Sağlık sektöründe kişisel veri güvenliği giderek daha kritik hale gelirken, hasta verilerinin yetkisiz paylaşılması ciddi hukuki sonuçlar doğurmaktadır. KVKK kapsamında verilen kurul kararları, sağlık kuruluşlarının veri koruma yükümlülüklerini ve ihlal durumlarında karşılaşacakları yaptırımları net şekilde ortaya koymaktadır. Bu makale, sağlık verilerinin korunması konusunda yaşanan güncel gelişmeleri ve hukuki çerçeveyi kapsamlı şekilde incelemektedir.

Eczanelerde Sağlık Verilerinin Yetkisiz Paylaşılması

Eczaneler, hasta sağlık verilerinin korunması konusunda kritik bir rol oynamaktadır. Hastaların ilaç kullanım bilgileri, hastalık durumları ve tedavi süreçlerine ilişkin veriler, özel nitelikli kişisel veri kategorisinde yer almakta ve bu nedenle özel koruma altındadır. Ancak uygulamada, eczanelerin bu hassas verileri yetkisiz şekilde üçüncü kişilerle paylaştığı durumlar yaşanmakta ve bu durum ciddi hukuki sonuçlar doğurmaktadır.

Kişisel Verileri Koruma Kurulu'nun verdiği kararlar, eczanelerin veri koruma yükümlülüklerini yerine getirmediği durumlarda karşılaşacakları yaptırımları net şekilde ortaya koymaktadır. Bu bağlamda, eczane sektöründe yaşanan veri ihlalleri ve bunlara ilişkin hukuki değerlendirmeler, sektör profesyonelleri için önemli bir rehber niteliği taşımaktadır.

KVKK Kurul Kararı 2018/143

05/12/2018 tarihli 2018/143 sayılı Kişisel Verileri Koruma Kurulu kararı, eczanelerde sağlık verilerinin yetkisiz paylaşılması konusunda emsal teşkil eden önemli bir karardır. Bu kararda ele alınan olay, doktor kontrolünde ilaç kullanan bir hastanın sağlık verilerinin, ilaçları temin ettiği eczane tarafından herhangi bir yasal dayanağa dayanmadan üçüncü kişilerle paylaşılması şeklinde gerçekleşmiştir.

Kurul'un bu konudaki değerlendirmesi şu şekildedir:

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir.

Bu karar, eczanelerin hasta verilerini koruma konusundaki sorumluluklarını ve bu sorumluluklara aykırı davranmanın sonuçlarını açık şekilde ortaya koymaktadır. Eczanenin, hastanın sağlık verilerini 6698 sayılı Kanunun 8. maddesinde sayılan şartları sağlamadan üçüncü kişilerle paylaşması, kanuna aykırılık oluşturmuş ve bu durum idari para cezası ile sonuçlanmıştır.

Yasal Dayanak ve Değerlendirme

Eczanelerde sağlık verilerinin korunması konusunda temel yasal çerçeve, 6698 sayılı Kişisel Verilerin Korunması Kanunu tarafından belirlenmektedir. Bu kanunun ilgili maddeleri, sağlık verilerinin işlenmesi ve aktarılması için katı şartlar öngörmektedir.

Kanunun 6. maddesinin 1. fıkrası, sağlık verilerini özel nitelikli kişisel veri olarak tanımlamaktadır. Bu tanımlama, sağlık verilerinin diğer kişisel verilerden daha sıkı korunması gerektiğini ortaya koymaktadır. Özel nitelikli kişisel veriler, hassas doğaları gereği özel koruma altında tutulmakta ve işlenmesi için daha katı şartlar aranmaktadır.

Kanunun 6. maddesinin 2. fıkrası ise özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesini yasaklamıştır. Bu hüküm, eczanelerin hasta verilerini işlerken mutlaka hastanın açık rızasını alması gerektiğini ortaya koymaktadır. Ancak kanunun 3. fıkrasında, sağlık verilerinin açık rıza aranmadan işlenebileceği istisnai haller sayılmıştır:

• Kamu sağlığının korunması
• Koruyucu hekimlik
• Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

Bu istisnai hallerde bile, verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi gerekmektedir.

