Kişisel Verilerin Korunması Kanunu Kapsamında Muayenehane Hekimlerinin Yükümlülükleri Bilgi Notu

VERBİS’e kayıt yükümlülüğü süresi, Kişisel Verileri Koruma Kurulu kararı ile, 31 Aralık 2021 tarihine kadar uzatılmıştır. 31.12.2021 tarihine kadar VERBİS kaydının yapılması gerekmektedir. Kişisel Verilerin Korunması Kanunu’ndan kaynaklı diğer yükümlülüklerin yerine getirilmesi  zorunluluğu devam etmektedir

Kişisel Verilerin Korunması Kanunu Kapsamında Muayenehane Hekimlerinin Yükümlülükleri Bilgi Notu

Kişisel Verilerin Korunması Kanunu kapsamında, kişisel veri işleyen gerçek ve tüzel kişilerin uyması gerekli birçok kural getirilmiştir. Muayenehane hekimleri, kanunun tanımı itibarıyla veri sorumlusudur.

Bu kanun kapsamında getirilen yükümlülükler çok kapsamlı olmakla birlikte getirilen yükümlülüklerden birisi de Kişisel Verileri Koruma Kurumu bünyesinde oluşturulan Veri Sorumluluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaktır. VERBİS kaydı dışında, yerine getirilmesi gereken idari, teknik ve hukuki yükümlülükler de vardır. Bu yükümlülüklerin yerine getirilmemesi halinde kanunla getirilen yaptırımlar bulunmaktadır.

Bu süreçte, meslektaşlarımızın faydalanabileceği bilgi ve belgeler aşağıda paylaşılmıştır. 

İzmir Tabip Odası Yönetim Kurulu

İzmir Tabip Odası Özel Hekimlik Komisyonu tarafından 07.01.2021 tarihinde düzenlenen toplantıya ait görüntü kayıtlarına http://www.izmirtabip.org.tr/News/4875 linkinden ulaşabilirsiniz.

Kişisel Verilerin Korunması Kanunu ve ilgili düzenlemeler çevresinde, kişisel veri, kişisel veri işleme şartları, kişisel verilerin aktarılması, yükümlülükler gibi birçok bilgiyi içeren sunuma ekte yer alan linkten ulaşabilirsiniz. Av. Mithat Kara sunumu için tıklayınız.

TTB Hukuk Bürosu’ndan Av. Mustafa Güler, “VERBİS’e Kayıt İşlemleri Ve Süreç Basamakları” konulu kılavuz hazırlamıştır.  VERBİS kaydı sırasında, yönlendirici bilgileri içeren bu kılavuzdan yararlanabilirsiniz.  VERBİS’e Kayıt İşlemleri Ve Süreç Basamakları Kılavuzu için tıklayınız


VERBİS  ile E-Nabız Uygulaması Aynı Mıdır? 

VERBİS kaydı ile E-Nabız sisteminin birbiri ile ilişkisi yoktur. VERBİS, Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlularının kayıt yaptırmak zorunda olduğu, hiçbir kişisel bilginin girilmediği bir sistemdir.

E-Nabız Uygulaması ise, Sağlık Bakanlığı tarafından oluşturulan bir bilgi işlem sistemine hasta kayıtlarının girilmesini içeren bir uygulamadır.

VERBİS’e Hasta Bilgileri Girilecek Mi?

VERBİS’e hiçbir hasta bilgisi girilmeyecektir.

E-Nabız’a Hasta Bilgilerini Girmek Zorunda Mıyım?

E-Nabız uygulamalarının hasta mahremiyetini ihlal ettiği, kişisel verilerin korunması mevzuatı çerçevesinde gerekli korumayı sağlamadığı, yasal dayanaklarının olmadığı gerekçesiyle TTB tarafından uzun yıllardır yürütülen hukuki mücadeleler sonucunda Anayasa Mahkemesi ve Danıştay tarafından, E-Nabız uygulamasına dayanak olan birçok düzenleme iptal edilmiştir.

Kişisel Sağlık Verileri Hakkında Yönetmelik’e karşı TTB ve TDB tarafından açılan dava sonucunda, Danıştay İdari Dava Daireleri Kurulu, bu yönetmeliğin dayanağı olan 1 nolu Cumhurbaşkanlığı Kararnamesinin 378.maddesinin ilgili fıkralarının Anayasa’ya aykırılığı iddiasını ciddi bularak CB Kararnamesinin iptali için Anayasa Mahkemesine başvurma kararı vermiştir. Anayasa Mahkemesi’ne başvurma kararında, kişisel sağlık verilerine ilişkin korumanın kanunla düzenlenmesi koşulunun sağlanmadığı gerekçesine yer verilmiştir.

Muayenehanelerin E-Nabız uygulaması üzerinden hasta verilerini paylaşmasını içeren Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik’in ilgili maddesi de Danıştay tarafından iptal edilmiştir.

Güncel yargı kararları ve mevzuat çerçevesinde, muayenehane hekimleri, E-Nabız sistemi üzerinden hasta verilerini göndermek zorunda değildir.

Kişisel Verilerin Korunması Mevzuatına Uyum Çerçevesinde Muayenehane Hekimlerinin Yerine Getirmesi Gerekli Temel Yükümlülükleri Nelerdir?

1-) 31.03.2021 tarihine kadar VERBİS kaydının yapılması gerekmektedir.

2-) VERBİS kaydı öncesinde, kanundan kaynaklanan yükümlülüklerinin belirlenmesi, VERBİS kaydına esas kategorik bilgilerin tespit edilmesi ve alınması gerekli önlemlerin tespiti için yapılması gerekli işlemler vardır.

