A. VERBİS Nedir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 16. maddesi uyarınca, kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü vardır. Kanun’un Geçici 1. maddesine göre veri sorumlularının Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilan edilen süre içerisinde VERBİS’e kayıt olmaları zorunludur.
KVKK’nın geçici 1. maddesi kapsamında Kurul tarafından alınan 2019/387 sayılı Kararda:
1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularının 30 Haziran 2020,
2. Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının 30 Haziran 2020,
3. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi veri sorumlularının 31 Aralık 2021,
4. Kamu kurum ve kuruluşu veri sorumlularının 31 Aralık 2020 tarihine kadar VERBİS’e kayıt olmaları gerektiği açıkça belirtilmiştir.
Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından 16 Ocak 2020 tarihinde yapılan açıklamada ise:
1. Sağlık Bakanlığı’nın merkez teşkilatı ve taşra teşkilatı,
2. Sağlık Bakanlığı bünyelerinde faaliyet göstermekte olan:
a. Kamu hastaneleri,
b. Aile hekimlikleri,
c. Halk sağlığı ve toplum sağlığı merkezleri,
ç. Sağlık Bakanlığı’na bağlı tüm sağlık hizmeti sunucuları bakımından Sağlık Bakanlığı’nın tek bir veri sorumlusu olarak kabul edileceği ve VERBİS’e kayıt yükümlülüğünün Bakanlık adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirileceği ifade edilmiştir. Dolayısıyla sayılan kurumların VERBİS’e kayıt yükümlülüğü bulunamamaktadır. Nitekim Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yapılan açıklama ile tüm bu kurumlar adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından VERBİS’e bildirim yapılacağı ifade edilmiş ve bunun dışında herhangi bir bildirim yapılmaması gerektiği belirtilmiştir.
Ancak, kamu ve vakıf üniversitesi hastaneleri ile her türlü özel sağlık kuruluşunun, muayenehane işleten hekimlerin VERBİS’e kayıt yükümlülüğü Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirilmeyecektir. Bu nedenle VERBİS’e kayıt işlemlerinin ilgili hastaneler, özel sağlık kuruluşları, hekimler tarafından yerine getirilmesi gerekmektedir.
Diğer yandan, sağlık verileri özel nitelikli kişisel veri olarak kabul edildiğinden Kanun’a göre bu verilerin işlenmesi, muhafazası, aktarılması ve güvenliğinin sağlanması bakımından hukuki, teknik ve idari önlemlerin alınması gerekmektedir.
B. KVKK Kapsamında Özel Hastanelerin Yükümlülükleri Nelerdir?
1. Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) Kayıt Yükümlülüğü
Özel Hastaneler, kişilerin özel nitelikli verileri arasında bulunan sağlık ve cinsel hayat ile ilgili verileri ile biyometrik ve genetik verilerini toplamakta ve işlemektedirler. Bu nedenle Özel Hastanelerden,
a. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olanların 30 Haziran 2020 tarihine kadar,
b. Yıllık çalışan sayısı 50’den ve yıllık mali bilanço toplamı 25 milyon TL’den az olanların 31 Aralık 2021 tarihine kadar VERBİS`e kayıt yaptırmaları zorunludur.
Özellikle belirtmek gerekir ki, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan özel hastanelerin VERBİS`e kaydolmaları gereken son tarih geçtiğinden, bu kuruluşlar önemli miktarlarda idari para cezası tehdidi altındadır. Bu idari para cezalarına karşı yapılan itirazları değerlendiren Sulh Ceza Hâkimlikleri, bugüne kadar yapılan itirazları büyük oranda reddetmiş ve Kurul tarafından verilen cezalar kesinleşmiştir.
VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen özel hastaneler için 39.337 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
2. Aydınlatma Yükümlülüğü
Gerçek kişilerin kişisel verilerini işleyen veri sorumluları, ilgili kişileri veri işleme faaliyetlerine ilişkin olarak bilgilendirmekle yükümlüdür.
Özel hastane için ilgili kişiler; doktor, hemşire veya diğer hastane personeli olabileceği gibi, tedarikçi veya hasta gibi hizmet alınan ve verilen kişi grupları da olabilecektir.