Kanunun 8. maddesinin 1. fıkrası, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağını düzenlemektedir. Bu hüküm, eczanelerin hasta verilerini üçüncü kişilerle paylaşırken mutlaka hastanın rızasını alması gerektiğini ortaya koymaktadır. Kanunun 2. fıkrası ise açık rıza aranmaksızın aktarılabileceği halleri 5. maddenin 2. fıkrası ile 6. maddenin 3. fıkrasına atıfla belirlemektedir.

Kanunun 12. maddesinin 4. fıkrası, veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmünü içermektedir. Bu düzenleme, eczane çalışanlarının hasta verilerini koruma konusundaki yükümlülüklerini net şekilde ortaya koymaktadır.

2018/143 sayılı kararda Kurul, eczanenin bu yasal yükümlülükleri yerine getirmediğini tespit etmiş ve Kanunun 18. maddesi uyarınca idari para cezası uygulanmasına karar vermiştir. Bu karar, eczanelerin hasta verilerini koruma konusundaki sorumluluklarını ve bu sorumluluklara aykırı davranmanın ciddi hukuki sonuçlar doğuracağını göstermektedir.

Eczanelerin veri koruma yükümlülükleri sadece hasta verilerinin üçüncü kişilerle paylaşılmaması ile sınırlı değildir. Aynı zamanda bu verilerin güvenli şekilde saklanması, yetkisiz erişimlere karşı korunması ve sadece gerekli durumlarda, gerekli kişiler

Ceza Hukuku Açısından Kişisel Veri İhlalleri

Sağlık verilerinin korunması sadece idari düzenlemelerle sınırlı kalmayıp, aynı zamanda ceza hukuku kapsamında da güçlü yaptırımlarla desteklenmektedir. Türk Ceza Kanunu'nda yer alan düzenlemeler, kişisel verilerin hukuka aykırı şekilde işlenmesi, paylaşılması veya ele geçirilmesi durumlarında ciddi cezai yaptırımlar öngörmektedir.

TCK Madde 136 Kapsamında Suçlar

TCK madde 136, kişisel verilerin hukuka aykırı olarak verme, yayma veya ele geçirme suçunu düzenlemektedir. Bu maddeye göre, bir kişiye ait verileri izinsiz bir şekilde ele geçirme ve yayma suç teşkil etmektedir. Söz konusu suç için 2 yıldan 4 yıla kadar hapis cezası öngörülmüştür.

Kişisel veri kapsamına giren bilgiler oldukça geniş bir yelpazede yer almaktadır:

• T.C. kimlik numarası, ad-soyad, doğum bilgileri
• Anne-baba adı, adli sicil kaydı, yerleşim yeri
• Eğitim durumu, meslek, banka hesap bilgileri
• Telefon numarası, e-posta adresi
• Kan grubu, medeni hal, parmak izi, DNA
• Biyolojik örnekler, cinsel eğilim
• Sağlık bilgileri, etnik köken
• Siyasi-felsefi-dini görüşler ve sendikal bağlantılar

Ancak Yargıtay 12. Ceza Dairesi'nin 2014/3760 sayılı kararında belirtildiği üzere, herkes tarafından bilinen veya kolaylıkla ulaşılabilen bilgiler kişisel veri sayılmamaktadır. Bu husus, suçun unsurlarının belirlenmesinde önemli bir kriter oluşturmaktadır.

TCK madde 137 ise bu suçun nitelikli hallerini düzenlemektedir. Kişisel veri suçu, kamu görevlisi tarafından görevinin verdiği yetkiyi kötüye kullanarak veya belirli bir meslek ve sanatın sağladığı kolaylıktan yararlanarak işlenirse, hapis cezası yarı oranında artırılarak 3 yıldan 6 yıla kadar hapis cezası verilmektedir. Bu düzenleme, özellikle sağlık sektöründe çalışan personel için büyük önem taşımaktadır.

