Beyaz Kod Kapsamında Veri İşleme: Hastaneye Karşı Yapılan Şikâyet Hakkında Karar (2020/63)

Kişisel Verileri Koruma Kurulu (Kurul), 27/01/2020 tarihli bu kararıyla, sağlık tesislerinde şiddeti önlemek amacıyla uygulanan “Beyaz Kod” süreçlerinde, ilgili kişilerin kimlik bilgilerinin rıza alınmaksızın tutanağa işlenmesini hukuka uygun bulmuştur. Karar, kamu hizmetinin işleyişi ve personelin korunması için tutulan tutanakların, veri sorumlusunun “hukuki yükümlülüğü” kapsamında olduğunu tescil etmiştir.

---

1. Olayın Özeti: Tartışma Sonrası Gelen Adli Ceza

Olay: Bir vatandaş, babasının tedavisi için gittiği hastanede görevlilerle tartışmış ve barkod alamadan ayrılmıştır. Hastane görevlileri olayla ilgili “Beyaz Kod” tutanağı düzenlemiş ve savcılığa suç duyurusunda bulunmuştur. Vatandaş, bu süreç sonunda adli para cezasına çarptırılmıştır.

Şikâyetçi İddiası: Hastane görevlilerinin, kendisinin açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerini hastane sisteminden çekerek olay tutanağına işlediğini, bu verilerin 1 yıl 3 ay sonra geriye dönük işlendiğini ve kamu gücünün kötüye kullanıldığını iddia etmiştir.

Hastanenin Savunması: * Tutanakların olay günü tutulduğu,

• Sağlık Bakanlığı’nın 2016/3 sayılı “Beyaz Kod” Genelgesi uyarınca işlem yapıldığı,
• Kimlik bilgileri olmadan Beyaz Kod bildiriminin yapılamayacağı belirtilmiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “Hukuki Yükümlülük” İstisnası

Kurul, şikâyeti KVKK’nın 5. maddesindeki veri işleme şartları ve sağlık mevzuatı çerçevesinde analiz etmiştir:

A. Beyaz Kod Nedir ve Yasal Dayanağı Nedir?

Beyaz Kod, sağlık personeline karşı işlenen suçlarda personelin hukuki yardım almasını sağlayan bir sistemdir.

• Dayanak: Sağlık Alanında Bazı Düzenlemeler Hakkında KHK (Md. 54) ve Sağlık Bakanlığı Genelgesi.
• İşleyiş: Sağlık personeli şiddete maruz kaldığında, adli sürece kanıt teşkil etmesi için olayı belgeleyen bir tutanak düzenlemek zorundadır.

B. Açık Rıza Aranmayan Haller (Md. 5/2-ç)

KVKK Madde 5/2-ç bendi, kişisel verilerin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” durumunda rızasız işlenebileceğini hükme bağlar.

• Karar: Hastanenin, personeline yönelik şiddet olayını bildirme ve kayıt altına alma görevi bir hukuki yükümlülüktür. Bu yükümlülüğü yerine getirmek için saldırganın/tartışan kişinin kimlik bilgilerini tutanağa işlemesi “amaca uygun ve zorunlu” bir faaliyettir.

---

3. Karar Sonucu: “Hukuka Aykırılık Bulunmadı”

Kurul inceleme neticesinde;

1. Veri sorumlusu hastanenin, Sağlık Bakanlığı mevzuatı uyarınca Beyaz Kod bildiriminde bulunma yükümlülüğü olduğu,
2. Bu bildirimin yapılabilmesi için ilgili kişinin kimlik bilgilerinin işlenmesinin yasal zorunluluk olduğu,
3. Veri işlemenin KVKK Madde 5/2-ç (Hukuki Yükümlülük) kapsamında gerçekleştiği,Gerekçeleriyle, hastane hakkında yapılacak bir işlem olmadığına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Sağlık Personelinin Korunması ve Veri Sınırı”

Bilişim ve sağlık hukuku tecrübemizde, vatandaşların “Hastaneye kayıt olurken verilerimi sadece tedavi için verdim, şikâyet için kullanamazsınız” şeklinde bir yanılgıya düştüğünü görüyoruz. Ancak kişisel veriler, bir suçun bildirimi veya hukuki bir hakkın tesisi söz konusu olduğunda rıza aranmaksızın kullanılabilir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Hastane sistemleri “kapalı devre” birer veri havuzu değildir. Beyaz Kod kapsamında tutulan tutanaklar, sadece veri güvenliği değil, kamu düzeniyle de ilgilidir. Kurul bu kararla; idari bir genelgenin veya yasal bir bildirimin gerektirdiği veri işleme faaliyetlerinin KVKK engeline takılmayacağını net bir şekilde çizmiştir. Ancak kurumlar için kritik nokta şudur: Bu veriler sadece savcılığa bildirim amacı için kullanılmalı, panolara asılmamalı veya amacı dışında üçüncü kişilerle paylaşılmamalıdır.

---

Sıkça Sorulan Sorular

1. Hastane görevlisi tartışma anında T.C. kimlik numaramı sistemden bakıp tutanağa yazabilir mi?

Evet. Beyaz Kod sistemi kapsamında adli mercilere yapılacak bildirimde şüphelinin kimlik bilgilerinin bulunması zorunludur. Bu işlem “hukuki yükümlülük” kapsamında rıza gerektirmez.

2. Tutanak olaydan çok sonra tutulmuşsa ne olur?

Kurul bu kararda tarih tartışmasından ziyade işlemin “dayanağına” bakmıştır. Ancak idari olarak tutanakların sıcağı sıcağına tutulması esastır. Gecikme, tutanağın delil değerini etkileyebilir ama veri işlemenin hukuki sebebini (yükümlülüğü) ortadan kaldırmaz.

3. Hastane bu verileri her türlü şikâyet için kullanabilir mi?

Hayır. Sadece yasal mevzuatın (Beyaz Kod gibi) öngördüğü suç duyurusu ve bildirim süreçlerinde kullanılabilir. Kişisel bir husumet için verilerin sistemden sorgulanması ihlal teşkil eder.

4. 2026 yılı itibarıyla Beyaz Kod süreçlerinde bir değişiklik var mı?

Sağlıkta şiddetle mücadele yasaları ve KVKK rehberleri güncellense de, suç duyurusu amacıyla veri işlenmesi temel bir hukuki yükümlülük olarak geçerliliğini korumaktadır.

---

Kaynaklar

• KVKK Kurumu – 2020/63 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5)
• Sağlık Bakanlığı 2016/3 Sayılı Beyaz Kod Genelgesi
• Sağlık Hizmetleri Temel Kanunu

---

Etiketler

KVKK, Beyaz Kod, Sağlık Sektörü, Hukuki Yükümlülük, Hastane Veri İhlali Şikâyeti, T.C. Kimlik Numarası İşleme, 2020/63 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Kamu Gücü Kullanımı, Suç Duyurusu, Veri İşleme Şartları