Dijitalleşmenin ve veri paylaşımının artması sonucunda kişisel verilerin korunması ayrı bir önem kazanmıştır. Nitekim söz konusu artışlar ile gerçek kişilerin mahremiyetlerinin korunması ve güvenliğinin sağlanması için birtakım kuralların geliştirilmesi zorunluluk olmuştur. İşte geliştirilen bu kurallar bütünü bizleri kişisel verilerin korunması alanına ulaştırmaktadır.
Malumunuz olduğu üzere ülkemizde de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 07.04.2016 tarih ve 29766 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. KVKK kapsamında veri sorumlularına aydınlatma yükümlüğünden veri güvenliğine, Veri Sorumluları Sicili (“Sicil”)’ne kaydolunmasına kadar birden fazla yükümlülükler atfedilmiştir. İşbu yazının konusunu veri sorumlarının Sicil’e kayıt yükümlülüğünün eczaneler özelinde incelenmesi oluşturmaktadır. Bu konu ekseninde KVKK uyum sürecine ve sağlanacak uyumun önemine, sektör özelinde yaşanan veri ihlali bildirimi ışığında veri güvenliği yükümlülüklerine de değinilecektir. Bunların öncesinde konuya ilişkin farkındalık yaratılması amacıyla ilgili temel tanımlamalara da yer verilecektir.
KİŞİSEL VERİ NEDİR?
Kişisel veri, 6698 sayılı Kanun’un 3. maddesinde düzenlenmiş olup “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.” olarak tanımlanmaktadır. Bu tanım ışığında ad-soyad, T.C. Kimlik Numarası, e-posta, adres, doğum tarihi, doğum yeri, fotoğraf, kredi kartı numarası, cep telefonu numarası, araç plakası kişisel verilere örnek gösterilebilecek bilgilerden bazılarıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?
Özel nitelikli kişisel veri, 6698 sayılı Kanun’un 6. maddesinde düzenlenmiş olup “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” hükmü uyarınca özel nitelikli verilerin kapsamı belirlenmiştir. Özel nitelikli kişisel veriler, 6698 sayılı Kanun m.3’te yer alan kişisel veri tanımından farklı olarak sınırlı sayıda belirlenmiştir. Özel nitelikli kişisel verilerin sınırlı sayıda sayılmasının temelini, işbu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilecek olmaları oluşturmaktadır. Kanun koyucunun özel nitelikli kişisel veriler bakımından ayrı düzenleme gereği görmesi işbu verilerin korunmasının önemini göstermektedir.
KİŞİSEL VERİLERİN İŞLENMESİ NEDİR?
Kişisel verilerin işlenmesi, 6698 sayılı Kanun’un 3. maddesinde “Kişisel veriler ile yapılan her türlü eylem” olarak tanımlanmıştır. Bu kapsamda kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, devralınması, sınıflandırılması gibi her türlü işlem kişisel verilerin işlenmesi anlamına gelmektedir. Bu noktada “Ben kimseye veri aktarmıyorum, veri ile işim olmaz sadece müşterilerimin ad soyad bilgilerini bilgisayarımda saklıyorum yine bu Kanun kapsamına girer miyim?” gibi farklı sorular akıllara gelebilir, bunlara yanıtımız -Evet- olacaktır. Zira kişisel verilerin işlenmesi kişisel veriler ile yapılan her türlü eylemi ifade etmektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI NELERDİR?
Kural olarak, özel nitelikli kişisel verilerin işlenebilmesi için kişisel verisi işlenen ilgili kişinin (müşterileriniz, çalışanlarınız vb. gerçek kişiler) AÇIK RIZASININ alınması gerekmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. 6698 sayılı Kanun m.6/3 uyarınca, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu’nun 6698 sayılı Kanun m.6/3’te yazılı yukarıda değinilen amaçlarla tuttukları ve işledikleri veriler bu kapsamda değerlendirilebilecektir.
VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ
Veri sorumluları, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişiyi ifade etmektedir. Veri sorumlularının, 6698 sayılı Kanun’un 16. maddesinin ikinci fıkrası uyarınca Sicil’e kaydolması zorunludur. Sicil’e kayıt işlemi, Veri Sorumluları Sicili Bilgi Sistemi VERBİS üzerinden yapılabilmektedir. VERBİS, veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Kurul tarafından objektif kriterler göz önüne alınarak VERBİS’e kayıt zorunluluğuna istisna getirilebileceği 6698 sayılı Kanun m.16/2’de düzenlenmiştir.