Sağlık sektöründe çalışan doktorlar, hemşireler, eczacılar ve diğer sağlık personeli, mesleklerinin sağladığı kolaylıktan yararlanarak hasta verilerine erişim imkanına sahip oldukları için, bu verileri hukuka aykırı şekilde paylaşmaları durumunda nitelikli suç kapsamında değerlendirileceklerdir.

Dava Zamanaşımı ve Soruşturma

Kişisel veri suçlarının dava zamanaşımı süresi 8 yıldır. Bu süre, suçun işlendiği tarihten itibaren başlar ve bu süre içerisinde dava açılmadığı takdirde zamanaşımı nedeniyle kovuşturma yapılamaz.

Kişisel veri suçları için mağdurun şikayetine gerek olmayıp, savcılık tarafından resen soruşturma başlatılır. Bu durum, suçun toplumsal düzeni ilgilendiren bir nitelik taşıdığını göstermektedir.

Soruşturma sürecinde, suçun unsurlarının tespiti için aşağıdaki hususlar değerlendirilir:

• Verilerin kişisel veri niteliği taşıyıp taşımadığı
• Verilerin hukuka aykırı şekilde ele geçirilip geçirilmediği
• Verilerin üçüncü kişilerle paylaşılıp paylaşılmadığı
• Failin kamu görevlisi olup olmadığı veya meslek kolaylığından yararlanıp yararlanmadığı

Sağlık sektöründe yaşanan veri ihlalleri özellikle dikkat çekmektedir. Hasta verilerinin eczaneler tarafından üçüncü kişilerle paylaşılması, hastane personelinin hasta bilgilerine yetkisiz erişimi veya sağlık verilerinin ticari amaçlarla kullanılması gibi durumlar hem KVKK kapsamında idari yaptırımlar hem de TCK kapsamında cezai yaptırımlar doğurmaktadır.

Ayrıca, kişinin fotoğraf ve video gibi özel görüntülerinin ele geçirilmesi durumunda, kişisel veri suçuna ek olarak özel hayatın gizliliği suçu da oluşabilmektedir. Bu durum, özellikle sağlık kuruluşlarında hasta görüntülerinin izinsiz kaydedilmesi veya paylaşılması hallerinde önem kazanmaktadır.

Ceza hukuku açısından kişisel veri ihlalleri, sadece bireysel zararları değil, aynı zamanda toplumsal güvenin sarsılmasına da neden olmaktadır. Bu nedenle, sağlık sektöründe faaliyet gösteren tüm kurum ve kişilerin, hem KVKK hem de TCK hükümleri çerçevesinde hareket etmeleri kritik önem taşımaktadır.

Hastanelerde Tahlil Sonuçlarının Hatalı Aktarımı

Sağlık kuruluşlarında hasta verilerinin güvenliği, özellikle tahlil sonuçları gibi hassas sağlık bilgilerinin korunması konusunda yaşanan ihlaller, KVKK kapsamında ciddi yaptırımlarla karşılaşmaktadır. Hastanelerin veri güvenliği yükümlülüklerini yerine getirmemesi durumunda ortaya çıkan hukuki sonuçlar, sektör açısından önemli bir uyarı niteliği taşımaktadır.

KVKK Kurul Kararı 2020/407

20/05/2020 tarihli 2020/407 sayılı KVKK Kurul Kararı, hastane tarafından hasta tahlil sonuçlarının hukuka aykırı şekilde üçüncü kişilere aktarılması konusunda emsal teşkil eden önemli bir karardır. Bu kararda ele alınan olay, sağlık kuruluşlarının veri güvenliği konusundaki sorumluluklarını net şekilde ortaya koymaktadır.

Kararda yer alan olay özetine göre:

İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin "Kişisel Verilerin Korunması ve İşletilmesi Politikası" kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Bu olay, hastanelerin e-posta sistemlerinde yaşanan teknik hatalar nedeniyle bile olsa, hasta verilerinin yetkisiz kişilere ulaşmasının ne kadar ciddi sonuçlar doğurabileceğini göstermektedir. Tüp bebek tedavisi gibi özel ve hassas sağlık durumlarına ilişkin verilerin yanlış kişilere gönderilmesi, hem hasta mahremiyetini ihlal etmekte hem de KVKK kapsamında ağır yaptırımları beraberinde getirmektedir.

