Diş Hekimi Muayenehaneleri / Ağız ve Diş Sağlığı Polikliniklerinin yükümlülükleri nelerdir?
1. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Yükümlülüğü
Kişisel veri işleme faaliyetlerini Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun olarak sürdürmekle yükümlü olan diş hekimi muayenehaneleri ile ağız ve diş sağlığı polikliniklerinin, kişilerin özel nitelikli kişisel veri kategorisinde yer alan sağlık verilerini topladıkları için çalışan sayısına ve yıllık mali bilançosuna bakılmaksızın, en geç 31 Aralık 2021 tarihine kadar VERBİS`e kayıt olmak zorundadır.
VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen muayenehane ve poliklinikler için 39.337 Türk Lirasından 1.966.862 Türk lirasına kadar idari para cezası öngörülmektedir.
2. Aydınlatma Yükümlülüğü
Gerçek kişilerin kişisel verilerini işleyen veri sorumluları, ilgili kişileri veri işleme faaliyetlerine ilişkin olarak bilgilendirmekle yükümlüdür.
Bir diş hekimi muayenehanesi / ağız ve diş sağlığı polikliniği için ilgili kişiler; hemşire, destek personeli gibi çalışan grubuna dâhil kişiler olabileceği gibi, tedarikçiler ve hastalar gibi, hizmet alınan ve verilen gerçek kişiler de olabilecektir.
Aydınlatma yükümlülüğü, kişi grupları ve kişisel veri işlenen süreçler özelinde oluşturulan aydınlatma metinleri aracılığıyla yerine getirilmektedir. Kişisel Verilerin Korunması Uyum Projesi kapsamında, muayenehane ve ağız ve diş sağlığı polikliniklerinin süreçleri ayrıntılı bir şekilde analiz edilerek hangi kişi grubunun hangi kanallar aracılığı ile aydınlatılacağı doğru bir şekilde tespit edilmelidir.
Aydınlatma yükümlülüğünü yerine getirmeyen muayenehane ve poliklinikler için 9.834 Türk lirasından 196.686 Türk lirasına kadar idari para cezası öngörülmektedir.
3. Mevzuat ve Kurul Kararları Gereği Hazırlanması Zorunlu Olan Belgelerin Hazırlanması
Diş hekimi muayenehaneleri / ağız ve diş sağlığı poliklinikleri tarafından, kişisel verilerin hangi süreçlerde, hangi hukuki sebebe dayanılarak, hangi amaçla ve ne kadar süreyle işlendiği gibi birçok hususun detaylı olarak ele alındığı “Veri İşleme Envanterinin” hazırlanması zorunludur.
Diş hekimi muayenehaneleri / ağız ve diş sağlığı poliklinikleri tarafından, kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürlerin belirlenip hazırlanması, muayenehanenin / polikliniğin çalışma ve işleyişine uygun şekilde entegre edilmesi ile bu doğrultuda idari ve teknik tedbirlerin alınması gerekmektedir.
Bunların yanı sıra muayenehaneler / ağız ve diş sağlığı poliklinikleri tarafından, kişisel veri işleme envanteri doğrultusunda gizlilik sözleşmeleri, taahhütnameler, aydınlatma metinleri, açık rıza metinleri, iç denetim formu, veri imha tutanağı vb. dokümanlar hazırlanmalı, iş başvuru formu, iş sözleşmesi, tedarikçi sözleşmesi gibi dokümanlar incelenip revize edilmelidir.
4. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Bununla birlikte, Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere ilişkin 31 Ocak 2018 Tarihli ve 2018/10 Sayılı” kararı kapsamında, çalışanların erişim yetkilerinin düzenlenmesi ve farkındalığının arttırılması, çalışanların eğitilmesi, özel nitelikli kişisel verilerin işlendiği ve muhafaza edildiği ortamlarda elektronik ve fiziki önlemlerin alınması, özel nitelikli kişisel verilerin aktarılması durumunda aktarım kanalı için öngörülen önlemlerin alınması dâhil tüm tedbirlerin gözden geçirilmesi gerekir.
Bu kapsamda muayenehane ile ağız ve diş sağlığı polikliniklerinin;
a. Yükümlülüklerini yerine getirmek için gerekli özeni göstermesi,
b. Farkındalığı arttırmak için personeline düzenli eğitimler vermesi,
c. Kullanılan sistemlerde muayenehane/poliklinik personelinin yetkilerini doğru bir şekilde ve gerekli olan süre boyunca tanımlaması,
ç. Muayenehane/poliklinik yönetim bilgi sistemi, hasta kayıt sistemi gibi elektronik ve fiziki ortamlarda muhafaza edilen bilgi, belgelere ilişkin, şartların gerektirdiği güvenlik önlemlerini alması,
d. Hasta verilerinin lokale indirilmesini sağlayan programların tercih edilmesi ve veri muhafazasında gerekli tedbirleri alması gerekmektedir.
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen diş hekimi muayenehaneleri ile ağız ve diş sağlığı poliklinikleri için 29.503 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
5. Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi
Kurul, şikâyet ve ihbar üzerine veya re’sen veri sorumlularının veri işleme faaliyetlerine ilişkin inceleme başlatabilir. Bir ihlalin varlığını tespit etmesi halinde, veri sorumlularınca bu ihlalin giderilmesine karar vererek durumu ilgililere tebliğ eder. Bu kapsamda bir kararı tebliğ alan veri sorumlusu, tespit edilen ihlale ilişkin Kurul kararının gereğini tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirmek zorundadır.
