Search
  • kasikaralar

KVK KURULUNUN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME ŞARTINA DAYANMAKSIZIN AKTARIMI HAKKINDA KARARI

Konu: İlgili kişinin doktor kontrolünde kullandığı ilaçlara ilişkin bilginin, ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmaksızın üçüncü kişilere aktarımı hakkında

İlgili kişi doktor kontrolünde kullandığı ilaçları temin ettiği eczanenin, özel nitelikli kişisel veri teşkil eden sağlık veri ketagorisinde yer alan ilaç bilgisinin bilgisi dışında ve herhangi bir işleme şartına dayanmaksızın üçüncü kişilere aktarması üzerine, ilgili eczaneyi Kişisel Verileri Koruma Kurumuna (Kurum) şikayet etmiştir.

Şikayet üstüne yapılan incelemede Kurum tarafından;

  1. İlk olarak, Kişisel Verilerin Korunması Kanununun (Kanun) "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6 ncı maddesi kapsamında değerlendirme yapılarak; özel nitelikli kişisel verilerin ancak ilgili kişinin açık rızası halinde işlenebileceği, ancak aynı maddenin (3) numaralı fıkrasında belirtilen istisnai hallerin bulunması durumunda özel nitelikli kişisel veri olan sağlık verisinin ilgili kişinin açık rızası olmaksızın da işlenebileceği belirtilmiştir.

Buna göre, sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir.

  1. İkinci olarak, "Kanunun Kişisel verilerin aktarılması" başlıklı 8 inci maddesi kapsamında hukuka uygun bir aktarım olup olmadığı değerlendirilmiştir. İlgili madde gereğince kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı belirtilmiş ancak yine aynı maddenin (2) numaralı fıkrasında üst paragrafta belirtilen durumların varlığı halinde ilgili kişinin açık rızası olmaksızın aktarım yapılabileceği ifade edilmiştir.

  2. Son olarak, Kanunun 12 nci maddesinde belirtilen veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri kapsamında bir değerlendirme yapılarak, özellikle anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyenlerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne dikkat çekmiştir.

Kurum tarafından yapılan kapsamlı değerlendirmede, hukuka uygun işleme şartları ve aktarım şartları oluşmadığı halde özel nitelikli kişisel veri teşkil eden sağlık verisinin (kullanılan ilaç bilgisi) ilacın temin edildiği eczane tarafından üçüncü kişilerle paylaşılması Kanunun veri güvenliğine ilişkin yükümlülükleri düzenleyen 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında idari para cezası uygulanmıştır.


31 views0 comments