Bu kapsamda özel hastanenin verilerini elde ettiği kişi grupları ve kişisel veri işleme süreçleri ayrıntılı incelenerek, hangi kişi grubunun hangi kanallar aracılığı ile aydınlatılacağı doğru bir şekilde tespit edilmeli, sonrasında, yapılan tespite uygun aydınlatma metinleri oluşturulmalıdır.
Aydınlatma yükümlülüğünü yerine getirmeyen özel hastaneler için 9.834 Türk Lirasından 196.686 Türk Lirasına kadar idari para cezası öngörülmektedir.
3. Mevzuat ve Kurul Kararları Gereği Zorunlu Olan Belgelerin Hazırlanması
Kanun’a göre özel hastaneler tarafından öncelikli olarak, kişisel verilerin hangi süreçlerde, hangi hukuki sebebe dayanılarak, hangi amaçlarla ve ne kadar sürelerle işlendiği vb. birçok hususun detaylı olarak ele alındığı Veri İşleme Envanterinin hazırlanması gerekir. Sonrasında kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürlerin belirlenip hazırlanması ve hastanenin çalışma ve işleyişine uygun şekilde entegre edilmesi gerekmektedir.
Ayrıca özel hastaneler kişisel veri işleme envanteri doğrultusunda gizlilik sözleşmeleri, taahhütnameler, aydınlatma metinleri, açık rıza metinleri, iç denetim formu, veri imha tutanağı vb. dokümanları hazırlamalı ve iş başvuru formu, iş sözleşmesi, tedarikçi sözleşmesi gibi mevcut dokümanları inceleyip revize etmelidir.
4. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Bununla birlikte, Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere ilişkin 31 Ocak 2018 Tarihli ve 2018/10 Sayılı” kararı kapsamında, çalışanların erişim yetkilerinin düzenlenmesi ve farkındalığının arttırılması, çalışanların eğitilmesi, özel nitelikli kişisel verilerin işlendiği ve muhafaza edildiği ortamlarda elektronik ve fiziki önlemlerin alınması, özel nitelikli kişisel verilerin aktarılması durumunda aktarım kanalı için öngörülen önlemlerin alınması dâhil tüm tedbirlerin gözden geçirilmesi gerekir.
Bu kapsamda hastanelerin;
a. Yükümlülüklerini yerine getirmek için gerekli özeni göstermesi,
b. Farkındalığı arttırmak için personeline düzenli eğitimler vermesi,
c. Kullanılan sistemlerde eczane personelinin yetkilerini doğru bir şekilde ve gerekli olan süre boyunca tanımlaması,
ç. Elektronik ve fiziki ortamlarda muhafaza edilen bilgi, belgelere ilişkin, şartların gerektirdiği güvenlik önlemlerini alması,
d. Hasta verilerinin lokale indirilmesini sağlayan programların tercih edilmesi ve veri muhafazasında gerekli tedbirleri alması gerekmektedir.
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen özel hastaneler için 29.503 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
5. Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi
Kurul, şikâyet ve ihbar üzerine veya re’sen veri sorumlularının veri işleme faaliyetlerine ilişkin inceleme başlatabilir. Bir ihlalin varlığını tespit etmesi halinde, veri sorumlularınca bu ihlalin giderilmesine karar vererek durumu ilgililere tebliğ eder. Bu kapsamda bir kararı tebliğ alan veri sorumlusu, tespit edilen ihlale ilişkin Kurul kararının gereğini tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirmek zorundadır.
Kurul kararlarını yerine getirmeyen Özel Hastaneler için 49.172 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
6. Veri İşleme Faaliyetlerinin Genel İlkelere Uygun Olarak Gerçekleştirilmesi
Veri sorumluları, tüm veri işleme faaliyetlerinde Kanun’un 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeleri esas almalı ve veri işleme faaliyetlerini bu ilkelere uygun olarak gerçekleştirmelidir.
Bahse konu ilkeler aşağıdaki gibidir:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri işleme faaliyetlerinin Kanun’da belirtilen temel ilkelere uygun gerçekleştirildiğinin tespiti, veri işleme faaliyetlerinin doğru şekilde analiziyle mümkündür.
