Eczanede Sağlık Verisi İfşası: 2018/143 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 05/12/2018 tarihli bu kararı ile sağlık sektöründeki en hassas halkalardan biri olan eczanelerin veri güvenliği yükümlülüklerine dikkat çekmiştir. Karar, “hasta mahremiyeti” ve “sır saklama yükümlülüğü”nün sadece etik bir kural değil, KVKK kapsamında ağır yaptırımları olan hukuki bir zorunluluk olduğunu tescil etmektedir.
1. Olayın Özeti: İlaç Bilgisinin Üçüncü Kişiye Verilmesi
Olay: Doktor kontrolünde düzenli ilaç kullanan bir vatandaşın (ilgili kişi), hangi ilaçları kullandığına dair özel nitelikli sağlık verisi, ilaçları temin ettiği eczane tarafından hukuki bir dayanak olmaksızın üçüncü bir kişiyle paylaşılmıştır.
Hasta, mahrem sağlık bilgilerinin rızası dışında başkasına verilmesi üzerine eczane hakkında Kurul’a şikayette bulunmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Sağlık Verisi Dokunulmazdır”
Kurul, eczanenin bu eylemini Kanun’un özel nitelikli verilere ilişkin katı kuralları çerçevesinde incelemiştir:
- Özel Nitelikli Veri Statüsü (Md. 6): Kişinin kullandığı ilaçlar, doğrudan sağlık durumunu ele veren verilerdir. Bu veriler Kanun’un 6. maddesi uyarınca “özel nitelikli kişisel veri”dir ve işlenmesi/aktarılması çok sıkı şartlara bağlanmıştır.
- Aktarım Şartlarının İhlali (Md. 8): Sağlık verileri; ancak kişinin açık rızası varsa veya tıbbi teşhis, tedavi gibi durumlarda sır saklama yükümlülüğü altındaki kişilerce (doktor, eczacı vb.) aktarılabilir. Üçüncü bir şahsın (akraba, arkadaş, meraklı komşu vb.) “hastanın ne ilacı kullandığını öğrenmesi” bu istisnaların hiçbirine girmemektedir.
- Sır Saklama ve Veri Güvenliği (Md. 12/4): Kanun, veri sorumlularına öğrendikleri kişisel verileri kimseye açıklayamayacakları ve işleme amacı dışında kullanamayacakları yönünde net bir görev yükler. Eczacının bu bilgiyi paylaşması, bu sadakat ve güvenlik yükümlülüğünün doğrudan ihlalidir.
3. Karar Sonucu: İdari Para Cezası
Kurul inceleme neticesinde;
- İlgili kişinin sağlık verilerini Kanun’un 8. maddesindeki aktarım şartlarını sağlamadan üçüncü kişilerle paylaşan,
- Böylece veri güvenliği ve sır saklama yükümlülüğüne (Md. 12/4) aykırı hareket eden,Veri sorumlusu eczane hakkında KVKK Madde 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Eczane Tezgâhı Dedikodu Alanı Değildir”
Bilişim hukuku alanındaki tecrübemizde, sağlık verilerinin en çok “hatır ricası” veya “iyi niyetli yardımcı olma” kisvesi altında sızdırıldığını görüyoruz. Bir eczacının, hastanın bir yakınına “X beyin tansiyon ilaçları geldi” demesi bile, eğer hastanın bu yönde bir rızası yoksa, ağır bir veri ihlalidir. Sağlık verisi, bireyin toplum içindeki itibarını ve özel hayatını doğrudan etkileyen en hassas veridir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sağlık hizmeti sunan tüm veri sorumluları (hastaneler, eczaneler, tıp merkezleri), personellerine verilerin mahremiyeti konusunda periyodik eğitimler vermelidir. “Yardımcı oluyordum” savunması Kurul nezdinde geçerli bir mazeret değildir. Eczaneler, hastanın rızası olmadan hiçbir dökümanı veya sözlü bilgiyi üçüncü kişilere (eş, dost dahil) vermeyecekleri teknik ve idari bir “mahremiyet duvarı” inşa etmelidir.
Sıkça Sorulan Sorular
1. Eczacı, aldığım ilacı eşime veya anneme söyleyebilir mi?
Kural olarak hayır. Sağlık verisi kişiye sıkı sıkıya bağlıdır. Sizin açık rızanız veya bu yönde bir vekaletiniz/beyanınız yoksa eczacı bu bilgiyi en yakınınızla dahi paylaşamaz.
2. “Hastaya iyilik yapıyordum” diyen eczacı cezadan kurtulur mu?
Hayır. KVKK, “iyi niyet”e değil, “hukuki işleme şartı”na bakar. Rıza veya kanuni bir zorunluluk (mahkeme kararı vb.) yoksa yapılan paylaşım ihlaldir.
3. Eczaneler hangi verilerimi işleyebilir?
Eczaneler, reçetenizi karşılamak, fatura kesmek ve SGK süreçlerini yönetmek için gerekli olan sağlık ve kimlik verilerinizi işleyebilir. Ancak bu işleme faaliyeti sadece “ilaç temini” amacıyla sınırlıdır.
4. İlaç bilgilerimin başkasına verildiğini öğrenirsem ne yapmalıyım?
Öncelikle eczaneye yazılı başvuruda bulunarak bilgi talep edin. Ardından Kişisel Verileri Koruma Kurulu’na şikayette bulunabilir ve uğradığınız manevi zarar için tazminat davası açabilirsiniz.
5. Bu karar eczacılar için ne anlama geliyor?
Eczacılar, sadece kendilerinin değil, kalfalarının ve diğer personellerinin de hastalar hakkında öğrendikleri bilgileri dışarı sızdırmasından “Veri Sorumlusu” olarak doğrudan sorumludur.
Kaynaklar
- KVKK Kurumu – 2018/143 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6, 8, 12 ve 18)
- Kişisel Sağlık Verileri Hakkında Yönetmelik
Etiketler
KVKK, Sağlık Verisi, Eczane İhlali, Özel Nitelikli Kişisel Veri, İlaç Kaydı İfşası, İdari Para Cezası, Veri Güvenliği, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Sır Saklama Yükümlülüğü, Kişisel Veri Aktarımı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),