"Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi" hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/695 sayılı Karar Özeti
Karar Tarihi | : | 02/05/2023 |
Karar No | : | 2023/695 |
Konu Özeti | : | Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi |
Kuruma intikal eden şikayette özetle;
- Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, durumun mahiyetini öğrenmek üzere veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin sorgulanması yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı ifade edilmişse de bu savunmanın kabul edilebilir olmadığı, zira böyle bir yanlışlığın düşük bir olasılık olduğu,
- Veri sorumlusunca yapılan açıklamada hatanın fark edilmesi üzerine e-Nabız ekranından derhal çıkıldığı belirtilmişse de 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında bu eylemin kişisel veri işleme faaliyeti anlamına geleceği, ilgili kişinin e-Nabız gizlilik ayarlarının "Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün" şeklinde olmasının hasta kaydı oluşturmadığı, tedavi görmediği, herhangi bir ilgisinin dahi bulunmadığı bir hastane/hekim tarafından sağlık verilerinin görüntülenebileceğine izin verdiği anlamına gelmediği ve e-Nabız uygulamasında yer alan bu gizlilik ayarının böyle bir amaç taşımadığı, aksinin kabulü halinde bu gizlilik ayarının "Her hekim benim tüm kişisel sağlık verilerimi istediği şekilde görüntüleyebilir." manasını taşıdığı varsayımının Anayasanın ölçülülük ilkesine aykırı olduğu gibi hakkın kötüye kullanılması sonucunu da ortaya çıkaracağı,
- Özel nitelikli herhangi bir kişisel verinin işlenebilmesinin, meşru bir amaca uygun işlenmesine, örneğin tıbbi tedavi, bakım veyahut teşhis hizmetinin yürütülmesi faaliyetine ya da bir kanun hükmüne dayanmasına bağlı olduğu ve somut durum itibariyle de kişisel verinin işlenmiş olmasının bu türden bir amaca hizmet etmediği açıkça görüldüğünden hukuka aykırılığın sabit olduğu, ilgili kişinin devlet memuru olması bakımından psikiyatri kliniğinde tedavi görmüş olması tezahürünün dahi ilgili kişinin mesleki geleceği bakımından bir tehlike oluşturacağı ve bu durum sebebiyle de ilgili kişi yönünden doğmuş veya doğabilecek zararların da tazmininin gerekeceği, ayrıca ilgili hukuka aykırılık hususunda Bursa Cumhuriyet Başsavcılığına şikâyette bulunulduğu
hususları belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezi’nin savunması talep edilmiş olup cevabî yazıda özetle;
- İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen cevapta her ne kadar başka bir hastanın T.C. kimlik numarası ile ilgili kişinin T.C. numarasının benzerliğinden dolayı sehven böyle bir hatanın yapıldığı belirtilmiş ise de veri sorumlusu tarafından yapılan derin araştırma ile bu hususun böyle olmadığının farkına varıldığı,
- Araştırma sonucunda veri sorumlusu bünyesinde çalışan hekimin sekreteri tarafından hekimin ve hastanenin bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığı, bu sorgulamayı da hastanede çalışan bir başka personelin talebi üzerine yaptığının tespit edildiği ve bu tespit neticesinde bu hususun yazılı olarak tutanak altına alındığı,
- Ardından hastane yetkilileri tarafından ilgili personelin ifadesine başvurulduğu, personelin ilgili kişinin e-Nabız bilgilerini sorgulamasını kendisinin bir tanıdığı olan Avukat tarafından gelen rica üzerine gerçekleştirdiğini beyan ettiği, ilgili kişinin e-Nabız paylaşım ayarlarının mevcut halinin meydana getirdiği neticeden dolayı veri sorumlusunun veri güvenliği hükümlerine aykırı hareket ettiğinden bahsederek cezai işlem uygulanması talebinin ölçülülük ilkesine aykırı ve haksız olacağı,
- Hekimlerin gerek hasta muayenesinde gerek ilaç yazımında gerekse diğer tüm sağlık hizmeti faaliyetlerinin sunumunda e-Nabız sistemine girebilmesi için özel olarak kendilerine sağlanan bir e-imzanın bulunduğu, bu sayede hekimlerin kendi adlarına tanımlanan e-imza ile e-Nabız sistemine giriş yapabildiği, e-Nabız sisteminde kişisel gizlilik ayarlarının bulunduğu ve her vatandaşın e-Nabız gizlilik ve paylaşım ayarlarını dilediği zaman değiştirebildiği, bu paylaşım ayarlarından en zayıfı olan “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” ayarının ilgili kişi tarafından zaten seçilmiş olduğu ve bu sayede ilgili kişinin onayı olmaksızın hekimlerin sağlık verilerine erişim sağlayabileceği, somut olayda da ilgili kişinin iradesinin bu yönde olduğu, aksi bir durumda ise ilgili kişinin verilerine erişim amacıyla telefonuna doğrulama kodu gönderilmesinin gerekeceği,
- Hal böyle iken ilgili kişinin kendi rızası ile paylaşım ayarlarını bu seviyede kullanıyor olması ve neticesinde böyle bir ihlalin yaşanmış olmasından hareketle veri sorumlusunun veri güvenliği hükümlerine riayet etmemesi yahut herhangi bir kabahatinin bulunmadığı sonucuna ulaşılamayacağı, şayet kabahatli olarak nitelendirilirse bunun ölçülülük ilkesine aykırı, haksız ve hukuki dayanaktan yoksun olacağı,
