24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) amacı kişilerin özel hayatının gizliliği başta olmak üzere temel hak ve özgürlüklerinin korunmasıdır. Kanun, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve bu yükümlülükleri yerine getirirken uyacakları usul ve esasları ortaya koymaktadır.
Kişisel veri Kanun’da “kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanırken, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” olarak belirlenmiş ve geniş anlamda yasal koruma alanına alınmıştır.
Kişisel verilerin işlenmesi kavramı ise “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlar bölümünde yer almaktadır.
Kanun kapsamında, kişisel verileri işleyen gerçek ve tüzel kişilerin uyması gereken çok sayıda kural belirlenmiştir. Muayenehanede çalışan hekimler ve diş hekimleri de Kanun kapsamında yer almaktadırlar.
Hekimlerin Kanun’da belirtilen idari, teknik ve hukukî sorumluluklarını tam olarak yerine getirmesi ve 31.03.2021 tarihine kadar Veri Sorumluları Siciline (VERBİS) kayıt olmaları gerekmektedir. Kanun aksi durumda yüksek miktarlı idari para cezaları öngörmektedir.
Kanun çerçevesinde kendi muayenehanesinde çalışan hekim veri sorumlusu olarak kabul edilecektir. Veri sorumlusu sıfatını hekim çalışanına devredemez. Bir başka anlatımla veri sorumluluğu hekime sıkı sıkıya bağlı bir yükümlülük olarak karşımıza çıkmaktadır.
Kanun kapsamında diğer önemli bir kavram ise açık rıza kavramıdır. Bu konuda sıkça yapılan hata ise hastadan “Ben Doktor…..’un kişisel verilerime ulaşmasına, bu verileri işlemesine, paylaşmasına onay veriyorum, açık rızam vardır” şeklinde bir belge alınmasıdır. Kurum bu şekilde düzenlenmiş belgeleri geçerli belge olarak kabul etmemektedir. Kurum, aydınlatma belgesinde hastaya şu hususların anlatıldığını görmek istemektedir: İşlenecek olan kişisel veri, bu verinin ne şekilde, hangi şartlarda işleneceği ve paylaşılacağı, silineceği ve yok edileceği aşamaların süreleri, hastanın yasal hakları. Hekim, hasta ilk kez muayenehaneye geldiğinde hastaya okuması, anlaması ve imzalaması için gereken belgeleri hazır bulundurmalı, belgenin altına hasta el yazısı ile adını soyadını ve “okudum, anladım” şeklinde bir onamı yazarak imzasını atmalıdır. Bu belge hastanın dosyasında saklanacaktır.
Bunun yanında hekim tüm muayenehanesini ve çalışma şartlarını Kanun’un aradığı şartlar çerçevesinde gözden geçirmelidir. Muayenehanede çalışan kişiler ile kapsamlı olarak gizlilik sözlemleri yapılmalı, çalışanların Kanun kapsamında eğitim alması sağlanmalı, eğitim aldıklarına ilişkin imzalarını içeren belge alınarak işyeri dosyalarına konmalıdır. Muayenehanede kişisel veriler elektronik ortamda tutuluyorsa veri koruma programları satın alınmalı, bilgisayarların şifrelendirilmesi yoluna gidilmeli, dışarıdan elektronik ağa erişim engellenmeli ve belgelendirilmelidir. Eğer dosyalar fiziki olarak tutuluyorsa kilitli dolaplarda muhafaza edilmelidir. Muayenehanede kamera kaydı alınıyorsa, buna ilişkin gerekli sayıda tabela görünecek şekilde muayenehaneye asılmalıdır.
Muayenehanenin veri sorumlusu olarak hekim bu konuda Kişisel Veri Saklama - İşleme ve İmha Politikalarını ve İlkelerini belirlemeli, yazılı hale getirmeli ve işyeri dosyasında bunu saklamalıdır. Yetki Matrisi oluşturulmalı ve yetki kontrol listeleri hazırlanmalıdır.
Bu konuda bir başka önemli adım ise Kişisel Veri İşleme Envanterinin hazırlanmasıdır. Envanter hazırlarken süreç veya faaliyet bazında kişisel verilerin tespiti, tespit edilen kişisel verilerin niteliklerinin belirlenmesi, işlenen kişisel verinin hukukî sebebinin tespiti, veri konusu kişi grubunun belirlenmesi, işlenen kişisel verinin saklama süresinin belirlenmesi, işlenen kişisel verilerin aktarıldığı alıcıların belirlenmesi, yabancı ülkelere aktarılan kişisel verilerin belirlenmesi ve işlenen kişisel veriler için alınan teknik ve idari tedbirlerin belirlenmesi gerekmektedir.
Tüm bunların yanında hekimlerin VERBİS kayıtlarını 31.03.2021 tarihine kadar gerçekleştirilmesi yasal zorunluluktur.
Yasal zorunluluklara uyulmaması Kanun’da idari para cezası yaptırımlarına tabi tutulmuştur. 2021 yılı idari para cezaları şu şekildedir:
-
Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834,00 Türk lirasından 196.686,00 Türk lirası.
-
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503,00 Türk lirasından 1.966.862,00 Türk lirası.
-
Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172,00 Türk lirasından 1.966.862,00 Türk lirası.
-
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.337,00 Türk lirasından 1.966.862,00 Türk lirası.