VERBİS’E KAYIT ZORUNLULUĞU OLAN VERİ SORUMLULARI KİMLERDİR?
VERBİS’e kayıt zorunluluğu bulunan veri sorumluları şu şekildedir:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan[1] gerçek ve tüzel kişi veri sorumluları,
- Kamu kurum ve kuruluşu veri sorumluları.
VERBİS’E KAYIT SÜRELERİ NE ZAMAN DOLUYOR?
Kişisel Verileri Koruma Kurulu’nun 25.06.2020 tarih ve 31166 sayılı Resmi Gazete’de yayımlanan 23.06.2020 tarih ve 2020/482 sayılı kararı kapsamında VERBİS’e kayıt tarihleri uzatılmıştır. Güncel VERBİS’e kayıt tarihleri şu şekildedir:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları bakımından 30 Eylül 2020 (İşbu veri sorumluları bakımından VERBİS’e kayıt süreleri dolmuştur.) tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları bakımından 31 Mart 2021 tarihine,
- Kamu kurum ve kuruluşu veri sorumluları bakımından 31.03.2021 tarihine kadar kaydolunması zorunludur.
ECZANELER BAKIMINDAN VERBİS’E KAYIT ZORUNLULUĞU
Eczaneler, hizmet sundukları hastaların ad-soyad, adres, T.C. Kimlik Numarası, cep telefonu numarası gibi kişisel verilerinin yanı sıra hastalık bilgileri, kullandıkları ilaç bilgileri gibi kişisel sağlık verilerini ve dolayısıyla özel nitelikli kişisel verilerini de işlemektedir. Eczanelerin ana faaliyet konusunu hastaların hastalık bilgileri, kullandığı ilaçlar gibi kişisel sağlık verilerinin işlenmesinin oluşturduğu dikkate alındığında yukarıda değinildiği üzere 31 Mart 2021 tarihine kadar VERBİS’e kaydolmaları gerekmektedir. Bu noktada kayıt sürenin dolmasına yaklaşık 3.5 aylık bir süre kalmışken KVKK’ye uyum ve Sicil’e kayıt yükümlülüğü çalışmalarının son zamanlara bırakılmamasında fayda olduğunu vurgulamak isteriz. Zira kişisel veri envanterinin, Kişisel Veri Saklama ve İmha Politikasının ve ilgili diğer dokümanların hazırlanması ve Sicil’e kayıt işlemlerinin özenle bir şekilde yapılması zaman ve titiz bir çalışma gerektirmektedir.
VERBİS’E KAYIT İŞLEMİNİ YAPTIRMAMANIN CEZASI NEDİR?
İşbu yazı kapsamında yer verilen açıklamaların temelini 6698 sayılı Kanun’a uyumun sağlanması, yükümlülüklerin yerine getirilmesinin önemi ve getirilmediği takdirde nasıl yaptırımlarla karşılaşılabileceğinin VERBİS özelinde değerlendirilmesi oluşturmaktadır.
6698 sayılı Kanun’un 18. maddesinin birinci fıkrasının (ç) bendinde “Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği” hüküm altına alınmıştır. Belirtilen bu rakamlar 2020 yılına uyarlandığında 36 bin TL ile 1 milyon 802 bin TL şeklindedir. Görüldüğü üzere VERBİS’e kaydolmamanın ciddi yaptırımları olup VERBİS’e kaydın tamamlanması bu denli yüksek para cezaları ile karşı karşıya kalmamak adına son derece önem arz etmektedir. VERBİS’e kaydın yapılması kadar bu sürecin uzman kişiler tarafından yürütülmesi de kritiktir. Nitekim, Veri Sorumluları Sicili Hakkında Yönetmelik m.5/1-e bendi, “Veri Sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.” hükmünü haizdir. VERBİS’e kayıt aşamasında uzman olmayan kişilerce yanlış bilgiler verilmesi durumunda yine veri sorumlularının sorumluluğuna gidilecektir.
Yazı kapsamında Sicil’e kayıt yükümlülüğünün yerine getirilmesi kadar veri sorumlularının KVKK’ye uyum sağlamasının önemine dikkat çekilmesi amaçlanmıştır. Bunun temelini, kişisel verilerin korunması alanının multidisipliner bir çalışmaya ihtiyaç duyması oluşturmaktadır. Nitekim KVKK’ye uyumda veri güvenliğinin sağlanmasına ilişkin gerekli önlemlerin alınması da son derece önem arz etmektedir. Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri KVKK’nin 12. maddesinde;
“a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” şeklinde düzenlenmiştir.
