e-Nabız Verilerine Usulsüz Erişim ve Hekim Şifresinin Paylaşımı: 2023/695 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 02/05/2023 tarihli ve 2023/695 sayılı kararı ile sağlık sektöründe sıkça rastlanan ancak çok ciddi bir ihlal olan “hekim şifresinin personel ile paylaşılması” ve “e-Nabız verilerine yetkisiz erişim” konusunu karara bağlamıştır. Bu karar, özel tıp merkezleri ve hekimler için veri güvenliği yükümlülüklerinin sınırlarını net bir şekilde çizmektedir.
Olayın Özeti: “Avukat Arkadaşım Rica Etti” İtirafı
İlgili kişi, daha önce hiç gitmediği bir tıp merkezindeki bir hekimin e-Nabız sistemi üzerinden sağlık verilerine eriştiğini fark ederek şikayetçi olmuştur. Veri sorumlusu tıp merkezi, başlangıçta olayın “TC kimlik numarası benzerliği nedeniyle sehven” olduğunu savunsa da, yapılan incelemede gerçek ortaya çıkmıştır:
- İtiraf: Hekim sekreterinin, bir personelin ricası üzerine (personelin avukat bir tanıdığının isteğiyle) hekimin e-imzasını/şifresini kullanarak ilgili kişinin verilerine girdiği tespit edilmiştir.
- Savunma: Tıp merkezi; ilgili kişinin e-Nabız ayarlarının “Tüm hekimler görsün” şeklinde olmasının bu erişimi hukuka uygun kıldığını ve sekretere eğitim verilip gizlilik sözleşmesi imzalatılmasından başka yapılabilecek bir şey olmadığını savunmuştur.
Kurulun Hukuki Değerlendirmesi: “Tüm Hekimler Görsün” Onayı Sınırsız Değildir
Kurul, kararda sağlık verilerinin korunmasına ilişkin çok kritik iki saptama yapmıştır:
- Erişim Ayarının Amacı: e-Nabız sistemindeki “Sağlık Bakanlığına bağlı tüm hekimler verilerimi görsün” tercihi, hekimlere o kişinin verileri üzerinde sınırsız tasarruf hakkı vermez. Bu izin, sadece sağlık durumunun gerektirdiği hallerle (teşhis, tedavi vb.) sınırlı bir erişim yetkisidir. Merak veya hatır ilişkisi için veri sorgulama hakkı tanımaz.
- Hekimin Sorumluluğu: Sağlık verileri (özel nitelikli veri) işleyen bir hekimin, kendisine tahsis edilen e-imza ve şifreyi personeliyle paylaşması, veri güvenliği yükümlülüğünün (Md. 12) ağır ihlalidir. Hekim, bu şifrenin gizliliğinden bizzat sorumludur.
Karar Sonucu: 200.000 TL İdari Para Cezası
Kurul;
- Özel nitelikli verilerin (sağlık verisi) Kanun’un 6. maddesindeki şartlar olmaksızın işlendiği,
- Hekimin şifresini korumak için gerekli özeni göstermediği,
- Personel eğitimlerinin yeterince tevsik edilemediği gerekçeleriyle,Veri sorumlusu tıp merkezine 200.000 TL idari para cezası uygulanmasına karar vermiştir.
Özgür Eralp Perspektifi: “Sağlık Verisi Merak Konusu Değildir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, sağlık kuruluşlarında “doktorun şifresini sekreterin kullanması” durumunun bir alışkanlık haline geldiğini görüyoruz. Bu karar, bu alışkanlığın ne kadar büyük bir hukuki ve mali risk barındırdığını göstermektedir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sağlık verisi sızıntıları, kişinin sadece mahremiyetini değil, mesleki geleceğini (örneğin memuriyet durumunu) de tehlikeye atabilir. Tıp merkezleri, teknik tedbirlerin (log kayıtları gibi) ihlali tespit etmeye yaradığını ancak ihlali önlemediğini anlamalıdır. Önemli olan, hekimin şifresini personelinden kıskanacağı bir dijital disiplin oluşturmaktır. Ayrıca, e-Nabız ayarlarınızın “açık” olması, sizin her türlü suistimale açık olduğunuz anlamına gelmez; hukuk her zaman “meşru amaç” şartını arar.
Sıkça Sorulan Sorular
1. e-Nabız ayarlarımı “Tüm hekimler görsün” yaparsam suç mu işlemiş olurum?
Hayır, bu sizin tercihinizdir ve acil durumlarda hayat kurtarabilir. Ancak bu ayar açık olsa dahi, bir hekimin sizi muayene etmeden verilerinize bakması hukuka aykırıdır.
2. Hekimin sekreteri benim verilerime bakarsa kim ceza alır?
İdari para cezasını kurum (tıp merkezi) alır. Ancak sekreter ve veriye bakılmasına izin veren hekim hakkında Türk Ceza Kanunu kapsamında “Kişisel Verileri Hukuka Aykırı Olarak Ele Geçirme” suçundan suç duyurusunda bulunulabilir.
3. Hastaneler personeline eğitim verdiğini nasıl kanıtlamalı?
Sadece “Eğitim verdik” demek yetmez. Eğitimin içeriği, katılım listesi (imzalı), eğitim tarihi ve varsa sınav sonuçları gibi belgelerle bu durum Kurul’a kanıtlanmalıdır.
4. Bu tür bir durumda zararımın tazmini için ne yapmalıyım?
Kurul’un verdiği idari para cezası devlete ödenir. Sizin maddi veya manevi bir zararınız varsa, genel mahkemelerde (Asliye Hukuk) veri sorumlusuna karşı tazminat davası açmanız gerekir.
5. Log kayıtları bu olayda nasıl bir rol oynamıştır?
Log kayıtları “dijital ayak izidir”. Bu olayda veri sorumlusu, sekreterin hangi bilgisayardan, ne zaman ve hangi şifreyle giriş yaptığını log kayıtları sayesinde tespit edebilmiştir. Bu durum kurumun ceza almasını engellemez ancak sorumluların tespitini sağlar.
Kaynaklar
- KVKK Kurumu – 2023/695 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6, 12, 18)
- Kişisel Sağlık Verileri Hakkında Yönetmelik
- Türk Ceza Kanunu (Madde 136)
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),