e-Nabız Verilerine Usulsüz Erişim ve Hekim Şifresinin Paylaşımı: 2023/695 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 02/05/2023 tarihli ve 2023/695 sayılı kararı ile sağlık sektöründe “merak” veya “hatır ricası” ile yapılan veri sorgulamalarına karşı çok net bir duruş sergilemiştir. Karar, hekimlere tanımlanan e-imza ve şifrelerin yardımcı personel ile paylaşılmasının doğurduğu hukuki riskleri ve e-Nabız gizlilik ayarlarının kapsamını belirlemektedir.
1. Olayın Özeti: “Avukat Arkadaşım Rica Etti” İtirafı
İlgili kişi, daha önce hiç gitmediği bir tıp merkezindeki bir hekimin e-Nabız üzerinden sağlık verilerine eriştiğini fark ederek şikâyetçi olmuştur.
- Veri Sorumlusunun İlk Savunması: Başta “T.C. kimlik numarası benzerliği nedeniyle sehven girildi” denilmiştir.
- Gerçek Durum: Yapılan derin inceleme sonucunda; hekim sekreterinin, bir hastane çalışanının ricası (onun da avukat bir tanıdığının isteği) üzerine hekimin şifresini/e-imzasını kullanarak verilere eriştiği tespit edilmiştir.
- Gizlilik Ayarı Argümanı: Tıp merkezi, ilgili kişinin e-Nabız ayarının “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde olmasının bu erişimi hukuka uygun kıldığını savunmuştur.
2. Kurulun Hukuki Değerlendirmesi
Kurul, sağlık verilerinin “özel nitelikli kişisel veri” olması nedeniyle uyuşmazlığı şu kriterlerle değerlendirmiştir:
- “Tüm Hekimler Görsün” İzni Sınırsız Değildir: Kişilerin e-Nabız erişim yetkisini geniş tutması, herhangi bir hekime bu verileri keyfi olarak işleme hakkı vermez. Bu izin, yalnızca sağlık durumunun gerektirdiği hallerle (teşhis, tedavi vb.) sınırlı bir erişim yetkisidir.
- Hekim Şifresinin Paylaşılması: Hekimlere sağlanan e-imza ve şifreler kişiye özeldir. Hekimin bu şifreyi sekreteriyle paylaşması, özel nitelikli kişisel verilerin korunması konusundaki özen yükümlülüğünün (KVKK Md. 12) ihlalidir.
- Hukuka Aykırı İşleme: Somut olayda hiçbir tıbbi gerekçe, teşhis veya tedavi amacı bulunmadığından, yapılan erişim Kanun’un 6. maddesindeki işleme şartlarından hiçbirine dayanmamaktadır.
3. Karar Sonucu: 200.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Özel nitelikli verilerin (sağlık verisi) hukuka aykırı işlendiği,
- Hekimin şifresini korumak için gerekli önlemlerin alınmadığı,
- Personel eğitimlerinin yeterince tevsik edilemediği gerekçeleriyle,Veri sorumlusu tıp merkezine 200.000 TL idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Şifre Namustur, Paylaşılamaz”
Bilişim hukuku alanındaki tecrübemizde, sağlık kuruluşlarında sekreterlerin hekim adına sistemlere girmesinin bir “kolaylık” olarak görüldüğünü biliyoruz. Ancak bu karar, bu kolaylığın kurumlar için nasıl bir mali yıkıma dönüşebileceğini göstermiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Tıp merkezleri, teknik tedbirlerin (log kayıtları gibi) sadece ihlali tespit etmeye yaradığını, ihlali önleyenin ise “idari disiplin” olduğunu anlamalıdır. Hekimlere verilen e-imzalar, banka şifresi kadar mahrem tutulmalıdır. Ayrıca e-Nabız ayarlarınızın açık olması, kapınızın herkese açık olduğu anlamına gelmez; hukuk her zaman “meşru amaç” ve “ölçülülük” arar. Veriye yetkisiz erişen personel hakkında TCK kapsamında “Kişisel Verileri Hukuka Aykırı Ele Geçirme” suçundan ayrıca ceza davası açılması da kuvvetle muhtemeldir.
Sıkça Sorulan Sorular
1. e-Nabız ayarlarımı “Tüm hekimler görsün” yaparsam verilerim tehlikede mi?
Hayır, bu ayar acil durumlarda hayat kurtarabilir. Ancak sizi muayene etmeyen veya tedavi sürecinizde yer almayan bir hekimin verilerinize bakması KVKK ihlalidir.
2. Hekim sekreteri benim verilerime baktığında kim ceza alır?
İdari para cezasını Kurul doğrudan kuruma (Tıp Merkezine) keser. Ancak ilgili şahıslar hakkında Türk Ceza Kanunu kapsamında savcılığa suç duyurusunda bulunma hakkınız saklıdır.
3. Bir hekim benim verilerime baktığında bunu nasıl anlarım?
e-Nabız sistemi üzerinden “Bilgilerime Erişim Sorgulama” sekmesine girerek, hangi sağlık tesisinin veya hangi hekimin ne zaman verilerinizi görüntülediğini anlık olarak takip edebilirsiniz.
4. Bu ihlal nedeniyle tazminat davası açabilir miyim?
Evet. Kurul’un verdiği para cezası devlete ödenir. Sizin verilerinizin yetkisiz görülmesi nedeniyle uğradığınız manevi zarar için asliye hukuk mahkemelerinde tazminat davası açabilirsiniz.
Kaynaklar
- KVKK Kurumu – 2023/695 Sayılı Karar Özeti
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 6, 12, 18)
- Kişisel Sağlık Verileri Hakkında Yönetmelik
- Türk Ceza Kanunu (Madde 136 – Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme)
Etiketler
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),