KİŞİSEL VERİLERİN KORUNMASI MEVZUATI UYARINCA

 SERBEST ÇALIŞAN ÜYELERİMİZE DUYURU

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri işleyen gerçek ve tüzel kişilerin uyması gereken birçok kural getirilmiştir. Kişisel verileri, bu Kanun’a göre işleyen gerçek ve tüzel kişiler “veri sorumlusu” olarak adlandırılmaktadır. Sağlık hizmeti sunucuları (muayenehane, klinik, diyetisyen ofisi, Dil ve Konuşma Terapisi ofisi, Eczane, diyaliz merkezi, özel hastane, FTR merkezi, işitme testi merkezleri, klinik psikolog ofisi, vb…) tek kişi olarak hizmet sunsalar dahi veri sorumlusu kabul edilmekte olup Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yükümlüsüdürler.

Kanun kapsamında getirilen yükümlülükler çok kapsamlıdır. Kanuna uyum için özel olarak  iş faaliyetlerinin gözden geçirilmesi  gerekmektedir. Bu yükümlülüklerden biri de 31.12.2021 tarihinden önce VERBİS'e kaydolma zorunluluğudur. Verbis’ e kayıt 2.5-3 saat sürmekte, tüm süreçlerde işlenen veriler kategorik olarak beyan edilmektedir. Örneğin hastalarımızın/danışanlarımızın sağlık, kimlik ve iletişim verilerini mevzuat gereği kaydediyoruz, yine mevzuat gereği 20 yıl saklıyoruz ve yetkili kamu kurum ve kuruşları ile paylaşıyoruz, saklama süresi sonunda geri dönüşümsüz…şekilde imha ediyoruz, süreçte….. gibi önlemleri alıyoruz vb..

Kanun’da belirtilen yükümlülükleri yerine getirmemenin yaptırımları idari para cezası olarak düzenlenmiştir.  Bu konuda üyelerimizin hassas olması hukuki problemler ile karşılaşılmasını açısından önem arz etmektedir.

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) MEVZUATINA UYUM BİLGİLENDİRME NOTU

KVKK UYUMU NEDEN YAPMAK ZORUNDASINIZ?

Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanmış, Kişisel Verilerin Korunması Kurumu kurulmuş ve çalışmalarına başlamıştır.

VERBİS (VERİ SORUMLULARI SİCİLİ VERİ TABANI) KAYDI, SAĞLIK VERİSİ İŞLEME FAALİYETİ ESAS OLAN VERİ SORUMLULARI (MUAYENEHANELER/KLİNİKLER, ÖZEL DİL VE KONUŞMA TERAPİSİ OFİSLERİ, ECZANELER, DİYETİSYEN OFİSLERİ, KLİNİK PSİKOLOG OFİSLERİ, DİYALİZ MERKEZLERİ, HASTANELER VE DİĞER SAĞLIK HİZMETİ SUNUCULARI) İÇİN HİÇBİR KISITLAMAYA TABİ OLMADAN MECBURİDİR. ANCAK VERBİS KAYDI SADECE BİR UYGULAMADIR, KAYIT OLMAKLA KVKK’YA UYUM SAĞLANMIŞ OLMAZ, KANUNUN GETİRDİĞİ BİRÇOK YÜKÜMLÜLÜK OLDUĞU GÖZ ÖNÜNE ALINMALI VE BUNA GÖRE UYUMLANILMALIDIR.

KİŞİSEL SAĞLIK VERİSİ NEDİR?

Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir.

KANUNA UYUM SÜRECİNDE VE SONRASINDA KVKK KONULU EĞİTİMLER ALINMASI NEDEN ÖNEMLİDİR?

İş yerinde çalışanlarının, olası bir veri ihlali durumunda Kişisel Verileri Koruma Kurulu ihlale ilişkin değerlendirme yaparken, dikkate aldığı  hususlardan biri, çalışanların KVKK konusunda düzenli eğitimler alıp almadığını kontrol edecektir. Bu sebeple tüm çalışanların KVKK konusunda düzenli eğitim almış ve bilinçlenmiş olması gerekmektedir. 

