KVKK Kapsamında Özel Nitelikli Kişisel Veri Olan Kişiye Ait Sağlık Verileri

Veri Sorumluları Sicili ve Yükümlülükler

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu hükme bağlanmıştır. Bu bağlamda kişisel sağlık verisi işleyen gerçek ve tüzel kişilerin 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması yasa hükmü gereği zorunludur. Özel nitelikli kişisel veri olan kişisel sağlık verilerini işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında 2020/482 Sayılı 23.06.2020 tarihli Kurul Kararı uyarınca31.03.2021 tarihine kadar VERBİS kayıt işlemini tamamlamış olması gerekmektedir.

Kişisel Verileri Koruma Kurumu tarafından kayıt zorunluluğu  “Sicile kayıt yükümlülüğü, kişisel veri işlemekte olan gerçek veya tüzel kişiler için Kanunla getirilmiş bir yükümlülük olup bu yükümlülüğe uyulmaması halinde yaptırım öngörülmüş olmakla birlikte asıl hedeflenen; kişisel verilerin işlenmesinde şeffaflığın sağlanması, veri sorumlularının Kanuna uyumu konusunda özen göstermeleri, kişisel veri işlenmesinin disiplin altına alınması, kişisel verisini işlediği kişilere hesap verebilmesi, kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve bu konuda bir kültür ve farkındalık oluşmasının sağlanmasıdır.” şeklinde açıklanmıştır.

VERBİS’e kayıt yaptıran ve kayıt zorunluluğundan istisna olan herkes sicilin dışında da 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında sorumludurlar. Bu sebeple kaydın gerçekleştirilmesi dışında alınması zorunlu olan bazı yasal tedbirlerin tüm gerçek ve tüzel kişiler tarafından da alınması gerekmektedir.

Tüm veri sorumluları ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sorumlu oldukları gibi 2018’de Avrupa Birliği’nde yürürlüğe giren GDPR (Global Data Protection Regulation – Global Veri Koruma Yönetmeliği) anlamında da sorumludurlar. GDPR ile Avrupa Birliği vatandaşlarının tüm dünyada işlenen kişisel verileri ile ilgili işlem yapılması ve para cezalarına hükmedilmesi mümkündür. Ülkemizde birden fazla vatandaşlık taşıyan vatandaşlarımız olduğu gibi yalnızca AB vatandaşı olmasına rağmen çeşitli sebeplerle ülkemizde bulunan kişilerin özel kişisel verilerinin işlenmesi mümkündür. Bu sebeple sağlık verisi işleyen tüm gerçek ve tüzel kişilerin hem ulusal hem de global önlemler almaları gerekmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanununun Kabahatler başlıklı 18. Maddesinde kanunun ihlali durumunda verilecek idari cezalar düzenlenmiştir.

Kabahatler

“Madde 18 – (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.”

Veri güvenliği konusunda alınacak tedbirlerde verilerin saklanması ve imhası, verilerin saklanma amacı, verilere erişilebilirlik, verilerin aktarımı, verilerin saklanma süreleri ve süre sonunda imha etme biçimleri, kişilerin açık rızası gibi hazırlanacak analiz ve envanterler veri sorumluları tarafından mevzuata uygun şekilde hazırlanmak ve düzenlenmek zorundadır.

Kanunun 12 nci maddesinin (1) numaralı fıkrası,

“Veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile veri sorumlularını büyük bir sorumluluk altına almıştır.

Kişisel veri kimliği belirli ya da belirlenebilen gerçek kişiye ilişkin her türlü bilgi demektir. Kişilere ait kilo-boy bilgileri, yaşları ve hatta ayakkabı numaraları bile kişisel veridir. 31.03.2021 tarihine kadar VERBİS kaydının yapılması zorunludur ancak bu yükümlülük yerine getirildikten sonra da yasanın gereği devam eden sorumlulukların düzenli periyotlar halinde analizinin sağlanması, raporlanması ve varsa değişikliklerin sicile bildirilmesi gerekmektedir. Dolayısıyla sağlık verisi işleyen tüm gerçek ve tüzel kişiler için başlayan bu yeni süreç meslek ve iş hayatı devam ettiği sürece devam edecek bir sorumluluktur.