Veri işleme faaliyetlerinin tespiti doğrultusunda oluşturulan ve VERBİS kayıt yükümlüsü olan veri sorumlularının bulundurması gereken kişisel veri envanteri üzerinde, kişisel verilerin hangi süreçlerde, hangi hukuki nedene dayanarak, hangi amaçlarla ve ne kadar sürelerle işlendiği gibi pek çok bilgiye yer verilmektedir.
Kanun’a uyum projeleri kapsamında, veri işleme faaliyetlerinin analizi sırasında tespit edilen amacı aşar nitelikteki veri işleme faaliyetlerinin durdurulması ve Kanun’a uygun hale getirilmesi için çalışmalar yapılarak, veri sorumlularının veri işleme faaliyetlerinde temel ilkeleri özümsemesi için gerekli farkındalık çalışmaları gerçekleştirilmelidir.
7. İlgili Kişilerin Başvurularının Cevaplanması Yükümlülüğü
Verisi işlenen kişiler Kanun’un 11. maddesinde sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlularına iletebilirler.
Veri sorumluları kendisine başvuru yapan ilgili kişinin taleplerini kabul edebilir veya gerekçesini açıklayarak reddedebilir. İki halde de veri sorumlusunun ilgili kişiye başvurunun tebliği tarihinden itibaren 30 gün içerisinde bir cevap vermesi gerekir.
İlgili kişi,
a. Veri sorumlusunun başvuruyu reddetmesi halinde, ret tarihinden itibaren 30 gün içinde,
b. Veri sorumlusunun cevabını yetersiz bulması halinde, cevap tarihinden itibaren 30 gün içinde,
c. Veri sorumlusunun başvuruya cevap vermemesi halinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.
Bu kapsamda, özel hastanelerin kendilerine gelen talepleri doğru bir şekilde değerlendirmesi, usulüne uygun olarak yapılan başvurulara süresinde cevap vermesi gerekmektedir.
Özel hastanelerin yerine getirmesi gereken temel esaslar yanında, dikkat edilmesi gereken ayrıntılara ilişkin bazı önemli hususlar şunlardır:
a. Özel hastanelerde gebelik testi ve kan tahlili yapılıyor, film, röntgen, MR vb. çekiliyorsa, bu, kişilerin sağlığına ve cinsel hayatına ilişkin verileri ile biyometrik ve genetik verilerinin elde edilip işlendiği anlamına gelmektedir. Söz konusu verilerin elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresinin belirlenmesi ve kullanılmasının engellenmesi gibi faaliyetlerin tamamında Kanun’da yazılan hususlara riayet edilmesi zorunludur.
b. Özel hastanelerde güvenlik kamerası varsa, bu kamera kaydında hangi kişinin kayıt yaptırdığı, hangi muayene ve tedavi hizmetini aldığı görülebileceğinden, güvenlik kamera kayıtları da özel nitelikli kişisel veri içermektedir. Bu nedenle, güvenlik kamera kayıtlarının elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresinin belirlenmesi ve kullanılmasının engellenmesi gibi faaliyetlerde de, özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde dikkat edilmesi gereken hususlara dikkat edilmesi zorunludur.
Sonuç olarak, özel hastanelerin KVKK uyumu kapsamında, özel nitelikli kişisel verilerin işlenmesi ve aktarılması işlemlerinde, mevzuatın ve Kişisel Verileri Koruma Kurulu’nun kararlarında sayılan yükümlülüklerin yerine getirilebilmesi için öncelikle faaliyetlerinin doğru bir şekilde analiz edilmesi, sonrasında bu kapsamda alınması gereken teknik ve idari tedbirlerin belirlenmesi ve veri envanteri çıkarılarak VERBİS kaydının yapılması gerekmektedir.
Özel hastaneler tarafından, tarafından açıklanan yükümlülüklerin yerine getirilmemesi halinde, sorumlular hakkında yukarıda sayılan yaptırımların uygulanacağı unutulmamalıdır.
VEKA Bilişim Yazılım Danışmanlık olarak, öncelikli olarak özel hastanenizin KVKK’ya uyumunun sağlanması ve VERBİS kaydının yapılması, sonrasında ihtiyaç duyulan her alanda danışmanlık hizmeti verilmesi konularında, uzman kadromuzla hizmetinizdeyiz.