VERİ SORUMLUSU KİMDİR?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Gerçek kişi ya da tüzel kişi yani şirketler, kurumlar ve kuruluşlar olabilir. Özel ofis açanların kendisi, şirket kuruluşu varsa şirketin tüzel kişiliğidir.

VERBİS NEDİR?

VERBİS=VERİ SORUMLULARI SİCİLİ Kişisel Verileri Koruma Kurumu tarafından sunulan veri tabanıdır. 50 ve üzeri çalışanı yada yıllık 25 milyon mali bilançosu olan veri sorumluları Verbis kaydı zorunluluktur ve 31 Eylül 2020 de  verilen süre bitmiştir.  Özel sağlık verisi işleyen ancak çalışan sayısı ile bilanço sınırını sağlamayan veri sorumluları ise 31 Aralık 2021 tarihine kadar VERBİS kayıtlarını ve bildirimlerini yaptırmak zorundadırlar.

VERBİS SİTEMİNE GİRMEK İLE KVKK’NA UYUM SAĞLAMIŞ OLUR MU?

VERBİS sitemine girmek ile kvkk’na uyum sağlamış olmazsınız. Verbis yükümlüsü olsun olmasın kvkk uyumu kvkk’nun  emridir ve bu uyumun yapılması sırasında ve sonrasında  varsa hukukçunuzun desteği ve/veya KVKK uzmanının danışmanlığı önemlidir.

VERBİSE GİRİŞ SIRASINDA HATALI BİLDİRİM YAPILMASININ SONUCU NEDİR?

VERBİS’e hatalı bildirim yapmak kurul tarafından idari para cezasına çarptırılma riskini barındırmaktadır.

 Örneğin, bir veri sorumlusu sağlık meslek mensubu, VERBİS girişinde yurt dışına veri aktarımı yapmıyorum seçeneğini seçiyor ancak gmail/whatsapp ile hastanın randevusunu planlıyor ya da hastanın verilerini yurt dışı sunuculu bir hasta kayıt veri tabanına yüklüyorsa olası bir şikayet halinde hatalı bildirim yapmış olması sebebiyle ceza alması söz konusu olacaktır.

Bu sebeple iş yerinde işlenen verilerin işlenme süreçlerinin doğru saptanması ve doğru bir şekilde  bildiriminin yapılması gerekmektedir.

Uyum sırasında dikkat edilmesi gereken diğer  bir husus, işlenen verilerin saklama sürelerine  dikkat etmeleri önemlidir. İlgili kanunlarda yer alan süreler ya da durumun gereğine göre belirlenen saklama sürelerine uyulmaması sebebiyle ceza alınması mümkündür.

VERBİSE KAYIT NASIL YAPILIR?

KAYIT İNTERNET ÜZERİNDEN VERBİS ADI VERİLEN SİSTEMLE YAPILACAKTIR.

YÜKÜMLÜ OLUP DA SİCİLE KAYDOLMAYANLARA İDARİ PARA CEZASI UYGULANIR (2021 İTİBARİYLE CEZA, 39.337,00-TL-1.966.862,00-TL DİR).

SİCİLE KAYIT, KAYIT YÜKÜMLÜSÜ VERİ SORUMLULARINCA HAZIRLANACAK KİŞİSEL VERİ İŞLEME ENVANTERİ’NDEKİ BİLGİLERLE YAPILACAKTIR.

SAĞLIK HİZMETİ SUNUCULARINDA KİŞİSEL VERİLERİ İŞLENEN KİŞİ GRUPLARI NELERDİR?