Kurul kararlarını yerine getirmeyen diş hekimi muayenehaneleri / ağız ve diş sağlığı poliklinikleri için 49.172 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
6. Veri İşleme Faaliyetlerinin Genel İlkelere Uygun Olarak Gerçekleştirilmesi
Veri sorumluları, tüm veri işleme faaliyetlerinde Kanun’un 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeleri esas almalı ve veri işleme faaliyetlerini bu ilkelere uygun olarak gerçekleştirmelidir.
Bahse konu ilkeler aşağıdaki gibidir:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri işleme faaliyetlerinin Kanun’da belirtilen temel ilkelere uygun gerçekleştirildiğinin tespiti, veri işleme faaliyetlerinin doğru şekilde analiziyle mümkündür.
Veri işleme faaliyetlerinin tespiti doğrultusunda oluşturulan ve VERBİS kayıt yükümlüsü olan veri sorumlularının bulundurması gereken kişisel veri envanteri üzerinde, kişisel verilerin hangi süreçlerde, hangi hukuki nedene dayanarak, hangi amaçlarla ve ne kadar sürelerle işlendiği gibi pek çok bilgiye yer verilmektedir.
Kanun’a uyum projeleri kapsamında, veri işleme faaliyetlerinin analizi sırasında tespit edilen amacı aşar nitelikteki veri işleme faaliyetlerinin durdurulması ve Kanun’a uygun hale getirilmesi için çalışmalar yapılarak, veri sorumlularının veri işleme faaliyetlerinde temel ilkeleri özümsemesi için gerekli farkındalık çalışmaları gerçekleştirilmelidir.
7. İlgili Kişilerin Başvurularının Cevaplanması Yükümlülüğü
Verisi işlenen kişiler Kanun’un 11. maddesinde sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlularına iletebilirler.
Veri sorumluları kendisine başvuru yapan ilgili kişinin taleplerini kabul edebilir veya gerekçesini açıklayarak reddedebilir. İki halde de veri sorumlusunun ilgili kişiye başvurunun tebliği tarihinden itibaren 30 gün içerisinde bir cevap vermesi gerekir.
İlgili kişi,
a. Veri sorumlusunun başvuruyu reddetmesi halinde, ret tarihinden itibaren 30 gün içinde,
b. Veri sorumlusunun cevabını yetersiz bulması halinde, cevap tarihinden itibaren 30 gün içinde,
c. Veri sorumlusunun başvuruya cevap vermemesi halinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.
Bu kapsamda, diş hekimi muayenehaneleri / ağız ve diş sağlığı polikliniklerinin kendilerine gelen talepleri doğru bir şekilde değerlendirmesi, usulüne uygun olarak yapılan başvurulara süresinde cevap vermesi gerekmektedir.
Diş hekimi muayenehaneleri / ağız ve diş sağlığı polikliniklerinin yerine getirmesi gereken temel esaslar yanında, dikkat edilmesi gereken ayrıntılara ilişkin bazı önemli örnekler şunlardır:
a. Diş hekimi muayenehaneleri / ağız ve diş sağlığı polikliniklerinde kişilerin çene filmi çekiliyorsa, bu filmler kişilerin sağlığı ile ilgili verilerini ve biyometrik verilerini içerdiğinden özel nitelikli kişisel veri niteliğindedir. Söz konusu verilerin elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresinin belirlenmesi ve kullanılmasının engellenmesi gibi faaliyetlerin tamamında Kanun’da yazılan hususlara riayet edilmesi zorunludur.
b. Diş hekimi muayenehaneleri / ağız ve diş sağlığı polikliniklerinde güvenlik kamerası varsa, bu kamera kaydında hangi kişinin hangi ilacı aldığı görülebileceğinden, güvenlik kamera kayıtları da özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle, güvenlik kamera kayıtlarının elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresi ve kullanılmasının engellenmesi gibi faaliyetlerde de özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde dikkat edilmesi gereken hususlara dikkat edilmesi zorunludur.
Sonuç olarak, diş hekimi muayenehaneleri ile ağız ve diş sağlığı polikliniklerinin Kanun uyumu kapsamında, özel nitelikli kişisel verilerin işlenmesi ve aktarılması işlemlerinde, mevzuat ve Kurul kararlarında sayılan yükümlülüklerin yerine getirilebilmesi için öncelikle muayenehane/poliklinik faaliyetlerinin doğru bir şekilde analiz edilmesi, sonrasında bu kapsamda alınması gereken teknik ve idari tedbirlerin belirlenmesi ve veri envanteri çıkarılarak VERBİS kaydının yapılması gerekmektedir.
Diş hekimi muayenehaneleri / ağız ve diş sağlığı poliklinikleri tarafından, yukarıda izah edilen yükümlülüklerin yerine getirilmemesi halinde, sorumlular hakkında yukarıda belirtilen yaptırımların uygulanacağı unutulmamalıdır. VEKA Bilişim Yazılım Danışmanlık olarak, öncelikli olarak muayenehane ya da polikliniğinizin KVKK uyumunun sağlanması ve VERBİS kaydının yapılması, sonrasında ihtiyaç duyulan her alanda danışmanlık hizmeti verilmesi konularında uzman kadromuzla hizmetinizdeyiz.