Kurul'un değerlendirmesinde, tahlil sonuçlarının özel nitelikli kişisel veri olduğu ve bu verilerin 6698 sayılı Kanun'un 8. maddesinde belirtilen şartlar sağlanmadan üçüncü kişilere aktarılmasının hukuka aykırılık oluşturduğu tespit edilmiştir. Hastane yönetiminin hatayı kabul etmesi, ihlali ortadan kaldırmamış ve yasal yaptırımların uygulanmasını engellememiştir.

Veri Güvenliği Yükümlülükleri

6698 sayılı KVKK'nın 12. maddesinin 1. fıkrası, veri sorumlusunun gerekli güvenlik tedbirlerini alma yükümlülüğünü düzenlemektedir. Bu madde kapsamında hastaneler:

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
• Verilere hukuka aykırı erişimi engellemek
• Verilerin muhafazasını sağlamak
• Teknik ve idari güvenlik tedbirlerini almak

yükümlülüğü altındadır.

2020/407 sayılı kararda Kurul'un nihai değerlendirmesi şu şekildedir:

Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

100.000 TL idari para cezası uygulanması, hastanelerin veri güvenliği konusunda ne kadar dikkatli olmaları gerektiğini göstermektedir. Bu ceza miktarı, 2020 yılı itibariyle önemli bir meblağ olup, sağlık kuruluşlarının veri koruma sistemlerini güçlendirmeleri konusunda caydırıcı bir etki yaratmaktadır.

6698 sayılı KVKK'nın 18. maddesinin 1. fıkrasının (b) bendi, veri güvenliğine ilişkin yükümlülüklerin ihlal edilmesi durumunda uygulanacak idari para cezalarını düzenlemektedir. Bu hüküm kapsamında:

• Veri sorumlusunun gerekli teknik ve idari tedbirleri almaması
• Kişisel verilerin güvenliğini sağlayacak önlemleri ihmal etmesi
• Veri işleme süreçlerinde yeterli kontrol mekanizmalarını oluşturmaması

durumlarında idari para cezası uygulanabilmektedir.

Bu karar, hastanelerin e-posta güvenliği, sistem yönetimi ve personel eğitimi konularında daha dikkatli olmaları gerektiğini ortaya koymaktadır. Özellikle tüp bebek tedavisi, onkoloji, psikiyatri gibi hassas sağlık alanlarında çalışan kuruluşların, hasta verilerinin korunması konusunda ekstra önlemler alması zorunludur.

E-Nabız Sistemine Yetkisiz Erişim ve Diğer Sağlık Veri İhlalleri

Sistem Güvenliği İhlalleri

Dijital sağlık sistemlerinin yaygınlaşması ile birlikte, e-nabız gibi merkezi sağlık veri sistemlerine yetkisiz erişim vakaları da artış göstermektedir. Kişisel Verileri Koruma Kurulu'nun verdiği kararlar, bu tür ihlallerin ne kadar ciddi sonuçlar doğurabileceğini açık şekilde ortaya koymaktadır.

KVKK Kurul Kararı 2021/962 kapsamında ele alınan bir vakada, hasta hiç muayene olmadığı bir hastane çalışanı hekimin, e-nabız sistemine yetkisiz erişim sağlayarak hastanın tüm sağlık geçmişini incelediği tespit edilmiştir. Bu olayda dikkat çeken husus, hekimin yanında sekreter olarak görev yapan kişinin, hekimin hasta muayenesi sırasında sisteme erişim sağlamasıdır.

İlgili kişinin e-nabız sistemine yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığı ve bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Bu karar, sağlık kuruluşlarının sistem erişim yetkilerini ne kadar dikkatli yönetmesi gerektiğini göstermektedir. Sadece hekimlerin değil, yanlarında çalışan personelin de sistem güvenliği açısından risk oluşturabileceği unutulmamalıdır.

