yoluyla kendisine iletildiğini ve aynı e-postanın, tanımadığı başka bir kişinin adresine de gönderildiğini fark etmiştir.

Bunun üzerine hasta, Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığını, ilgili mevzuata uygun davranmadığını belirten bir ihtarname ile ilgili hastaneden bilgi talebinde bulunmuştur. Veri sorumlusu hastanenin cevabında dahi, hatanın kabul edildiğine dair bir içerik olduğunu belirtilerek, 6698 sayılı KVKK kapsamında Kuruma şikayette bulunarak gereğinin yapılması talep edilmiştir.

Hastanenin Cevabı

İlgili Hastane, Kuruma vermiş olduğu cevapta;

• Tüp bebek bölümüne başvuran hastanın tahlil sonuçlarının, hastalarını aynı gün aynı test için laboratuvara yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiğini,

• Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun 12’ nci maddesi kapsamında hangi idari ve teknik tedbirlerin alındığına dair Kurumun sorusuna ise; ”sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı” ifade etmiş,

Ayrıca veri sorumlusu olarak mesul müdürün gösterildiği “Veri Sorumlusu Tanıtım Formu” adındaki bir belgeyi de Kuruma intikal ettirilmiştir.

KVK Kurulu’nun İncelemesi

Tahlil sonuçlarının, sağlık verisi olduğunu dolayısıyla yasa gereği özel nitelikli kişisel veri kategorisinde değerlendirileceğini,

Özel nitelikli kişisel veri olan sağlık verisinin işlenebilmesi için kişinin açık rızasının ya da kanunen kişinin açık rızasını gerektirmeyen hallerin mevcut olması gerektiği,

Kişisel verilerin aktarılması noktasında da yine ilgili kişinin açık rızası olması gerektiği yönündeki yasal düzenlemeleri vurgulamıştır.

KVKK Kurulu’nun Tespitleri

Bahse konu tahlil sonuçlarının, üçüncü bir taraf olarak hastaneden bağımsız şekilde çalışan ve ayrı bir veri sorumlusu olarak değerlendirilen doktorun, asistanına mail atılmak suretiyle aktarılmasında herhangi bir geçerli hukuki dayanağı olmadığını,

Hastane tarafından verilen cevapta da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle, ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varılmıştır,

Ayrıca Hastane tarafından Kurum’a iletilen “Veri Sorumlusu Tanıtım Formunda” veri sorumlusu olarak mesul müdürün gösterildiğinin görüldüğü,

Ancak 6698 sayılı Kanunun 3’üncü maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak belirtildiğini, bu nedenle ilgili hastanenin bizatihi kendisinin “veri sorumlusu” olduğunun Hastaneye hatırlatılması gerektiği belirtmiştir.

KVKK Kurul’u Kararı:

Veri sorumlusu Hastane’nin, hastanın özel nitelikli kişisel verisini 6698 sayılı Kanunun 8’nci maddesinde belirtilen “ilgili kişinin açık rızası” ya da 6’ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılması sebebiyle, kanunun “Veri Güvenliğine İlişkin Yükümlülüklerini yerine getirmediği kanaatine vararak 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Sonuç Olarak;

Sağlık verilerinin, kanunun ayrıca düzenleme yaptığı özel nitelikli kişisel veriler kapsamında değerlendirileceğini, her gün yoğun şekilde sağlık verisinin aktarıldığı hastanelerin, bu verilerin mahremiyetini korumak, güvenliğini sağlamakla bizatihi yükümlü veri sorumlusu olduklarını, mesul müdürlerin veri sorumlusu olarak tayin edilemeyeceği , kurul tarafından idari para cezasına yaptırımlarının uygulanmaması için oldukça dikkatli bir titizlikle çalışma ile iç denetim sistemlerinin kurulması gerektiğini belirtmek isteriz.

HANYALOĞUL-ACAR HUKUK BÜROSU

Av. Ayşe Gül HANYALOĞLU