3-) Kişisel veri işleme envanterinin oluşturulması gerekmektedir. Kişisel veri işleme envanteri, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında,  işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır.  Bu envarter ile aşağıda sıralanan başlıklarda bir liste oluşturulması ve alınması gerekli önlemlere ilişkin bir çerçeve çizilmesi beklenir.

- Kişisel veri işleme amaçları
- Kişisel veri işleminin hukuki sebebi
- Veri kategorisi
- Kişisel verilerin aktarıldığı alıcı grubu
- Kişisel verilerin azami saklama süresi
- Yabancı ülkelere aktarım
- Veri güvenliğine ilişkin tedbirler

Veri envanteri ile, muayenehanede işlenen kişisel verilerin neler olduğu; kimlere ait ( hasta, çalışan, hizmet alımı vb) kişisel verilerin alındığı, muayenehane toplanan kişisel verilerin hangi kişi ve kurumlara aktarıldığı, aktarımı yapılan bu verilerin hukuka uygun gerekçelerle aktarılıp aktarılmadığı tespit edilmeli.

Örneğin, bir hastanın bilgisinin sigorta şirketi ile paylaşılması kişisel veri işleme ve aktarma faaliyetidir. Muayenehanede çalışan sekreter veya hemşirenin bilgisinin SGK veya mali müşavir ile paylaşılması, kişisel veri işleme ve aktarma faaliyetidir.

4-) Kişisel verilerin işlenmesi ve aktarılması kişinin açık rızasına bağlıdır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.

Bu nedenle, aydınlatma ve rıza metinleri hazırlanmalı ve verisi işlenen kişilerin imzalarının alınması gereklidir.

Bu konuda, aşağıda paylaştığımız metinden faydalanabilirsiniz.

“Tarafınıza sunulacak sağlık hizmeti için gerekli olan ve tarafınızdan paylaşılan verileriniz ile hizmetin sunumunda elde edilen verilerinizi de içeren kişisel verileriniz; tarafınıza sunulabilecek sağlık hizmetinin saptanması, sağlık hizmetinin sunulması, sonuçlarının değerlendirilmesi amacıyla işlenecektir.

Bütün bu veriler 1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun, 3359 sayılı Sağlık Hizmetleri Temel Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayalı olarak toplanmaktadır.

Bu veriler, tarafınızdan bildirilen ilgili kurum, kuruluş veya sigorta firmasıyla sağlık hizmetinin denetim ve finansmanı için; yasal zorunluluk olması halinde ilgili kamu kurum ve kuruluşlarıyla kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla paylaşılabilecektir.

Tarafımıza başvurarak, toplanan kişisel verileriniz ile bunların işleme ve aktarımlarını öğrenebilir, yanlış olduğunu düşündüğünüz verilerin değiştirilmesini veya silinmesini talep edebilirsiniz. Talebiniz, tarafımızdan en geç otuz gün içinde değerlendirilerek sonucu tarafınıza bildirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; cevabımızı öğrendiğiniz tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirsiniz.”

Yukarıda belirtilen ve tarafıma sözlü olarak da ayrıntılarıyla açıklanan sağlık hizmetiyle ilgili olarak kişisel verilerimin işleneceğini anladım ve muvafakat ediyorum. …/…/20…

Ad-Soyad-TCKN-İmza

5-) Kişisel verilerin saklandığı bilgi işlem sistemlerinin dışarıdan müdahalelere karşı korumalı hale getirilmesi, bu konuda teknik önlemlerin alınması, yetkisiz kişilerin girişlerinin önlenmesi, kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişiminin engellenmesi için gerekli teknik ve fiziki önlemler alınmalıdır.

Bu önlemlerin belirlenmesinde, Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu kararında yer verilen teknik ve fiziki kriterler dikkate alınmalıdır. 

6-) Muayenehanede görevli hemşire, sekreter vb. çalışanların özlük dosyalarının ve sözleşmelerinin gözden geçirilmesi, kişisel verilerin korunması ile ilgili mevzuat çerçevesinde çalışanların dikkat etmesi gerekli noktalarda çalışanlara eğitim/bilgi verilmesi gerekmektedir.

7-) Hekime ait WEB sitesi olması halinde, WEB sitesinin mevzuata uygunluğunun denetlenmesi, çerez ve gizlilik politikası hazırlanması gereklidir. Sosyal medya hesaplarının mevzuatına uygun hale getirilmesi sağlanmalıdır.

8-) Kişisel verilerin saklanmasına ve imha edilmesine ilişkin kişisel veri saklama ve imha politikası hazırlanmalıdır. 

9-) Muayenehanelerin giriş ve bekleme alanlarında kameralar ile kayıt alınması halinde bu konuya bilgilendirme metinleri ve tabelalar hazırlanmalıdır. 

10-) Kişisel verisi işlenen kişilerin, kişisel verileri ile ilgili başvurularını (silme, düzeltme, aktarma vb.) almak ve bu başvuruları yanıtlamak için gerekli alt yapıyı kurmalıdır. 

Kişisel Verilerin Korunması Kanunu’na Aykırı Hareket Etmenin Yaptırımı Nedir?

Kanundan kaynaklanan yükümlülükleri yerine getirmeme halinde uygulanabilecek ceza miktarları 2021 yılı itibarıyla şu şekildedir.

-VERBİS Kayıt ve Bildirim Yükümlülüğü’nün Yerine Getirilmemesi; 39.337,22 TL- 1.966.861,00-TL

-Aydınlatma Yükümlülüğünün Yerine Getirilmemesi; 9.834,00 TL– 196.686,00-TL

-Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi, 29.503,00 TL– 1.966.861,00-TL

-Kişisel Veri Koruma Kurulu Kararlarının Yerine Getirilmemesi; 49.171.53 TL-1.966.861,00-TL