Sağlık Kuruluşlarında KVKK / GDPR Uyum Süreci

Kişisel Verileri Koruma Kanunu (KVKK), bireylerin sağlık verilerini, Özel Nitelikli Kişisel Veri kapsamında kabul etmiştir. Bunun doğal sonucu olarak bireylerin sağlık verilerini işleyen Hastane, Tıp Merkezi, Poliklinik, Muayenehane, Laboratuvar, Görüntüleme Merkezleri, Diş Hekimi Muayenehaneleri, Eczaneler gibi sağlık kuruluşları Veri Sorumlusu niteliğinde olup, Kanun’un belirlediği yükümlülüklere tabiidir.

Sağlık Kuruluşlarının, Kişisel Verilerin Korunmasına İlişkin
Uyum Sürecinde Yerine Getirmesi Gereken Yükümlülükleri Nelerdir?

Sağlık Kuruluşlarının, Kişisel Verilerin Korunmasına İlişkin Uyum Sürecinde Yerine Getirmesi Gereken Yükümlülükleri Nelerdir?

Mevzuata Uygun Olarak Gerekli İdari Tedbirleri Almak.

Mevcut risk ve tehditlerin belirlenmesi için işletmeye yönelik idari analiz yaptırılması.
Çalışanların Eğitilmesi ve Farkındalık Çalışılmalarının yaptırılması.
Kişisel veri güvenliği politikalarının ve Prosedürlerinin belirlenmesi, yazılı hale getirilmesi.
Kişisel verilerin mümkün olduğunca azaltılması.
Veri işleyenler ile ilişkilerin yönetiminin mevzuata uygun hale getirilmesi.
Kişisel Veri İşleme Envanteri Hazırlanması.
Mevzuata uygun hukuki dokümantasyonun hazırlanması (Kişisel Verilerin İşlenmesine Yönelik Aydınlatma Formları/ Açık Rıza Beyanları).
Gizlilik Taahhütnamelerinin hazırlanması.
Çalışanlarla yapılacak kişisel verilere ilişkin sözleşmelerin düzenlenmesi.
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt.

Mevzuata Uygun Olarak Gerekli Teknik Tedbirleri Almak.

Mevcut risk ve tehditlerin belirlenmesi için işletmeye yönelik teknik analiz yaptırılması.
Alınan teknik analiz raporu doğrultusunda, kişisel verilerin teknik güvenliğinin sağlanması için, işletme amacına uygun IT tedbirlerinin alınması (Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Log Kayıtları, Veri Maskeleme, Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları, Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme, Anahtar Yönetimi).
Kişisel verilerin fiziki olarak muhafazasında gerekli güvenlik tedbirlerin alınması.
Teknik güvenlik tedbirlerin sağlanmasına yönelik çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması.

İdari ve Teknik Tedbirlerin Güncel Şekilde Uygulanması ve Sürekliliğinin Sağlanması.

Düzenli olarak idari ve teknik denetimlerin yaptırılması.
Hukuki dokümantasyon ve sözleşmelerin, Kurum sayfasında ilan edilen kararlar da takip edilerek, mevzuat karşısında düzenli güncellemelerinin yapılarak kullanılması.
Çalışanlar için düzenli olarak işletme içi eğitim alınmasının sağlanması.

İdari Tedbirler Arasında Yer Alan VERBİS Nedir?

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur.

Sağlık Kuruluşları VERBİS Kaydı Yaptırmak Zorunda Mıdır?

Kişisel Verileri Koruma Kanunu (KVKK), çalışan sayısına ya da yıllık mali bilançosuna bakılmaksızın, faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel veri sorumlularına 31.03.2021 tarihine kadar VERBİS’e kayıt yaptırmak zorunluluğu getirmiştir. Sağlık Verileri, “Özel Nitelikli Veri” kabul edildiğinden, Doktor Muayenehanesi, Tıp Merkezi, Poliklinik, Diş Doktoru Muayenehanesi, Laboratuvar, Görüntüleme Merkezleri, Eczaneler gibi sağlık verisi işleyen tüm gerçek ve tüzel kişiler 31.03.2021 tarihine kadar VERBİS’e kayıt yaptırmak zorundadır.

Unutulmamalıdır ki; VERBİS'e kayıt olmak, sağlık kuruluşlarının sağlık verisi işlerken uymak zorunda oldukları yükümlülüklerinden sadece bir tanesidir. veri sorumlularının veri işlerken uymak zorunda oldukları yükümlülüklerinden sadece bir tanesidir. Süresi içinde VERBİS kaydı yaptırılsa dahi, diğer yükümlülüklerinin yerine getirilmemesi durumunda, ihbar, şikayet, ya da resen inceleme sonucunda, her bir ihlal için ayrı ayrı idari para cezası ve cezai yaptırımla karşılaşılacaktır.

Kişisel Verileri Koruma Kanunu Uyarınca Kurum
Tarafından Sağlık Kuruluşlarına Uygulanan Cezalar Nelerdir?

