KVKK (KİŞİSEL VERİLEN KORUMA KANUNU) KAPSAMINDA HASTANELER VE HASTANE ÇALIŞANLARI DİKKATLİ OLMALI
KVKK kapsamında hastaneler ve çalışanlara, hastaların ve ziyaretçilerin kişisel ve sağlık verilerinin işlenmesinde büyük sorumluluk yüklenmektedir.
KVKK kapsamında ;
Genel olarak:
– Mevcut Durum Analizi
– Kişisel veri envanteri
– Kişisel veri ile ilgili süreçler
– Organizasyon yapısı
– Sözleşme envanteri
Süreçlerin Uyumlandırılması
– Kişisel verilerin sınıflandırılması
– Veri işleme süreçlerinin uyumlandırılması
– Veri aktarım süreçlerinin uyumlandırılması
– Veri imha süreçlerinin uyumlandırılması
– Sözleşmelerin güncellenmesi
– Başvuru, şikayet, itiraz süreçlerinin oluşturulması/uyumlandırılması
Veri Güvenliği
– Mantıksal güvenlik
– Fiziksel güvenlik
– Risk yönetimi
– Değişiklik yönetimi
Organizasyonel Uyum
– İrtibat kişisinin seçilmesi
– Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemleri
– İlgili görev tanımlarının oluşturulması
– Kişisel Veri Yönetimi sürecinin oluşturulması
– KVK uyum ekibi ve irtibat kişisinin eğitimi
– İç kontrol ve denetim süreçlerinin uyumlandırılması
– Kurumsal farkındalığın sağlanması ve şirket geneline eğitim
Gibi bir takım hazırlıkların ve evrakların yapılmış olması gerekmektedir.
KVKK nın uygulanmasında yaşanan sıkıntıları örneklendirmek gerekirse;
KVKK’ya özel nitelikli kişisel verilerden olan sağlık verileri ilgilisinin rızası dışında, bırakın üçüncü bir kişiyle, bir başka doktor veya hastane çalışanıyla dahi paylaşılmaması gereken verilerdir.
Herhangi bir veri ihlali nedeniyle süresinde kuruma bildirimde bulunma yükümlülükleri bulunmaktadır. Süresinde bildirimde bulunmamaya ilişkin de parasal yaptırımlar bulunmaktadır.
Kurul tarafından özel nitelikli sağlık verilerinin paylaşımı, ayrıca süresinde bildirimde bulunulmaması ile ilgili olarak aşağıda karar örneğini incelemenizi tavsiye ederim.
“*****Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,
*Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,…
**Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL…
olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,…
Karar verilmiştir.”
Diğer bir konu tedavi için gelen hastalara ve ziyaretçilerine KVKK ya uygun olacak şekilde aydınlatma metninin iletilmiş olması ve kendilerinden verilerinin işlenmesi için açık rızalarının alınması da gerekmektedir. Açık rızanın alınması tedavi nedeniyle malpraktis sorumlulukları nedeniyle hastaya veya yakınlarına imzalatılan yazılı onaylarıyla benzerlik göstermekte sorumluluktan kurtarmaya yönelik amaç taşımaktadır. Açık rıza olmaksızın hastanın verilerinin işlenmesi ve paylaşılması mümkün değildir.
Verbis kayıt yükümlülüğü ertelenmiş olsa da KVKK yükümlülükleri nedeniyle yaptırımlar uygulanmaya devam etmektedir.
KVKK uyum sürecinin uzman hukukçular ve bilişim uzmanlarıyla birlikte yürütülmesinin daha uygun olacağı konusunda kuşku yoktur.
KVKK Danışmanı AV. DOĞHAN DOĞAN