• SAĞLIK HİZMETİ ALANLARIN (HASTALARIN) KİŞİSEL VE ÖZEL NİTELİKTE KİŞİSEL VERİSİ
• DANIŞANLAR
• ÇALIŞANLARIN (ESKİ ÇALIŞANLAR/ALT YÜKLENİCİ ÇALIŞANLARI) KİŞİSEL VE ÖZEL NİTELİKTE KİŞİSEL VERİSİ
• ÖĞRENCİ/STAJYER/KURSİYERLERİN KİŞİSEL VE ÖZEL NİTELİKTE KİŞİSEL VERİSİ
• ZİYARETÇİ-REFAKATÇİ KİŞİSEL VERİLERİ
• TEDARİKÇİLER/ TEDARİKÇİ ÇALIŞANLARININ KİŞİSEL VERİLERİ

İLGİLİ KİŞİ KİMDİR?

Kişisel verisi işlenen gerçek kişidir.

İLGİLİ KİŞİNİN BİLGİLENDİRİLMESİ (AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişileri belirli konularda bilgilendirmekle yükümlüdür(m.10).

İÇERİK:

• VERİ SORUMLUSUNUN VE VARSA TEMSİLCİSİNİN KİMLİĞİ
• KİŞİSEL VERİLERİN HANGİ AMAÇLA İŞLENECEĞİ
• İŞLENEN KİŞİSEL VERİLERİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ
• KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SÜREÇLERİNDE YER ALAN ÇALIŞANLARA YÖNELİK TEDBİRLER ÖZETLE?

• KANUN VE BUNA BAĞLI YÖNETMELİKLERLE ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ KONULARINDA DÜZENLİ OLARAK EĞİTİM VERİLMELİDİR.

• GİZLİLİK SÖZLEŞMELERİ YAPILMALIDIR.

• VERİLERİN ERİŞİM YETKİSİNE SAHİP KULLANICILARIN, YETKİ KAPSAMLARI VE SÜRELERİ NET OLARAK TANIMLANMALIDIR.

• PERİYODİK OLARAK YETKİ KONTROLLERİ GERÇEKLEŞTİRİLMELİDİR.

• GÖREV DEĞİŞİKLİĞİ OLAN YA DA İŞTEN AYRILAN ÇALIŞANLARIN BU ALANDAKİ YETKİLERİ DERHAL KALDIRILMALIDIR.

İLGİLİ KİŞİNİN  HAKLARI NELERDİR?

(KVKK m. 11)

• KİŞİSEL VERİSİNİN İŞLENİP İŞLENMEDİĞİNİ ÖĞRENME
• KİŞİSEL VERİLERİ İŞLENMİŞSE BUNA İLİŞKİN BİLGİ TALEP ETME
• KİŞİSEL VERİLERİNİN İŞLENME AMACINI VE BUNLARIN AMACINA UYGUN KULLANILIP KULLANILMADIĞINI ÖĞRENME
• YURT İÇİNE VEYA YURT DIŞINDA KİŞİSEL VERİLERİNİN AKTARILDIĞI KİŞİLERİ BİLME
• KİŞİSEL VERİLERİ EKSİK VEYA YANLIŞ İŞLENMİŞ OLMASI HALİNDE BUNLARIN DÜZELTİLMESİNİ İSTEME
• İŞLENEBİLME ŞARTLARI ORTADAN KALKAN KİŞİSEL VERİLERİN KİŞİSEL VERİLERİNİN SİLİNMESİNİ VEYA YOK EDİLMESİNİ İSTEME
• YAPILMASINI İSTEDİĞİ İŞLEMLERİN KİŞİSEL VERİLERİNİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLERE BİLDİRİLMESİNİ İSTEME
• KİŞİSEL VERİLERİNİN BİLGİSAYAR SİSTEMLERİ İLE ANALİZ YAPILARAK ALEYHİNE ÇIKARILABİLECEK SONUÇLARA İTİRAZ ETME
• KİŞİSEL VERİLERİNİN KANUNA AYKIRI OLARAK İŞLENMESİ SEBEBİYLE UĞRAMIŞ OLDUĞU ZARARLARIN TAZMİN EDİLMESİNİ TALEP ETME

2021 YILI İÇİN KURUL TARAFINDAN UYGULANABİLECEK İDARİ PARA CEZA MİKTARLARI HAKKINDAKİ TABLO

SUÇ VE CEZALAR NELERDİR?