Doğum belgesi verilerinin yetkisiz elde edilmesi konusunda verilen KVKK Kurul Kararı 2021/666 ise başka bir güvenlik açığını gözler önüne sermektedir. Bu vakada, boşanmış eşin hastane sisteminden yeni doğan bebeğe ait doğum belgesi bilgilerini elde ederek mahkeme davasında delil olarak kullanması söz konusu olmuştur. Kurul, hastane bünyesinde kayıt altına alınan kişisel verilerin yer aldığı sisteme kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığını tespit etmiştir.

Çoklu Veri İhlali Kararları

Sağlık sektöründe yaşanan veri ihlalleri sadece bireysel vakalarla sınırlı kalmamakta, toplu veri ihlalleri de ciddi boyutlara ulaşabilmektedir. Kişisel Verileri Koruma Kurulu'nun değerlendirdiği çeşitli vakalar, sağlık kuruluşlarının karşılaştığı farklı tehdit türlerini ortaya koymaktadır.

Siber saldırılar sağlık sektöründe en yaygın veri ihlali nedenlerinden biri haline gelmiştir. Özel Dentapoint Diş Sağlığı Polikliniği'nde yaşanan vaka, 12.07.2021 tarihinde gerçekleşen siber saldırı sonucu yaklaşık 14.000 kişinin hasta bilgilerinin şifrelenmesi ile sonuçlanmıştır. Benzer şekilde, Prof. Dr. Birol Civelek'in muayenehanesinde 10 Haziran 2021 tarihinde yaşanan siber saldırıda 600 hastanın fotoğrafları çalınmıştır.

İç tehditler de sağlık kuruluşları için önemli bir risk faktörü oluşturmaktadır. INTERGEN Genetik ve Nadir Hastalıklar Tanı Merkezi'nde yaşanan vakada, işten ayrılan bilgi işlem çalışanının yetkilerini kötüye kullanarak yaklaşık 10.000 kişinin verilerini kopyalaması, personel güvenliği konusundaki açıkları gözler önüne sermiştir.

Eczane sektöründe yaşanan veri ihlalleri de dikkat çekicidir. Rezzan Günday Şimşek Eczanesi'nde eski çalışan tarafından 2019 Ekim ayından itibaren hastaların TC kimlik numaralarının izinsiz olarak başka eczanelere aktarılması ve Medula Sistemi üzerinden kullanılması vakası, sektördeki güvenlik açıklarını ortaya koymaktadır.

Hastane veri ihlalleri en geniş çaplı etkilere sahip olabilmektedir. Bir hastanede çalışan hekimin 789 hastaya ait dosyaları hastane dışına çıkarması sonucu gerçekleşen veri ihlalinde, kimlik, iletişim, sağlık bilgileri ve genetik veriler dahil olmak üzere çok sayıda kişisel veri ve özel nitelikli kişisel veri etkilenmiştir. Bu vaka için Kurul toplam 600.000 TL idari para cezası uygulamıştır.

Sigorta sektöründe yaşanan veri ihlalleri de sağlık verilerini etkileyebilmektedir. Bir sigorta şirketinin eczane provizyon sisteminin değiştirilmesi sırasında 683 müşterinin kimlik ve ilaç kullanım bilgilerinin 11 sigortalı tarafından görüntülenebilir hale gelmesi, sistem güncellemeleri sırasında alınması gereken güvenlik tedbirlerinin önemini göstermektedir.

---

Sağlık sektöründe kişisel veri korunması, sadece yasal bir yükümlülük değil, aynı zamanda hasta güveninin temel taşıdır. KVKK kapsamında verilen kurul kararları, eczanelerden hastanelere, bireysel hekimlerden büyük sağlık kuruluşlarına kadar tüm sektör paydaşlarının veri koruma yükümlülüklerini ciddiye alması gerektiğini açık şekilde ortaya koymaktadır.

Özel nitelikli kişisel veri kategorisinde yer alan sağlık verilerinin korunması için alınması gereken tedbirler, teknik güvenlik önlemlerinden personel eğitimlerine, sistem erişim kontrollerinden veri aktarım prosedürlerine kadar geniş bir yelpazede ele alınmalıdır. İhlal durumlarında uygulanan idari para cezaları ve **cezai y