Kişisel Verileri Koruma Kanunu Uyarınca Kurum Tarafından Sağlık Kuruluşlarına Uygulanan Cezalar Nelerdir?

KVKK’nun 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, ihbar, şikayet veya resen inceleme sırasında tespit edilen aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere, her bir ihlal için ayrı ayrı olmak üzere, miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda kalmak kaydıyla Kurul tarafından, idari para cezaları verilebilir.

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 1000 Türk Lirasından 100.000 Türk Lirasına kadar,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Kurul Kararlarını yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar para cezası verilebilecektir.

Türk Ceza Kanunu Açısından Sağlık Verisi İşleyen
Veri Sorumlularının Karşılaşabileceği Cezalar Nelerdir?

Türk Ceza Kanunu Açısından Sağlık Verisi İşleyen Veri Sorumlularının Karşılaşabileceği Cezalar Nelerdir?

TCK’nun 135. maddesi uyarınca, Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Bu verilerin özel nitelikli veri olması durumunda verilecek olan ceza yarı oranında arttırılır.
TCK’nun 136. Maddesi uyarınca, Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
TCK’nun 138. Maddesi uyarınca, Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi Suçunu düzenleyen Türk Ceza Kanunu, hukuka aykırı olarak işlenen verilerin sağlık verisi olması durumunda verilecek olan cezanın yarı oranında arttırımını da ayrıca düzenlemiştir. Kısacası; Sağlık Verilerinin Kanuna ve Hukuka aykırı olarak işlenmesi, ceza arttırma sebebi olarak sayılmıştır.

Sağlık turizminin ülkemizdeki gelişimi karşısında, Sağlık Turizmi Belgesi olan Sağlık Kuruluşları, KVKK’da yer alan yükümlülükler dışında, Avrupa Birliği Genel Veri Koruma Tüzüğünde (GDPR) yer alan yükümlülüklere de uymak zorundadır. Yurtdışından gelen hastaların verileri işlenirken sadece KVKK değil, GDPR hükümlerinin de uygulanacağı unutulmamalıdır. Bu nedenle, Sağlık Turizmi Belgesine sahip Sağlık Kuruluşlarının Kişisel Verilere ilişkin uyum sürecini yürütürken, KVKK Uzmanlığı dışında GDPR Uzmanlığı da olan ekiplerden hizmet alması, daha sağlıklı sonuç doğuracak ve daha profesyonel bir koruma sağlayacaktır.

Sinem DÖKMECİ Avukatlık Bürosu, Sağlık Hukuku alanındaki uzmanlığını, Uluslararası düzeyde Kişisel Verileri Koruma Uzmanlığı ile birleştirmiş bir hukuk bürosudur. Avukatlık Büromuz, Sağlık Hukuku Yüksek Lisans Programını tamamlamış uzman avukatlardan oluştuğu gibi, Kişisel Verileri Koruma Kanunu Uzman Sertifikasına, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Uzman Sertifikasına ve Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında Veri Koruma Operatörü Belgesine (DPO) de sahip Uzmanı kadrosu ile Sağlık Kuruluşlarında Kişisel Verilerin Korunmasına İlişkin Uyum Sürecini, gerek KVKK’na, gerek Kurul Kararlarına, gerekse Uluslararası boyutta GDPR’a uygun olarak gerçekleştirerek profesyonel bir koruma sağlamaya yönelik danışmanlık hizmeti vermektedir.

Sinem DÖKMECİ Avukatlık Bürosu, Kişisel Verilerin Korunmasına İlişkin Uyum Süreci Danışmanlık Hizmetini verirken, IT konusunda uzman Çözüm Ortaklarıyla kurmuş olduğu işbirliği sayesinde, teknik analizin yapılması, veri güvenliğinin hukuka uygun sağlanması, düzenli teknik analiz raporlarının alınması gibi teknik tedbirleri de kapsayan bir danışmanlık vererek, tek bir hizmet paketi ile Veri Sorumlusunun Kanuna ve mevzuata karşı yükümlülüğünü yerine getirmesini sağlamaktadır.

Avukatlık Büromuz, Sağlık Kuruluşlarına özel olarak hazırlattığı “Akıllı Envanter Programını” Veri Sorumlularına da yükleyerek, Kanunun ve mevzuatın zorunlu tuttuğu tüm idari ve teknik tedbirlerin uygulanmasını sağlamaktadır. Akıllı Envanter Programı ile Veri Sorumluları, tüm hukuki dokümantasyonları (Aydınlatma Formları, Gizlilik Sözleşmeleri, Politikalar, Açık Rıza Formları v.b.) daima güncel haliyle kullanabilmekte ve veri korumasının sürekliliğini sağlayabilmektedir. Talep halinde, Sağlık Kuruluşlarına kurulan Akıllı Envanter Programına, Sağlık Kuruluşlarının uyguladıkları tıbbi işlemlere yönelik Sağlık Onam Formları da entegre edilerek Sağlık Kuruluşlarına, gerek Kişisel Verilerin Korunmasına yönelik, gerekse Sağlık Hukukuna yönelik tam bir danışmanlık hizmeti de verilmektedir.