Eczaneler nezdinde bir inceleme yapıldığında ise ana faaliyet konularını özel nitelikli kişisel verilerin işlenmesi oluşturduğundan bahisle veri sorumlularınca alınacak güvenlik tedbirleri de daha fazla önem arz etmektedir. Kurul, 31.01.2018 tarih ve 2018/10 sayılı Kararı[2] ile Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemleri belirlemiştir. Karar kapsamında özel nitelikli kişisel verilerin, i) güvenliğine yönelik ayrı bir politika ve prosedür belirlenmesine, ii) işlenmesi süreçlerinde yer alan çalışanlara yönelik önlemlere, iii) işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara (elektronik/fiziksel) yönelik önlemlere, iv) aktarılma aşamasında alınması gereken önlemlere değinilmiştir.
Veri güvenliğine ilişkin ihlallerin eczaneler nezdinde de yaşanabileceğini, bazı hallerde güvenlik tedbirlerinde açıklık olabileceğini sektör içerisinden Kurum’a yapılan ve 18 Ağustos 2020’de Kurum internet sitesinde yayınlanan veri ihlal bildirimi özelinde dikkatinize sunulmaktadır.
REZZAN GÜNDAY / ŞİMŞEK ECZANESİ TARAFINDAN YAPILAN VERİ İHLALİ BİLDİRİMİ
Veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini belirleyen 6698 sayılı Kanun’un 12. maddesinin beşinci fıkrası uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede (Kurul kararı uyarınca 72 saat) ilgilisine ve Kurula bildirmesi gerekmektedir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilmektedir. Sizlerle paylaşılan sektörünüzle ilgili işbu veri ihlali bildiriminin konusunu da kişisel verilerin güvenliğine ilişkin yükümlülüklerin ihlal edilmesi oluşturmaktadır.
Bildirim[3] kapsamında,
- Veri sorumlusu eczacının eski çalışanı tarafından ilaçların tedarikinin başka eczanelerden sağlanması amacıyla, hastalara ait T.C. kimlik numaralarının bir şekilde (cep telefonuyla ekran görüntüsünün alınması, kağıda not edilmesi gibi) elde edilerek, “Medula Sistemi”ne girilmesi için hastaların bilgisi olmaksızın bir başka eczaneye aktarılması ile pandemi döneminde ise elde edilmiş olan T.C. kimlik numaralarının “Devam Reçetesi” uygulaması üzerinden kullanılarak ilaç tedarik edilmesiyle gerçekleştiği,
- İhlalin en az 2019 yılının Ekim ayından bu yana gerçekleştiği ve 11 Ağustos 2020 tarihinde bir hastanın ilaçlarına ulaşamaması üzerine eczane içinde durumun araştırılması ve bazı hastaların ifadeleri üzerine tespit edildiği,
- İhlalden etkilenen kişisel verilerin; T.C. kimlik numarası, telefon numarası, hastanın statüsü (emekli, çalışan), kurum adı (Bağkur Genel Müdürlüğü, Sosyal Güvenlik Kurumu, 60/G Sigortalılar) olduğu,
- İhlalden etkilenen özel nitelikli kişisel verilerin; sağlık bilgileri (hastalık bilgileri, hastalık raporları, hastaların kullandığı ilaçlar) olduğu,
- İhlale konu olay hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu belirtilmiştir.
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlularına, 6698 sayılı Kanun m.18/b uyarınca 15 bin TL’den 1 milyon TL’ye kadar idari para cezası verilebileceğini, bu rakamın 2020 yılına uyarlandığında 27 bin TL’den 1 milyon 802 bin TL’ye kadar olduğunu vurgulamak isteriz.
Sonuç olarak kişisel verilerin korunması alanı ve ilgili mevzuat, kişilerin mahremiyetleri, veri güvenliği bakımından son derece önemlidir. Veri sorumlularının bu önemli alanda yerine getirmediği her bir yükümlülük önemli mağduriyetler yaratabilecek olup veri sorumluları da Kurul tarafından ciddi idari para cezaları ile karşı karşıya kalabilecektir. Bu nedenle uzman kişiler eşliğinde KVKK’ye uyumun sağlanması ve atfedilen yükümlülüklerin eksiksiz yerine getirilmesi riskleri minimize edebilecektir.
Av. Volkan ALKILIÇ
[1] Ana faaliyet konusunun özel nitelikli kişisel veri işleme olup olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi durumunun söz konusu olup olmadığı dikkate alınmalıdır.
[2] Karara erişim linki: https://www.kvkk.gov.tr/Icerik/4110/2018-10