Kişisel Veriler Ve Verbis’e Kayıt Zorunluluğu Hakkında Bilgi Notu


  • Aralık 03, 2021
  • 2278

6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veri işleyen gerçek ve tüzel kişilerin uyması gereken birçok kural getirildi. Kişisel verileri, bu Kanun’a göre işleyen gerçek ve tüzel kişiler “veri sorumlusu” olarak adlandırılıyorlar. 6698 sayılı Kanun, veri sorumluları için bir dizi yükümlülük getiriyor. Bunlardan birisi de Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olma yükümlülüğüdür.

Hatırlanacağı üzere VERBİS’e kayıt olma zorunluluğu için son tarih 31.03.2021 olarak belirlenmişti. Gerek bu yükümlülüğe gerekse diğerlerine uymamanın yaptırımı idari para cezası olarak düzenlendiğinden, bu konuda duyurular yayınlamış ve uyarılar yapmıştık.

Kişisel Verileri Koruma Kurulu tarafından ise 11.03.2021 tarihinde alınan bir karar ile VERBİS’e kayıt süresinin uzatılmasına karar verilmiş ve yeni tarih 31.12.2021 olarak belirlenmişti.

Kurul kararında belirlenen son tarihin yaklaşması sebebiyle konuyu yeniden gündeme getirmek ve idari para cezası ile karşılaşılmaması için gerekli kayıt ve işlemlerin yapılmasını hatırlatmak gereği duymaktayız.

Hukuk Büromuzca soru-cevap şeklinde hazırlanan bilgilendirmeyi aşağıda sunuyoruz. Veri sorumlusu statüsündeki hekimlerin faydalanabilecekleri belgeler ve linkler de metnin içinde ve ekinde yer almaktadır;

1- ‘KİŞİSEL VERİ’ NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir:

  • Ad, soyad, doğum tarihi, doğum yeri
  • Ailevi, sosyal, ekonomik geçmiş
  • TC kimlik no, telefon numarası,
  • Özgeçmiş bilgileri,
  • Fotoğraf, görüntü, ses kayıtları
  • Parmaz izi vs.

 

2- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİ’ NE DEMEKTİR?

Kişilerin diğer bilgilerine nazaran daha yüksek bir korumaya tabi kılınan;

  • ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
  • kılık ve kıyafeti,
  • dernek, vakıf ya da sendika üyeliği,
  • sağlığı ve cinsel hayatı,
  • ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
  • biyometrik ve genetik verileri

 

özel nitelikli kişisel veridir.

3- HANGİ İŞLEMLER 6698 SAYILI KANUN KAPSAMINDADIR?

6698 sayılı Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Dolayısıyla muayenehane, laboratuvar, müessese gibi sağlık kuruluşlarında işlenen hasta verileri ile bu kuruluşlarda sekreter, teknisyen vs gibi görevlerde çalışanlara ilişkin işlenen veriler de bu kapsamdadır.

4- ‘KİŞİSEL VERİLERİN İŞLENMESİ’ NE DEMEKTİR?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla;

  • elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
  • değiştirilmesi, yeniden düzenlenmesi, açıklanması,
  • aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi

 

gibi, kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir.

5- KİŞİSEL VERİLERİN İŞLENMESİ İZNE BAĞLI MIDIR?

Kural olarak, kişisel veriler ilgilisinin açık rızası olmadan işlenemez.

6- ‘AÇIK RIZA’ ARANMAYAN İSTİNALAR NELERDİR?

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

 

hallerinde kişinin açık rızası aranmaksızın kişisel veriler işlenebilir.

7- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİLER’ İÇİN DE AYNI KURALLAR GEÇERLİ MİDİR?

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından;

  • kamu sağlığının korunması,
  • koruyucu hekimlik,
  • tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla

 

ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması da şarttır.

Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih, 2018/10 sayılı kararı için bakınız;
https://kisiselveri.saglik.gov.tr/TR,55774/31012018-tarihli-ve-201810-sayili-karar-ozel-nitelikli-kisisel-verilere-yonelik-yeterli-onlemler.html

8- ‘KİŞİSEL VERİLERİN AKTARILMASI’ HANGİ KURALLARA BAĞLIDIR?