- Hekim sekreterlerinin görevleri gereği hekimlerin bilgisayarlarını ve e-imzalarını kullanmalarından dolayı hekim sekreterlerine bu hususta gizlilik sözleşmesi imzalatmak ve gerekli eğitimi vermekten başka müvekkil hastanenin alabileceği idari ve güvenlik tedbiri bulunmadığı, somut olayda da sekreterin adı geçen hekimin onayı ve bilgisi olmaksızın sisteme giriş yaptığı, veri sorumlusu tarafından kişisel verilerin korunması adına birtakım teknik ve idari tedbirlerin alındığı, buna örnek olarak hastane bünyesinde bütün bilgisayarların ve kullanılan otomasyon yazılımının log kayıtlarının tutulduğu ve şikâyet konusu olayın da bu log kayıtları ile aydınlatıldığı, kullanılan yazılımlarda yetki matrisi oluşturulduğu ve hekimlerin, sekreterlerin, hemşirelerin ve diğer personel gruplarının her birisine ayrı ayrı yazılıma giriş izni verilen yerlerin ve verilmeyen yerlerin ayrıştırıldığı, çalışanlara gizlilik sözleşmeleri imzalatıldığı, parola yönetim politikası, e-posta yönetim politikası, temiz masa temiz ekran politikası, özel nitelikli kişisel verilerin işlenmesi politikası gibi politikaların tanzim edildiği, tanzim edilen politikaların yürürlüğe konulduğu, personellere bu hususta eğitimler verildiği ve nitekim ihlali gerçekleştiren personellerin de bu kapsamda eğitim aldığı, hekim bilgisayarlarının şifreli olarak kullanıldığı
hususları belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/695 sayılı Kararı ile;
- Şikâyete konu olayın, ilgili kişinin e-Nabız sistemi üzerinden sağlık verilerine veri sorumlusu bünyesinde çalışan personelin yetkisiz ve onaysız biçimde eriştiği ve ilgili kişinin bundan zarar görme riskinin bulunduğu yönündeki şikâyetten hareketle veri sorumlusu hakkında yaptırım uygulanması talebinden ibaret olduğu,
- Şikâyet konusu olayda işleme faaliyetine konu verilerin ise, e-Nabız sisteminde tutulan ve Kanun’un 6’ncı maddesinde yer verilen özel nitelikli kişisel veri kategorisinde yer alan sağlık verileri olduğu,
- e-Nabız sisteminin Sağlık Bakanlığı tarafından bütün hasta ve hekimlerin kendilerine özgü amaçlarla istifade edilmek üzere kullanımlarına sunulan ulusal çapta bir sağlık kayıt yönetim sistemi olduğu, Sağlık Bakanlığı’ndan veya özel sağlık kuruluşlarından sağlık hizmeti alan kişilere ait teşhis, tedavi, reçete vb. bilgilerin, takip amacıyla bu sistem üzerinden muhafaza edilmekte olduğu, kişilere ait sayfalarda tutulan sağlık kayıtlarına erişim izinlerinin ise, (yine kişilerin tercihlerine bağlı olarak) hekimlerin kullanımı amacıyla çeşitli seviyelerde sağlandığı,
- Somut olayda ise -veri sorumlusunun beyanı da dikkate alınarak- ilgili kişinin erişim yetkisini “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olabileceği ancak kişilerin kendi kayıtlarına erişim yetkisini vermesinin, diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, kişilerin verilerine erişim yetkisini geniş tutarak bütün hekimlerin erişimine açmış olmasının, yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği, bunun aksinin kabulü halinde ise herhangi bir hekimin “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” tercihini işaretlemiş olan herkesin sağlık verilerine istediği gibi erişmesi ve bu veriler üzerinde hukukun çizdiği sınırların dışında tasarrufta bulunabilmesi anlamına geleceği, böyle bir durumun kişilere bağlı sıkı sıkıya korunan bir hak olan kişisel verilerin korunmasını isteme hakkına aykırılık teşkil edeceği hususunun izahtan vareste olduğu,
- Kanun’da sağlık ve cinsel hayata ilişkin verilerin işlenmesinin genel nitelikli kişisel verilere kıyasla daha sıkı şartlara bağlandığı, buradan hareketle yalnızca hekimlere sağlanan e-Nabız sistemine erişim şifresinin veri sorumlusu bünyesinde görev yapan hekim tarafından yardımcı sağlık personeli ile paylaşıldığı, özel nitelikli kişisel verilerin korunması bakımından hassasiyet göstermesi beklenen adı geçen hekimin bu hususta hassasiyet göstermediği, bunun neticesi olarak yalnızca sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişilerce erişilmek suretiyle kişisel veri işleme faaliyetinin hukuka aykırı biçimde gerçekleşmiş olduğu,
- Söz konusu hukuka aykırı erişimin veri sorumlusu çalışanları eliyle gerçekleştiği dikkate alınarak söz konusu işleme faaliyetindeki sorumluluğun veri sorumlusu üzerinde olacağı ve dolayısıyla Kanun’un 12’nci maddesinde yer verilen teknik ve idari tedbirlerin veri sorumlusunca makul düzeyde alınmadığı ve bunun yanında veri sorumlusunun savunmasında dile getirilen sisteme erişim yetkilerinin sınırlandırılmasında gerekli düzenlemelerin (gizlilik sözleşmesi, erişim yetkisi tanımlamaları vb.) hekim bakımından hayata geçirilmediği sonucuna ulaşıldığı,
değerlendirmelerinden hareketle;
- Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığından Kanun’un 12’nci maddesinde belirtilen kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerine uymadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.