Eczaneler 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamındadır. Eczanelerin ana faaliyet konusu, özel nitelikli kişisel veri işlemeye dayanmaktadır. Bu sebeple eczanelerin de; Veri Sorumluları Bilgi Sistemi (“VERBİS”) kaydı için son tarih olarak belirlenen 31.12.2021’de VERBİS’e kaydolması gerekmekteydi.
VERBİS Kaydını Gerçekleştiren Eczaneler Yükümlülükten Kurtulmuş Oluyor mu?
KVKK uyum süreci VERBİS kaydından ibaret değildir. KVKK eczanelere, hastalara ait kişisel sağlık verilerini ve kişisel verileri işlediğinden bazı yükümlülükler getirmiştir.
KVKK, özel nitelikli kişisel veriler arasında bir ayrım yapmıştır.
Özel nitelikli kişisel veri kavramını sınırlı sayma yoluna giderek tanımlayan KVKK’ya göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Dolayısıyla eczanelerin işlediği sağlık verileri de özel nitelikli kişisel veri olarak değerlendirilmektedir.
KVKK Kapsamında Eczanelerin Sorumlulukları Nelerdir?
KVKK’nın 5 inci ve 6 ncı maddesinde kişisel veriler ile özel nitelikli kişisel verilerin hangi hallerde işlenebileceği açıklanmaktadır. Şöyle ki;
Madde 5 - Kişisel verilerin işlenme şartları
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
gibi şartların varlığı halinde işlenebilir.
Özel nitelikli kişisel verilerin işlenme şartlarına bakacak olursak;
Madde 6 - Özel nitelikli kişisel verilerin işlenme şartları
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Anılan Kanun maddelerinden de anlaşılacağı üzere eczanelerin kişisel veri işleme faaliyetleri tedavi ve bakım hizmetlerinin yürütülmesi kapsamında değerlendirilebileceğinden ilgili sağlık verilerinin işlenmesinde açık rıza alınmasına ayrıca gerek bulunmamaktadır. Fakat hastaya ilişkin sağlık verilerinin işlenmesinde açık rıza alınmasına gerek olmaması, veri sorumlusu eczacının diğer yükümlülükleri yerine getirmesi önünde bir engel değildir. Yine aynı şekilde eczane personellerine ve açık rıza alması gereken tüm kişisel veri sahiplerine ilişkin açık rıza alınması eczacı açısından bir yükümlülüktür.
Eczaneler KVKK uyum süreçlerini tamamlayabilmek adına;
-
İhtiyaçlarına ve muhtemel veri işleme süreçlerine göre proje stratejisi belirlemeli,
-
Kişisel verileri iyi analiz etmeli,
-
Yetkili bir irtibat kişisi muhakkak belirlemeli,
-
Aydınlatma ve açık rıza süreçlerini teamüle uygun şekilde oluşturmalı ve fiiliyata dökmeli,
-
Veri saklamaya ilişkin prosedürler belirlemeli,
-
Kişisel veri işleme envanterini hazırlamalı,
-
Kişisel veri işleme saklama ve imha politikası vb. politikaları hazırlayarak imha programı çıkarmalı,
-
VERBİS kaydı ile kişisel veri işleme envanterini uyumlu hale getirmeli ve ayrıca benzeri tüm süreçleri takip etmelidir.
VERBİS yükümlüsü olan tüm veri sorumlularının bilahare Kişisel Veri İşleme Envanteri de hazırlaması gerekmektedir. Dolayısıyla yukarıda sayılanlarla birlikte kişisel veri işleme politikası, kişisel veri saklama ve imha politikası, gizlilik politikası gibi KVKK uyum süreçleri kapsamında hazırlanabilecek tüm politikalar eczacılar için de bir yükümlülüktür. Veri sorumlusu eczacılar KVKK politikalarını hazırlayıp eczanede fiilen uygulamalıdır.
Eczacılar Kişisel Veri İşleme Envanterini Nasıl Hazırlamalıdır?
Kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.
VERBİS yükümlüsü olan tüm veri sorumlularının kişisel veri işleme envanteri hazırlama zorunluluğu da bulunmaktadır.
Eczanelerde kişisel veri işleme faaliyeti çok yoğun olduğundan veri sorumlusu kişisel veri işleme envanterini dikkatli bir şekilde hazırlamalıdır. Kişisel veri işleme envanterinde en önemli noktalardan birisi saklama süreleridir. Veri sorumlusu saklama sürelerini ilgili mevzuata uygun şekilde belirlemelidir.
KVKK Yükümlülüklerini Yerine Getirmeyen Eczane Ceza Yiyebilir mi?
VERBİS kaydını yerine getirmeyen eczanelerin yıllık mali bilançosuna göre 53.572 TL ile 2.678.863 TL arasında idari para cezası ile karşılaşması muhtemeldir.
Veri sorumlusu eczacı ayrıca, aydınlatma yükümlülüğünü yerine getirmemesi durumunda; 13.391 TL ile 267.883 TL arasında,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi durumunda; 40.179 TL ile 2.678.863 TL arasında,
Kurul tarafından verilen kararları yerine getirmemesi durumunda ise; 66.965 TL ile 2.678.863 TL arasında idari para cezaları ile karşılaşacaktır.
Sonuç
Eczaneler KVKK yükümlülükleri kapsamında yalnızca VERBİS kaydından değil; kişisel verilerin işleme şartlarına uygun olarak işlemek, aydınlatma yükümlülüğü ve açık rıza süreçlerini oluşturma, kişisel verilerin aktarılmasında hukuka uygun hareket etmek, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilme süreçleri, veri güvenliğini sağlamak, VERBİS’e kayıt yükümlülüğü gibi uygulamaları KVKK’ya uygun şekilde yerine getirmekten de sorumludur.