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Açık rıza alınmaksızın verilerin işlenmesi koşulları varsa açık rıza aranmaksızın veriler aktarılabilir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişiler veriler, kanunlarda öngörülen hallerde açık rıza olmaksızın aktarılabilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli önlemler alınmak kaydıyla açık rıza olmaksızın aktarılabilir. Yurtdışına aktarılacak kişisel verilerle ilgili olarak ise 6698 sayılı Kanun’un düzenlediği yurtdışına veri aktarımı ile ilgili diğer koşullarının yerine getirilmesi gerekir.

9- ‘VERİ SORUMLUSU’ KİMDİR?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Kurumlarda veri sorumlusu tüzel kişiliğin kendisidir. Örneğin hekimler tarafından kurulan şirketler açısından veri sorumlusu hekim değil, şirketin tüzel kişiliğidir. Muayenehanesinde çalışan hekimler açısından ise hekim doğrudan veri sorumlusudur.

10- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesini sağlayacak bütün gerekliliklerin yerine getirilmesinden sorumludur. Yükümlülükleri;

  • Aydınlatma
  • İlgilinin açık rızasının alınması.
  • Verilerin korunması.
  • İlgililerin başvurularının yanıtlanması.
  • Veri sorumlusu siciline kayıt olma.

 

11- ‘AYDINLATMA YÜKÜMLÜLÜĞÜ’ NASIL YERİNE GETİRİLİR?

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, verileri işlenecek kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Verileri işlenen kişilerin hakları

 

konularında bilgi vermekle yükümlüdür.

12- ‘AÇIK RIZA’ NEDİR? NE ZAMAN GEREKLİDİR?

Açık rıza, belirli bir konuya ilişkin veri işlemeye/aktarmaya yönelik olarak, bilgilendirilmeye dayanan ve bireyin özgür iradesiyle açıklanan rızadır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.

13- AYDINLATMA VE RIZA İŞLEMLERİ YAZILI MI YAPILMALIDIR?

Muayenehane hekimi veya temsilcisi tarafından yapılacak aydınlatmanın belgelenmesi için verileri işlenecek kişilere (hastalara/çalışanlara) yazılı olarak sunulması ve imzalatılması önemlidir.

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenecek sağlık verileri dışındaki durumlar için ise rıza metni kullanılması ve verisi işlenen kişilerin bu metni imzalayarak onay vermesi uygun olacaktır. 

Aydınlatma ve rıza metinleri hazırlanırken, TTB Hukuk Bürosu tarafından hazırlanan örnek metinden faydalanılabilir;

 “Tarafınıza sunulacak sağlık hizmeti için gerekli olan ve tarafınızdan paylaşılan verileriniz ile hizmetin sunumunda elde edilen verilerinizi de içeren kişisel verileriniz; tarafınıza sunulabilecek sağlık hizmetinin saptanması, sağlık hizmetinin sunulması, sonuçlarının değerlendirilmesi amacıyla işlenecektir.
Bütün bu veriler 1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun, 3359 sayılı Sağlık Hizmetleri Temel Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayalı olarak toplanmaktadır.
Bu veriler, tarafınızdan bildirilen ilgili kurum, kuruluş veya sigorta firmasıyla sağlık hizmetinin denetim ve finansmanı için; yasal zorunluluk olması halinde ilgili kamu kurum ve kuruluşlarıyla kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla paylaşılabilecektir.
Tarafımıza başvurarak, toplanan kişisel verileriniz ile bunların işleme ve aktarımlarını öğrenebilir, yanlış olduğunu düşündüğünüz verilerin değiştirilmesini veya silinmesini talep edebilirsiniz. Talebiniz, tarafımızdan en geç otuz gün içinde değerlendirilerek sonucu tarafınıza bildirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; cevabımızı öğrendiğiniz tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirsiniz.”
Yukarıda belirtilen ve tarafıma sözlü olarak da açıklanan sağlık hizmetiyle ilgili olarak kişisel verilerimin işleneceğini anladım. …/…/20…
Ad-Soyad-TCKN-İmza

14- VERİLERİN KORUNMASI YÜKÜMLÜLÜĞÜNÜN KAPSAMI NEDİR?

Veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 

  • Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde gerekli tedbirlerin alınması hususunda bu kişilerle birlikte sorumludur.
  • Kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

 

  • Öğrendiği kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Veri işleyenler açısından bu yükümlülük görevden ayrılmalarından sonra da devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür.

 

15- VERİLERİ İŞLENEN İLGİLİLER HANGİ TALEPLERLE BAŞVURABİLİR?

Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. Başvuru, yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle yapılabilir. Başvuruda;

  • Kişisel verilerin silinmesi veya yok edilmesi istenebilir.
  • Verilerin aktarıldığı kişiler ile verilerin düzeltilmesini isteme hakkının, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesi istenebilir.
  • Kişi kendisi aleyhine bir sonucun ortaya çıkmasına itiraz edebilir.
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesi talep edilebilir.

 

16- TALEPLERİN YANITLANMASININ USULÜ NASILDIR?

Veri sorumlusu, kendisine iletilen talepleri en kısa sürede (en geç otuz gün içinde) ücretsiz olarak sonuçlandırmalıdır. İşlemin ayrıca bir maliyet gerektirmesi halinde veri sorumlusu, Kurul tarafından belirlenen tarifedeki ücretleri talepte bulunan kişiden isteyebilir.

Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.

17- VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) NEDİR?

VERBİS, veri sorumluları ile veri sorumlularının irtibat kişilerinin ve işlenen verilere ilişkin kategorik bilgilerin kaydedileceği bir sicildir. Veri sorumluları, Kişisel Verileri Koruma Kurulu tarafından belirlenen süreden önce bu sicile kaydolmak zorundadır. Sicile kayıt ücretsizdir.

Verbis’e Kayıt İşlemleri Ve Süreç Basamakları Kılavuzu için bakınız;
https://www.ttb.org.tr/userfiles/files/verbis_son(1).pdf

18- VERBİS’E KAYIT İÇİN SON TARİH NEDİR?

Kamu kurum ve kuruluşları ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon liradan az olan gerçek ve tüzel kişiler için son kayıt tarihi 31.12.2021’dir. Dolayısıyla muayenehane, laboratuvar, müessese gibi sağlık kuruluşları için de 31.12.2021 son kayıt tarihidir.

19- KAYIT OLMAMANIN YAPTIRIMI NEDİR?

VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında, 2021 yılı için 39.337,22-1.966.861,00-TL arasında idari para cezası verilecektir.

Diğer yaptırımlar da şöyledir:

  • Aydınlatma yükümlülüğünün yerine getirilmemesi: 9.834,00-196.686,00-TL
  • Veri güvenliği yükümlülüklerinin yerine getirilmemesi: 29.503,00–1.966.861,00-TL
  • Kurul kararlarının yerine getirilmemesi: 49.171.53-1.966.861,00-TL

 

20- VERBİS’E HASTA BİLGİLERİ KAYDEDİLECEK MİDİR?

VERBİS, E-Nabız gibi kişisel verilerin kaydedildiği bir sistem değildir. VERBİS’e hastalara ait kişisel veriler gönderilmemektedir

21- ‘VERİ ENVANTERİ’ NELERİ İÇERMELİDİR?

Bu envanter, 6698 sayılı Kanun kapsamında işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır. Envanterde;

  • Kişisel veri işleme amaçlarına
  • Kişisel veri işleminin hukuki sebebine
  • Veri kategorisine
  • Kişisel verilerin aktarıldığı alıcı grubuna
  • Kişisel verilerin azami saklama süresine
  • Yabancı ülkelere aktarım konusuna
  • Veri güvenliğine ilişkin tedbirlere

yer verilir.

