Hastane Mahremiyetinin Sosyal Medya İhlali: 2018 Yılı KVKK Karar Analizi
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli bu karar özetiyle, dijitalleşen sağlık sektöründe “ekran görüntüsü” alma ve sosyal medya paylaşımı yoluyla gerçekleşen ağır bir veri ihlalini karara bağlamıştır. Bu vaka, hastanelerin sadece dijital sistemlerini değil, çalışanlarının fiziksel davranışlarını da denetlemesi gerektiğini göstermektedir.
1. Olayın Özeti: Hekim Eliyle Gelen İfşa
Olay: Bir hastanede tedavi gören ilgili kişiye ait sağlık raporu (özel nitelikli kişisel veri), hastane personelinin kullanımı için tasarlanmış bir mobil uygulama üzerinden görüntülenmiştir. Tedavi sürecinde yer alan hekimler, bu uygulama ekranının görüntüsünü başka bir cihazla çekerek internet ve sosyal medya mecralarında paylaşmıştır.
Bu eylem sonucunda, hastanın mahrem sağlık bilgileri kontrolsüz bir şekilde geniş bir kitleye ifşa edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: Fiziksel Güvenlik ve Denetim
Kurul, resen (kendiliğinden) başlattığı inceleme neticesinde şu hukuki tespitlerde bulunmuştur:
- Özel Nitelikli Verinin Hassasiyeti: Sağlık verileri, Kanun’un 6. maddesi uyarınca en üst düzeyde korunması gereken verilerdir. Bu verilerin ifşası, ilgili kişinin onuru ve sosyal hayatı üzerinde geri dönülemez zararlar doğurabilir.
- Veri Muhafaza Yükümlülüğü (Md. 12/1-c): Veri sorumlusu olan hastane, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlüdür. Bu yükümlülük sadece yazılımsal duvarlar örmeyi değil, verinin fiziksel olarak (başka bir telefonla çekilerek) dışarı sızmasını önleyecek idari tedbirleri ve denetimleri de kapsar.
- Personel Eğitimi ve Farkındalık: Hekimlerin bu veriyi sosyal medyada paylaşabilmiş olması, veri sorumlusunun personeline gerekli KVKK eğitimlerini vermediğini veya bu konuda yeterli bir “disiplin ve gizlilik politikası” işletmediğini kanıtlamaktadır.
3. Karar Sonucu: İdari Para Cezası
Kurul, özel nitelikli kişisel verilerin güvenliğini sağlayamayan ve geniş kitlelere ifşa edilmesine zemin hazırlayan hastane (veri sorumlusu) hakkında KVKK Madde 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Teknik Tedbir Yetmez, Etik Denetim Şart”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, sağlık kuruluşlarının en çok “ekran görüntüsü” ve “WhatsApp grupları” üzerinden veri sızdırdığını görüyoruz. Sistem ne kadar şifreli olursa olsun, biri gelip ekranın fotoğrafını çekebiliyorsa orada bir güvenlik zafiyeti vardır. Kurul bu kararla, “Hekimin kişisel kusuru beni bağlamaz” diyen hastane yönetimlerine, “Hayır, çalışanının veri işleme pratiğinden de sen sorumlusun” demiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sağlık kuruluşları, mobil uygulamalarına “ekran görüntüsü almayı engelleyici” (anti-screenshot) yazılımlar koymalı, ancak daha da önemlisi çalışanlarına bu verilerin mahremiyeti konusunda ağır disiplin yaptırımları içeren eğitimler vermelidir. Bir hastanın raporu, sosyal medyada bir “hikaye” (story) malzemesi olamaz. Bu durum sadece KVKK ihlali değil, aynı zamanda Türk Ceza Kanunu kapsamında hapis cezası gerektiren bir suçtur.
Sıkça Sorulan Sorular
1. Hekimin benim raporumu sosyal medyada paylaşması suç mudur?
Evet. Bu hem KVKK uyarınca bir idari ihlaldir hem de Türk Ceza Kanunu Md. 136 uyarınca “Kişisel verileri hukuka aykırı olarak yayma” suçunu oluşturur.
2. Hastane “Doktor kendi telefonuna çekmiş, ben ne yapabilirim?” diyebilir mi?
Hayır. Hastane, verinin işlendiği ortamın (mobil uygulama, bilgisayar vb.) güvenliğini ve bu veriye erişen kişilerin bu veriyi dışarı sızdırmamasını sağlayacak idari tedbirleri (politika, eğitim, denetim) almakla yükümlüdür.
3. Sağlık verilerimin ifşa edildiğini fark edersem ne yapmalıyım?
İlgili sosyal medya mecrasına bildirimde bulunarak içeriğin kaldırılmasını isteyin. Ardından hem hastaneye (veri sorumlusu) başvurun hem de Kişisel Verileri Koruma Kurulu’na şikayette bulunun. Ayrıca maddi-manevi tazminat davası açma hakkınız da bulunmaktadır.
4. Özel nitelikli veriler için Kurul’un özel bir kararı var mı?
Evet, Kurul’un 2018/10 sayılı ilke kararı, özel nitelikli kişisel verilerin işlenmesinde alınması gereken ek güvenlik önlemlerini (şifreleme, log kaydı, fiziksel güvenlik vb.) detaylıca açıklamaktadır.
5. Ekran görüntüsü almak neden bu kadar büyük bir sorun?
Çünkü ekran görüntüsü (veya ekranın fotoğrafının çekilmesi), verinin kurumun kontrolündeki “güvenli ortamdan” çıkıp, kontrol edilemeyen “güvensiz ve kalıcı” bir dijital kopyaya dönüşmesine neden olur.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 6, 12 ve 18)
- Kurulun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler” Kararı
Etiketler
KVKK, Sağlık Verisi, Özel Nitelikli Kişisel Veri, Hastane İhlali, Sosyal Medya İfşası, İdari Para Cezası, Veri Güvenliği, Bilişim Hukuku, Özgür Eralp, Ekran Görüntüsü İhlali, Hekim Sorumluluğu, Veri Muhafazası, Mahremiyet Hakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),