Medula Verilerinin Eş Tarafından Sızdırılması: Eczaneye 60.000 TL Ceza ve Savcılık İhbarı (Karar: 2020/355)
Kişisel Verileri Koruma Kurulu (Kurul), 07/05/2020 tarihli bu kararıyla, eczacıların kullandığı Medula Eczane sistemine yetkisiz erişimin ve bu sistemden elde edilen sağlık verilerinin (özel nitelikli kişisel veri) şahsi çıkar/husumet amacıyla kullanılmasının hukuki sonuçlarını netleştirmiştir. Karar, eczanelerin sadece veri işleme yetkisine sahip olmadığını, aynı zamanda bu verilere üçüncü kişilerin (aile fertleri dahil) erişimini engellemekle yükümlü olduğunu tescil etmektedir.
1. Olayın Özeti: “Mesleğini Yapamaz” Dilekçesi ve Ekindeki Reçeteler
Olay: Bir şahıs, İl Sağlık Müdürlüğü’ne bir dilekçe vererek, başka bir eczacının sağlık sorunları olduğunu, bu mesleği yapacak beceriye sahip olmadığını ve yeni eczane açmasına izin verilmemesi gerektiğini iddia etmiştir. Bu şahıs, iddiasını kanıtlamak için dilekçesine, rakip gördüğü/şikayet ettiği eczacının tanı ve ilaç bilgilerini içeren Medula Eczane çıktılarını eklemiştir.
Soruşturma: Yapılan incelemede, dilekçe sahibinin eşinin de bir eczacı olduğu ve Medula kayıtlarının bu eşin eczanesinden sorgulanarak çıkarıldığı SGK verileriyle kesinleşmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Özel Nitelikli Veri ve Güvenlik Zafiyeti”
Kurul, olayı sağlık verilerinin korunması ve veri güvenliği yükümlülükleri çerçevesinde analiz etmiştir:
A. Medula Sistemi ve Veri Sorumluluğu
- Medula Nedir? SGK tarafından işletilen, reçete bilgilerinin denetlendiği ve faturalandığı bir sistemdir. Eczacılar bu sisteme erişmek için yetkilendirilmişlerdir.
- Eczacının Rolü: Eczacı, hastaların/hak sahiplerinin sağlık verilerine erişirken bu verilerin güvenliğini sağlamak zorunda olan bir Veri Sorumlusudur.
B. Sağlık Verilerinin İşlenme Şartları (Md. 6)
Sağlık verileri “özel nitelikli kişisel veri”dir. Kanun uyarınca bu veriler sadece tıbbi teşhis, tedavi, bakım veya sağlık hizmetlerinin finansmanı amacıyla işlenebilir.
- İhlal: Eczacının, eşinin bir şikayet dilekçesinde kullanması için başka bir meslektaşının ilaç dökümlerini sistemden çıkarması, Kanun’un izin verdiği tıbbi amaçların tamamen dışındadır.
C. Üçüncü Kişilerin Erişimi (Md. 12)
Veri sorumlusu (Eczane), kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almak zorundadır.
- Kusur: Eczacının, eşinin kendi ekranına/sistemine girmesine veya sistemden çıktı almasına izin vermesi (veya önleyememesi), güvenlik tedbirlerinin alınmadığının açık göstergesidir.
3. Karar Sonucu: Çifte Yaptırım
Kurul inceleme neticesinde şu ağır yaptırımlara hükmetmiştir:
- Eczaneye (Veri Sorumlusu) İdari Para Cezası: Medula sistemine üçüncü kişilerin (eşinin) erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı için 60.000 TL (2020 yılı değeri) idari para cezası uygulanmasına,
- Dilekçe Sahibi (Eczacının Eşi) Hakkında Suç Duyurusu: Başka bir kişiye ait sağlık verilerini hukuka aykırı yollarla ele geçirip resmi makamlara sunması nedeniyle, Türk Ceza Kanunu’nun 136. maddesindeki “Verileri hukuka aykırı olarak verme veya ele geçirme” suçundan hakkında savcılığa ihbarda bulunulmasına,karar verilmiştir.
4. Özgür Eralp Perspektifi: “Eczane Ekranı Şahsi Silah Değildir”
Bilişim ve sağlık hukuku tecrübemizde, kamuya açık olmayan sistemlere erişim yetkisi olan kişilerin (eczacı, doktor, bankacı), bu yetkiyi şahsi merak veya husumetleri için kullandığı “içeriden sızıntı” olaylarına sık rastlıyoruz. Bu karar, eczacıların Medula sistemine “hükümdar” olmadığını, o sistemin sadece hastaya hizmet için açıldığını hatırlatıyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Eczacılar, personellerinin veya aile bireylerinin Medula ekranına erişimini fiziksel ve teknik olarak engellemelidir. Bir başkasının reçetesini merak edip bakmak bile ihlaldir; hele ki bu dökümü alıp bir kurumda “karalama” yapmak, hem yüklü bir para cezasına hem de hapis cezası riskli bir ağır ceza davasına kapı açar. “O benim eşimdi, ekrana bakmış ne olur?” savunması KVKK nezdinde hiçbir geçerliliğe sahip değildir.
Sıkça Sorulan Sorular
1. Eczacı olan akrabam benim ilaç geçmişime bakabilir mi?
Sadece size o an sağlık hizmeti sunuyorsa (ilaç veriyorsa) bakabilir. Bunun dışındaki her türlü sorgulama “merak amaçlı” bile olsa hukuka aykırı bir veri işleme faaliyetidir.
2. Sağlık verilerimin sızdırıldığını düşünürsem ne yapmalıyım?
İlgili kurumun (eczane, hastane vb.) veri sorumlusu irtibat kişisine başvurun. Tatmin edici bir yanıt alamazsanız veya sızıntı kesinleşmişse KVKK’ya şikayette bulunabilir ve ayrıca savcılığa suç duyurusu yapabilirsiniz.
3. Bir başkasının ilaç dökümünü mahkemede delil olarak kullanabilir miyim?
Hukuka aykırı olarak (yetkisiz bir eczacı aracılığıyla vb.) elde edilen sağlık verileri mahkemede yasal delil sayılamayacağı gibi, bu veriyi sunan kişi hakkında TCK 136 kapsamında dava açılmasına neden olur.
4. 60.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu ceza, günümüzde (2026) yüz binlerce liralık ciddi bir maliyete ve mesleki itibar kaybına karşılık gelmektedir.
5. TCK 136 kapsamındaki ceza nedir?
Kişisel verileri hukuka aykırı olarak ele geçiren, yayan veya veren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Suçun niteliği gereği hapis cezası kaçınılmaz bir risktir.
Kaynaklar
- KVKK Kurumu – 2020/355 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6, 12, 18)
- Türk Ceza Kanunu (Madde 136)
- Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine İlişkin Yönetmelik
Etiketler
KVKK, Medula Eczane, Sağlık Verisi İhlali, Özel Nitelikli Kişisel Veri, TCK 136, Eczane Veri Güvenliği, 2020/355 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, İl Sağlık Müdürlüğü İhbarı, Reçete Bilgisi Sızıntısı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),