Yedi başlıkta sayılan bilgileri içermesi koşuluyla düz yazı veya çizelge olarak envanter hazırlanması mümkündür. Envanter, VERBİS’e gönderilmeyecek veya kaydedilmeyecektir. VERBİS’in ilgili bölümlerinin doldurulması sırasında bu bilgilere ihtiyaç duyulacağından, kayıt olmadan önce hazırlanması önerilmektedir. Envanter, rapor olarak veri sorumlusunda kalacak, Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda ibraz edilecektir.

Kişisel veri işleme envanter örneği hazırlanırken, TTB Hukuk Bürosu tarafından muayenehaneler için hazırlanan örnek metinden faydalanılabilir;

Faaliyet: Sağlık hizmeti.
Veri Kategorisi:  Ad-Soyad,  TCKN,  iletişim bilgileri ve adres, banka hesap bilgisi,  özel nitelikli kişisel sağlık verisi
İşleme Amacı: Sağlık hizmeti sunumu için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, sağlık hizmeti sunumunda takibin sağlanması, sözleşmenin yerine getirilmesi.
Veri Konusu Kişi: Sağlık hizmeti alan kişiler, çalışan kişiler.
Hukuki Sebebi: Kanunlarda öngörülmesi.
Saklama ve İmha: Mevzuatta ve etik bildirgelerde belirlenen süre.
Aktarma: Açık rızaya dayalı olarak anlaşmalı özel sağlık sigortası kuruluşu, bildirimi zorunlu durumlarda kanunla yetkilendirilmiş ilgili birim. 
Alınan Tedbirler: Kişisel sağlık verisi ortak erişimi olan bilgisayar ve sistemlerde tutulmamakta, ilgisiz kişilerin erişimini önlemek için bilgisayarlara özel parola ile giriş yapılmakta, log kaydı tutulmakta,  aktarım yapılmamakta, çalışanlar meslek sırrı konusunda eğitilmekte.

 

Ayrıntılar için Kişisel Veri İşleme Envanteri Hazırlama Rehberi’ne bakınız;
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf

22- UYUM İÇİN YAPILMASI GEREKEN/ÖNERİLEN DİĞER İŞLEMLER NELERDİR?

  • Çalışanlar ile ilgili sözleşmeler gözden geçirilmeli, çalışanlar kişisel verileri koruma mevzuatı kapsamında yükümlülükleri konusunda bilgilendirilmeli ve eğitim verilmelidir.
  • Kişisel verilerin saklandığı bilgi işlem sistemleri dışarıdan müdahalelere karşı korumalı hale getirilmeli, bu konuda teknik önlemler alınmalı, yetkisiz kişilerin girişleri önlenmelidir.
  • Kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişimi engellenmelidir.
  • Varsa WEB sitesinin mevzuata uygunluğu denetlenmeli, çerez ve gizlilik politikası hazırlanmalıdır.
  • Sosyal medya hesapları kişisel verileri koruma mevzuatına uygun hale getirilmelidir.
  • Muayenehanelerin giriş ve bekleme alanlarında güvenlik kamerası varsa bu konuya ilişkin bilgilendirme metinleri ve tabelalar hazırlanmalıdır.
  • Kişisel veri saklama ve imha politikası hazırlanmalıdır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi için bakınız; https://www.kvkk.gov.tr/Icerik/2038/Kisisel-Verilerin-Silinmesi,-Yok-Edilmesi-veya-Anonim-Hale-Getirilmesi

30.11.2021
İstanbul Tabip Odası
Hukuk Bürosu

 

İlgili Linkler

  • VERBİS Hakkında Soru ve Yanıtlar

      https://www.istabip.org.tr/6468-verbis-hakkinda-soru-ve-yanitlar.html

  • Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih, 2018/10 sayılı kararı

https://kisiselveri.saglik.gov.tr/TR,55774/31012018-tarihli-ve-201810-sayili-karar-ozel-nitelikli-kisisel-verilere-yonelik-yeterli-onlemler.html

  • Verbis’e Kayıt İşlemleri Ve Süreç Basamakları

https://www.ttb.org.tr/userfiles/files/verbis_son(1).pdf

  • Kişisel Veri İşleme Envanteri Hazırlama Rehberi

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf


Bu HABERİ Paylaş!