Eczanede Sağlık Verisi İhlali: Eski Eşe İlaç ve Rapor Bilgisi Verilmesi (Karar: 2023/1130)
Kişisel Verileri Koruma Kurulu (Kurul), 06/07/2023 tarihli ve 2023/1130 sayılı kararı ile sağlık verilerinin mahremiyeti ve eczacıların sır saklama yükümlülüğü konusunda çok kritik bir dosya incelemiştir. Karar, “yardımcı olmak” amacıyla dahi olsa, hastanın özel nitelikli kişisel verilerinin (sağlık verisi) yetkisiz üçüncü kişilerle paylaşılmasının ağır yaptırımlarını ortaya koymaktadır.
Olayın Özeti: Velayet Davasında Kullanılan İlaç Kayıtları
İlgili kişi (hasta), eşinden boşanmış ve aralarında bir velayet davası devam etmektedir. Eski eş, ilgili kişinin tedavi gördüğü eczaneye giderek “raporları yenilememiz gerekiyor” gerekçesiyle ilgili kişinin hastane raporlarını ve ilaç listesini talep etmiştir. Eczane çalışanı, tarafların boşandığını bilmediğini ve ilgili kişiye yardımcı olmak amacıyla bu kayıtların çıktısını alarak eski eşe vermiştir. Eski eş ise bu verileri velayet davasında delil olarak kullanmıştır.
Eczacının Savunması: “Yıllardır İlaçlarını Eşi Alıyordu”
Eczacı savunmasında özetle şunları belirtmiştir:
- Süreklilik: İlgili kişi yıllardır bu eczaneden alışveriş yapmaktadır ve geçmişte ilaçlarını her zaman eşi almıştır.
- Hüsnüniyet (İyi Niyet): Personel, tarafların boşandığını bilmediği için tedavi sürecine katkı sağlamak ve hastaya faydalı olmak amacıyla bu belgeleri vermiştir.
- Medula Sistemi: Eczacılar Medula sisteminin yöneticisi değil, sadece kullanıcısıdır (veri işleyen sıfatındadır).
Kurulun Hukuki Değerlendirmesi: Veri İşleyen mi, Veri Sorumlusu mu?
Kurul, eczacıların Medula sistemi karşısındaki konumunu ve sorumluluğunu şu şekilde analiz etmiştir:
- Medula ve Veri Sorumluluğu: Eczacılar, Medula sistemindeki verilerin amacını ve vasıtasını belirlemedikleri için normal şartlarda bu sistemdeki veriler açısından “Veri İşleyen” sıfatındadır.
- Sıfatın Değişmesi: Ancak bir eczacı, sistemdeki verilerin çıktısını alıp hastaya özel klasör oluşturur veya bu veriyi üçüncü bir kişiyle paylaşırsa, bu yeni ve bağımsız işleme faaliyeti nedeniyle artık “Veri Sorumlusu” haline gelir.
- Sağlık Verilerinin Hassasiyeti: Sağlık verileri KVKK Madde 6 uyarınca özel nitelikli kişisel veridir. Bu verilerin işlenmesi, ancak hastanın açık rızasıyla veya kanunda sayılan çok sınırlı hallerde (kamu sağlığı, tıbbi teşhis vb.) mümkündür. Eski eşe bilgi verilmesi bu şartların hiçbirine girmez.
- Sır Saklama Yükümlülüğü: Eczacılar, TCK ve “İyi Eczacılık Uygulamaları Kılavuzu” uyarınca hastanın mahremiyetini korumakla ve sır saklamakla yükümlüdür.
Karar Sonucu: 50.000 TL İdari Para Cezası ve Uyarı
Kurul inceleme neticesinde;
- Özel nitelikli kişisel verilerin (sağlık verisi) hukuka aykırı şekilde paylaşıldığı,
- Eczacının, yanında çalıştırdığı personelin denetimi ve eğitimi konusundaki özen yükümlülüğünü (Md. 12) yerine getirmediği,Gerekçeleriyle veri sorumlusu eczacı hakkında 50.000 TL idari para cezası uygulanmasına ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler” (2018/10 sayılı karar) hususunda uyarılmasına karar vermiştir.
Özgür Eralp Perspektifi: “Eski Alışkanlıklar, Yeni Cezalar Getirir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, “Yıllardır tanıyoruz, eşidir/akrabasıdır diye verdik” savunmasının en yaygın ancak hukuken en zayıf savunma olduğunu gördük. KVKK dünyasında “tanışıklık” veya “iyi niyet”, hukuka aykırı veri paylaşımını meşru kılmaz.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Eczaneler, personellerine “Hastanın ilacını akrabasına teslim edebilirsiniz ama hastanın geçmiş rapor dökümünü veya teşhis bilgilerini asla paylaşamazsınız” şeklinde net bir bariyer koymalıdır. Özellikle boşanma aşamasındaki çiftlerde bu veriler “silah” olarak kullanılmakta ve faturası eczacıya kesilmektedir. Hastalar ise sağlık verilerinin izinsiz paylaşıldığını fark ettiklerinde, eczacının sadece idari ceza almayacağını, aynı zamanda TCK kapsamında “Kişisel Verileri Hukuka Aykırı Yayma” suçundan hapis cezası riskiyle de karşı karşıya kalacağını bilmelidir.
Sıkça Sorulan Sorular
1. Eczacı benim ilaç listemi anneme veya kardeşime verebilir mi?
Hayır. Acil durumlar ve yasal vasilik durumları hariç, sağlık verileriniz sadece size aittir. Eczacı, sizin onayınız (vekaletiniz veya açık beyanınız) olmadan döküman paylaşamaz.
2. “Eski eşiyim” diyerek kandırılan eczacı personeli suçlu mudur?
Hukuki olarak sorumluluk “adam çalıştıran” sıfatıyla eczacıdadır. Personelin eğitimsizliği veya dikkatsizliği eczacıyı cezadan kurtarmaz; aksine denetim yükümlülüğünü yerine getirmediğini kanıtlar.
3. Medula sisteminde hangi verilerim görünüyor?
Sözleşmeli eczaneler T.C. kimlik numaranızla sisteme girdiğinde; son 1 yıllık ilaç geçmişinizi, aktif raporlarınızı, tanı kodlarınızı ve reçete detaylarınızı görebilirler.
4. İlacımı eşim alabilir mi?
Evet, ilacın fiziken teslim edilmesi (tedarik süreci) hayatın olağan akışında kabul edilir. Ancak “teslimat” ile “geçmişe dönük veri dökümü/rapor çıktısı paylaşımı” birbirinden tamamen farklı hukuki işlemlerdir.
5. Bu ihlal nedeniyle maddi-manevi tazminat davası açabilir miyim?
Evet. Kurul’un verdiği 50.000 TL ceza devlete ödenir. Sizin velayet davasında veya özel hayatınızda uğradığınız zarar için eczacıya karşı genel mahkemelerde tazminat davası açma hakkınız saklıdır.
Kaynaklar
- KVKK Kurumu – 2023/1130 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6, 12, 18)
- İyi Eczacılık Uygulamaları Kılavuzu (TİTCK)
- Türk Borçlar Kanunu (Madde 116 – Yardımcı Kişilerin Fiillerinden Sorumluluk)
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),