Özel Muayenehane ve Polikliniklerin Yükümlülükleri Nelerdir?
1. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Yükümlülüğü
Kişisel veri işleme faaliyetlerini Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun olarak sürdürmekle yükümlü olan özel muayenehane ve poliklinikler, kişilerin özel nitelikli kişisel veri kategorisinde yer alan sağlık verilerini topladıkları için çalışan sayısına ve yıllık mali bilançosuna bakılmaksızın, en geç 31 Aralık 2021 tarihine kadar VERBİS`e kayıt olmak zorundadır.
VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen özel muayenehane ve poliklinikler için 39.337 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
2. Aydınlatma Yükümlülüğü
Gerçek kişilerin kişisel verilerini işleyen veri sorumluları, ilgili kişileri veri işleme faaliyetlerine ilişkin olarak bilgilendirmekle yükümlüdür.
Bir özel muayenehane ve poliklinik için ilgili kişiler, doktorlar, hemşireler, destek personeli gibi çalışan kişiler olabileceği veya tedarikçiler ve muayene/tedavi için gelen kişiler gibi hizmet alınan ve verilen gerçek kişiler olabilir.
Aydınlatma yükümlülüğü, kişi grupları ve kişisel veri işlenen süreçler özelinde oluşturulan aydınlatma metinleri aracılığıyla yerine getirilmektedir. Kişisel Verilerin Korunması Uyum Projesi kapsamında özel muayenehaneler ve polikliniklerin süreçleri ayrıntılı bir şekilde analiz edilerek hangi kişi grubunun hangi kanallar aracılığı ile aydınlatılacağı doğru bir şekilde tespit edilmelidir.
Aydınlatma yükümlülüğünü yerine getirmeyen özel muayenehane ve poliklinikler için 9.834 Türk Lirasından 196.686 Türk Lirasına kadar idari para cezası öngörülmektedir.
3. Mevzuat ve Kurul Kararları Gereği Hazırlanması Zorunlu Olan Belgelerin Hazırlanması
Özel muayenehaneler ve poliklinikler tarafından, kişisel verilerin hangi süreçlerde, hangi hukuki sebebe dayanılarak, hangi amaçla ve ne kadar süreyle işlendiği gibi birçok hususun detaylı olarak ele alındığı “Veri İşleme Envanterinin” hazırlanması zorunludur.
Özel muayenehaneler ve poliklinikler tarafından, kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürlerin belirlenip hazırlanması ve çalışma ve işleyişine uygun şekilde entegre edilmesi ile bu doğrultuda idari ve teknik tedbirlerin alınması gerekmektedir.
Bunların yanı sıra özel muayenehaneler ve poliklinikler tarafından, kişisel veri işleme envanteri doğrultusunda gizlilik sözleşmeleri, taahhütnameler, aydınlatma metinleri, açık rıza metinleri, iç denetim formu, veri imha tutanağı vb. dokümanlar hazırlanmalı, iş başvuru formu, iş sözleşmesi, tedarikçi sözleşmesi gibi dokümanlar incelenip revize edilmelidir.
4. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Bununla birlikte, Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere ilişkin 31 Ocak 2018 Tarihli ve 2018/10 Sayılı” kararı kapsamında, çalışanların erişim yetkilerinin düzenlenmesi ve farkındalığının arttırılması, çalışanların eğitilmesi, özel nitelikli kişisel verilerin işlendiği ve muhafaza edildiği ortamlarda elektronik ve fiziki önlemlerin alınması, özel nitelikli kişisel verilerin aktarılması durumunda aktarım kanalı için öngörülen önlemlerin alınması dâhil tüm tedbirlerin gözden geçirilmesi gerekir.
Bu kapsamda özel muayenehane ve polikliniklerin;
a. Yükümlülüklerini yerine getirmek için gerekli özeni göstermesi,
b. Farkındalığı arttırmak için personeline düzenli eğitimler vermesi,
c. Kullanılan sistemlerde eczane personelinin yetkilerini doğru bir şekilde ve gerekli olan süre boyunca tanımlaması,
ç. Elektronik ve fiziki ortamlarda muhafaza edilen bilgi, belgelere ilişkin, şartların gerektirdiği güvenlik önlemlerini alması,
d. Hasta verilerinin lokale indirilmesini sağlayan programların tercih edilmesi ve veri muhafazasında gerekli tedbirleri alması gerekmektedir.
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen özel hastaneler için 29.503 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
5. Kişisel Verileri Koruma Kurulu (Kurul) Kararlarının Yerine Getirilmesi
Kurul, şikâyet ve ihbar üzerine veya re’sen veri sorumlularının veri işleme faaliyetlerine ilişkin inceleme başlatabilir. Bir ihlalin varlığını tespit etmesi halinde, veri sorumlularınca bu ihlalin giderilmesine karar vererek durumu ilgililere tebliğ eder. Bu kapsamda bir kararı tebliğ alan veri sorumlusu, tespit edilen ihlale ilişkin Kurul kararının gereğini tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirmek zorundadır.
Kurul kararlarını yerine getirmeyen özel muayenehane ve poliklinikler için 49.172 Türk Lirasından 1.966.862 Türk Lirasına kadar idari para cezası öngörülmektedir.
