Haber & Duyuru

İHLALE KONU OLAYIN ÖZETİ :

• Bir Eğitim ve Araştırma Hastanesi (“Hastane”) tarafından ilgili kişiye ait sağlık ve epikriz raporlarının, şikayetçi annenin izni olmadan hapiste bulunan eşinin vekiline verildiği,
• Vekilin vekaletnamesinde bu konuda özel bir iznin bulunmadığı,
• Talebin incelenmesi neticesinde hastanede Şef olarak çalışan kişinin söz konusu raporlara ilişkin ilk etapta belgelerin verilemeyeceğini bildirdiği,
• Çocuk Hastalıkları Uzmanı doktorunun ise söz konusu belgeleri şikayetçinin eşinin vekiline kendisi tarafından verildiğini ikrar ettiği,
• Hastane Bilgi İşlem Müdürlüğü tarafından söz konusu hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, hastane otomasyon sisteminde ekleme, silme ve değiştirme işlemlerinde log kaydı tutulduğu, hastaların bilgilerinin görüntülenmesi noktasında ise log kaydı tutulmadığına ilişkin bilgi verildiği,

• Özel nitelikli kişisel verilerinin işlenme şartları ile Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlerin 6698 sayılı Kanun, ikincil mevzuat ve Kurum tarafından yayınlanan rehberlerde açıkça belirtildiği,
• Hasta Hakları Yönetmeliğinin
1. “Kayıtların İncelenmesi” başlıklı 16’ncı maddesinde “Hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları doğrudan veya yetkili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir.” Hükmüne yer verildiği,
2. “Bilgilerin Gizli Tutulması” başlıklı 23’üncü maddesinin ise “Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu ortadan kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.” hükmünü içerdiği,
• Kişisel Sağlık Verileri Hakkında Yönetmeliğin
1. “Çocukların Sağlık Verilerine Erişim” başlıklı 8’inci maddesinin ikinci fıkrasında “Anne ve babanın boşanması halinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.” hükmünün yer aldığı,
2. “Sağlık Verilerine Avukatların Erişimi” başlıklı 10’uncu maddesinde “Avukatlar, müvekkilinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.” hükmüne yer verildiği,
3. “Sağlık Verilerine Hasta Yakınlarının Erişimi” başlıklı 9’uncu maddesinin ilk fıkrasında kişisel sağlık verilerinin hasta yakınları ile paylaşımında 6698 sayılı Kanunun ilkelerine aykırılık teşkil etmeyecek şekilde, 01/08/1998 tarihli Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edileceğinin belirtildiği, Hasta Hakları Yönetmeliğinin söz konusu fıkrasında ise hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verileceğinin hüküm altına alındığı,
• Somut olayda, veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından Kanunun 8’nci maddesine aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı,
• Bir diğer konu olarak;
1. Hastanedeki tüm poliklinik hasta kayıt personelleri ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olmasının veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,
2. Kimin hangi veriyi görüntülediği noktasında log kaydı tutulmadığı için herhangi bir kontrolün de mümkün olmadığı,
3. Bu bakımdan, hastanedeki tüm doktor ve hasta kayıt personellerinin tüm hasta kayıtlarına erişmesi yerine, hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesinin uygun olabileceği, veri sorumlusunun kimlerin hasta verilerini görüntülenebileceğine dair yetki matrisini oluşturmak suretiyle olası hukuka aykırı veri işlemelerin önüne geçebileceği,
4. Hastanenin otomasyon sisteminden çıktı alma noktasında sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı değerlendirmelerinde bulunulmuştur.

1. Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması gerektiği hususunda veri sorumlusunun talimatlandırılmasına,
2. İdari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, bu eğitimde özel nitelikli kişisel verilerle muhatap olan hastane personelinin kişisel verilerin işlenmesinde yetki kapsamlarına açıkça yer verilmesi ve alınan eğitim belgelerinin Kuruma sunulması hususunda veri sorumlusunun talimatlandırılmasına,
3. Kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
4. Hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına,
5. Hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine,
6. Veri sorumlusu bünyesinde çalışan kişinin, ilgili kişinin çocuğuna ait özel nitelikli kişisel verileri ilgili avukata 6698 sayılı Kanunun 8 inci maddesinde yer alan aktarım şartlarından herhangi birine dayanmadan aktardığı, bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından, Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine karar verilmiştir.

Asöz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinde düzenlenmiş olup, buna göre Kanunun 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanunun 3 üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Öte yandan Kanunun 10 uncu maddesi çerçevesinde, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler neticesinde;

• Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
• Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
• Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması önem arz etmektedir.