<p style="text-align: justify;"><span style="font-size:16px;">Eczaneler 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamındadır. Eczanelerin ana faaliyet konusu, özel nitelikli kişisel veri işlemeye dayanmaktadır. Bu sebeple eczanelerin de; Veri Sorumluları Bilgi Sistemi (“VERBİS”) kaydı için son tarih olarak belirlenen 31.12.2021’de VERBİS’e kaydolması gerekmekteydi.</span></p> <p style="text-align: justify;"><span style="font-size:16px;"><strong>VERBİS Kaydını Gerçekleştiren Eczaneler Yükümlülükten Kurtulmuş Oluyor mu?</strong></span></p> <p style="text-align: justify;"><span style="font-size:16px;">KVKK uyum süreci VERBİS kaydından ibaret değildir. KVKK eczanelere, hastalara ait kişisel sağlık verilerini ve kişisel verileri işlediğinden bazı yükümlülükler getirmiştir.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">KVKK, özel nitelikli kişisel veriler arasında bir ayrım yapmıştır.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">Özel nitelikli kişisel veri kavramını sınırlı sayma yoluna giderek tanımlayan KVKK’ya göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Dolayısıyla eczanelerin işlediği sağlık verileri de özel nitelikli kişisel veri olarak değerlendirilmektedir.</span></p> <p style="text-align: justify;"><span style="font-size:16px;"><strong>KVKK Kapsamında Eczanelerin Sorumlulukları Nelerdir?</strong></span></p> <p style="text-align: justify;"><span style="font-size:16px;">KVKK’nın 5 inci ve 6 ncı maddesinde kişisel veriler ile özel nitelikli kişisel verilerin hangi hallerde işlenebileceği açıklanmaktadır. Şöyle ki;</span></p> <blockquote> <p style="text-align: justify;"><span style="font-size:16px;">Madde 5 - Kişisel verilerin işlenme şartları</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:</span></p> <p style="text-align: justify;"><span style="font-size:16px;">a) Kanunlarda açıkça öngörülmesi.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması</span></p> <p style="text-align: justify;"><span style="font-size:16px;">gibi şartların varlığı halinde işlenebilir.</span></p> </blockquote> <p style="text-align: justify;"><span style="font-size:16px;">Özel nitelikli kişisel verilerin işlenme şartlarına bakacak olursak;</span></p> <blockquote> <p style="text-align: justify;"><span style="font-size:16px;">Madde 6 - Özel nitelikli kişisel verilerin işlenme şartları</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.</span></p> </blockquote> <p style="text-align: justify;"><span style="font-size:16px;">Anılan Kanun maddelerinden de anlaşılacağı üzere eczanelerin kişisel veri işleme faaliyetleri <strong>tedavi ve bakım hizmetlerinin yürütülmesi </strong>kapsamında değerlendirilebileceğinden ilgili sağlık verilerinin işlenmesinde açık rıza alınmasına ayrıca gerek bulunmamaktadır. Fakat hastaya ilişkin sağlık verilerinin işlenmesinde açık rıza alınmasına gerek olmaması, veri sorumlusu eczacının diğer yükümlülükleri yerine getirmesi önünde bir engel değildir. Yine aynı şekilde eczane personellerine ve açık rıza alması gereken tüm kişisel veri sahiplerine ilişkin açık rıza alınması eczacı açısından bir yükümlülüktür.</span></p> <p style="text-align: justify;"><span style="font-size:16px;">Eczaneler KVKK uyum süreçlerini tamamlayabilmek adına;</span></p> <ul> <li> <p style="text-align: justify;"><span style="font-size:16px;">İhtiyaçlarına ve muhtemel veri işleme süreçlerine göre proje stratejisi belirlemeli,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Kişisel verileri iyi analiz etmeli,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Yetkili bir irtibat kişisi muhakkak belirlemeli,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Aydınlatma ve açık rıza süreçlerini teamüle uygun şekilde oluşturmalı ve fiiliyata dökmeli,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Veri saklamaya ilişkin prosedürler belirlemeli,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Kişisel veri işleme envanterini hazırlamalı,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">Kişisel veri işleme saklama ve imha politikası vb. politikaları hazırlayarak imha programı çıkarmalı,</span></p> </li> <li> <p style="text-align: justify;"><span style="font-size:16px;">VERBİS kaydı ile kişisel veri işleme envanterini uyumlu hale getirmeli ve ayrıca benzeri tüm süreçleri takip etmelidir.</span></p> </li> </ul> <p style="text-align: justify;"><span style="font-size:16px;">VERBİS yükümlüsü olan tüm veri sorumlularının bilahare Kişisel Veri İşleme Envanteri de hazırlaması gerekmektedir. Dolayısıyla yukarıda sayılanlarla birlikte kişisel veri işleme politikası, kişisel veri saklama ve imha politikası, gizlilik politikası gibi KVKK uyum süreçleri kapsamında hazırlanabilecek tüm politikalar eczacılar için de bir yükümlülüktür. Veri sorumlusu eczacılar KVKK politikalarını hazırlayıp eczanede fiilen uygulamalıdır.</span></p> <p style="text-align: justify;"><span style="font-size:16px;"><strong>Eczacılar Kişisel Veri İşleme Envanterini Nasıl Hazırlamalıdır?</strong></span></p> <p style="text-align: justify;"><span style="font-size:16px;">Kişisel veri işleme envanteri; v<em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">eri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.</span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">VERBİS yükümlüsü olan tüm veri sorumlularının kişisel veri işleme envanteri hazırlama zorunluluğu da bulunmaktadır. </span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Eczanelerde kişisel veri işleme faaliyeti çok yoğun olduğundan veri sorumlusu kişisel veri işleme envanterini dikkatli bir şekilde hazırlamalıdır. Kişisel veri işleme envanterinde en önemli noktalardan birisi saklama süreleridir. Veri sorumlusu saklama sürelerini ilgili mevzuata uygun şekilde belirlemelidir. </span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><strong><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">KVKK Yükümlülüklerini Yerine Getirmeyen Eczane Ceza Yiyebilir mi?</span></span></span></span></span></em></strong></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">VERBİS kaydını yerine getirmeyen eczanelerin yıllık mali bilançosuna göre 53.572 TL ile 2.678.863 TL arasında idari para cezası ile karşılaşması muhtemeldir. </span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Veri sorumlusu eczacı ayrıca, aydınlatma yükümlülüğünü yerine getirmemesi durumunda; 13.391 TL ile 267.883 TL arasında, </span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi durumunda; 40.179 TL ile 2.678.863 TL arasında,</span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Kurul tarafından verilen kararları yerine getirmemesi durumunda ise; 66.965 TL ile 2.678.863 TL arasında idari para cezaları ile karşılaşacaktır.</span></span></span></span></span></em></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><strong><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Sonuç</span></span></span></span></span></em></strong></span></p> <p style="text-align: justify;"><span style="font-size:16px;"><em><span style="border: 1pt none windowtext; padding: 0cm;"><span style="background:white"><span style="line-height:107%"><span style="color:#2c2f34"><span style="font-style:normal">Eczaneler KVKK yükümlülükleri kapsamında yalnızca VERBİS kaydından değil; kişisel verilerin işleme şartlarına uygun olarak işlemek, aydınlatma yükümlülüğü ve açık rıza süreçlerini oluşturma, kişisel verilerin aktarılmasında hukuka uygun hareket etmek, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilme süreçleri, veri güvenliğini sağlamak, VERBİS’e kayıt yükümlülüğü gibi uygulamaları KVKK’ya uygun şekilde yerine getirmekten de sorumludur.</span></span></span></span></span></em></span></p>