6. Veri İşleme Faaliyetlerinin Genel İlkelere Uygun Olarak Gerçekleştirilmesi
Veri sorumluları, tüm veri işleme faaliyetlerinde Kanun’un 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeleri esas almalı ve veri işleme faaliyetlerini bu ilkelere uygun olarak gerçekleştirmelidir.
Bahse konu ilkeler aşağıdaki gibidir:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri işleme faaliyetlerinin Kanun’da belirtilen temel ilkelere uygun gerçekleştirildiğinin tespiti, veri işleme faaliyetlerinin doğru şekilde analiziyle mümkündür.
Veri işleme faaliyetlerinin tespiti doğrultusunda oluşturulan ve VERBİS kayıt yükümlüsü olan veri sorumlularının bulundurması gereken kişisel veri envanteri üzerinde, kişisel verilerin hangi süreçlerde, hangi hukuki nedene dayanarak, hangi amaçlarla ve ne kadar sürelerle işlendiği gibi pek çok bilgiye yer verilmektedir.
Kanun’a uyum projeleri kapsamında, veri işleme faaliyetlerinin analizi sırasında tespit edilen amacı aşar nitelikteki veri işleme faaliyetlerinin durdurulması ve Kanun’a uygun hale getirilmesi için çalışmalar yapılarak, veri sorumlularının veri işleme faaliyetlerinde temel ilkeleri özümsemesi için gerekli farkındalık çalışmaları gerçekleştirilmelidir.
7. İlgili Kişilerin Başvurularının Cevaplanması Yükümlülüğü
Verisi işlenen kişiler Kanun’un 11. maddesinde sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlularına iletebilirler.
Veri sorumluları kendisine başvuru yapan ilgili kişinin taleplerini kabul edebilir veya gerekçesini açıklayarak reddedebilir. İki halde de veri sorumlusunun ilgili kişiye başvurunun tebliği tarihinden itibaren 30 gün içerisinde bir cevap vermesi gerekir.
İlgili kişi,
a. Veri sorumlusunun başvuruyu reddetmesi halinde, ret tarihinden itibaren 30 gün içinde,
b. Veri sorumlusunun cevabını yetersiz bulması halinde, cevap tarihinden itibaren 30 gün içinde,
c. Veri sorumlusunun başvuruya cevap vermemesi halinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.
Bu kapsamda, özel muayenehane ve polikliniklerin kendilerine gelen talepleri doğru bir şekilde değerlendirmesi, usulüne uygun olarak yapılan başvurulara süresinde cevap vermesi gerekmektedir.
Özel Muayenehane ve Polikliniklerin yerine getirmesi gereken temel esaslar yanında, dikkat edilmesi gereken ayrıntılara ilişkin bazı önemli örnekler şunlardır:
a. Özel muayenehane ve polikliniklerde gebelik testi ve kan tahlili yapılıyor, film, röntgen, MR vb. çekiliyorsa, bu, kişilerin sağlığına ve cinsel hayatına ilişkin verileri ile biyometrik ve genetik verilerinin elde edilip işlendiği anlamına gelmektedir. Söz konusu verilerin elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresinin belirlenmesi ve kullanılmasının engellenmesi gibi faaliyetlerin tamamında Kanun’da yazılan hususlara riayet edilmesi zorunludur.
b. Özel muayenehane ve polikliniklerde güvenlik kamerası varsa, bu kamera kaydında hangi kişinin kayıt yaptırdığı ve hangi muayene ve tedavi hizmetini aldığı görülebileceğinden, güvenlik kamera kayıtları da özel nitelikli kişisel veri içermektedir. Bu nedenle, güvenlik kamera kayıtlarının elde edilmesi, depolanması, muhafazası, 3. kişilerle paylaşılması, saklanma süresinin belirlenmesi ve kullanılmasının engellenmesi gibi faaliyetlerde de, özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde dikkat edilmesi gereken hususlara dikkat edilmesi zorunludur.
Sonuç olarak, özel muayenehane ve polikliniklerin KVKK uyumu kapsamında, özel nitelikli kişisel verilerin işlenmesi ve aktarılması işlemlerinde, mevzuatın ve Kişisel Verileri Koruma Kurulu’nun kararlarında sayılan yükümlülüklerin yerine getirilebilmesi için öncelikle faaliyetlerinin doğru bir şekilde analiz edilmesi, sonrasında bu kapsamda alınması gereken teknik ve idari tedbirlerin belirlenmesi ve veri envanteri çıkarılarak VERBİS kaydının yapılması gerekmektedir.
Özel muayenehane ve poliklinikler tarafından, açıklanan yükümlülüklerin yerine getirilmemesi halinde, sorumlular hakkında yukarıda belirtilen yaptırımların uygulanacağı unutulmamalıdır.
VEKA Bilişim Yazılım Danışmanlık olarak, öncelikli olarak özel muayenehane ve polikliniğinizin KVKK uyumunun sağlanması ve VERBİS kaydının yapılması, sonrasında ihtiyaç duyulan her alanda danışmanlık hizmeti verilmesi konularında, uzman kadromuzla hizmetinizdeyiz.