SUÇ                                                                                                 CEZA

KİŞİSEL VERİLERİ KAYDETMEK (TCK 135/1)                      1 YIL-3 YIL

NİTELİKLİ KİŞİSEL VERİLERİ

KAYDETMEK (TCK 135/2)                                                              1 YIL 6 AY-4 YIL 6  AY

KİŞİSEL VERİLERİ BAŞKASINA VERMEK, YAYMAK,

 VEYA ELE GEÇİRMEK (TCK 136/1)

                                                                                                               2 YIL-4 YIL

VERİLERİ YOK ETMEME (TCK 138/1)                                      1 YIL-2 YIL HAPİS

CEZA MUHAKEMESİ KANUNU’NA GÖRE

SİLİNMESİ GEREKENLER (TCK 138/2)                                    1 YIL 6 AY-3 YIL

VERİ MİNİMİZASYONU NEDİR?

İşlenmesi zorunlu olan verileri tespit edip fazlasını işlememe faaliyetidir. Veri sorumlusunun işlediği veriler, veri minimizasyonu sürecinden geçirilmelidir. Kişisel veri içeren evrakların veri minimizasyonu sürecinden geçirilmeyip; gerektiğinden fazla veri alınması, idari para cezası almasına yol açabilecektir.

KANUN UYUM SÜRECİ YÜKÜMLÜLÜKLERİ ÖZETLE;

• TÜM ÇALIŞANLARA EĞİTİM (EN AZ YILDA BİR TEKRARLANMALI)
• KİŞİSEL VERİ İŞLEME ENVANTERİN HAZIRLANMASI
• İŞ SÜREÇLERİNİN TEK TEK GÖZDEN GEÇİRİLEREK HUKUKA UYGUN İŞLEME FAALİYETİ İÇİN REORGANİZASYON YAPILMASI,
• VERBİS SİSTEMİNE KANUNA UYGUN ŞEKİLDE GİRİŞİN YAPILMASI
• KİŞİSEL VERİLERİN SAKLANMASI VE İMHA POLİTİKALARININ HAZIRLANMASI
• GÖREV TANIMLARININ GÖZDEN GEÇİRİLMESİ,
• İŞÇİ ÖZLÜK DOSYALARININ GÖZDEN GEÇİRİLMESİ,
• HER BİR FAALİYETE ÖZGÜ AYDINLATMA METİNLERİ, AÇIK RIZA METİNLERİ HAZIRLANAMSI
• GEREKLİ SÖZLEŞMELER VE KANUN KAPSAMINDA İHTİYAÇ DUYULAN FORMLARIN HAZIRLANMASI,
• HALİHAZIRDA İMZALANMIŞ SÖZLEŞMELERİN GÖZDEN GEÇİRİLMESİ,
• KALİTE SÜREÇLERİNİN GÖZDEN GEÇİRİLMESİ, KALİTE SÜRECİ OLMAYAN İŞ YERLERİ İÇİN MECBURİ OLANLARIN YAZILMASININ SAĞLANMASI,
•  WEB SİTESİNİN KVKK YÖNÜNDEN DEĞERLENDİRİLMESİ
• BİLGİ GÜVENLİĞİ AÇISINDAN SİSTEMİN YENİDEN GÖZDEN GEÇİRİLMESİ İÇİN BİLİŞİM DANIŞMANLIĞININ DA HUKUK DANIŞMANLIĞINDAN AYRI ALINMASI ÖNERİLERİMİZ ARASINDADIR.

Hazırlayan: Av. Nesrin Özkaya