“Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti

“Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti

Karar Tarihi : 06/08/2021
Karar No : 2021/761
Konu Özeti : Kişisel sağlık verilerinin yetkisiz hastane çalışanları tarafından velayete sahip olmayan ebeveyn ile paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle;

  • Şikayetçinin aralarında boşanma davası devam eden eşinin, müşterek çocuklarını taciz ettiği iddiasıyla yargılanmakta olduğu, dosyanın istinaf aşamasında bulunduğu, ilgili kişinin eşinin istinaf dilekçesi ve eklerinde müşterek çocuklarına ait sağlık ve epikriz raporlarına yer verildiği,
  • Şikayetçinin  karşı tarafın İstinaf Mahkemesine vermiş olduğu epikriz raporlarında oğlu hakkında “yalan söyler, hırsızlık yapar” gibi cümlelerin olduğunu gördüğü, oğlunu çocuk psikiyatrisi bölümüne sadece dikkat dağınıklığı için muhtelif zamanlarda toplamda 3-4 kez muayeneye götürdüğü, ancak hiçbir zaman oğlunu yalan söylemesinden bahisle hastaneye götürmediği, yine İstinaf Mahkemesine sunulan raporların özel hayatın gizliliği hiçe sayılarak ve usulsüz olarak konuyla alakasız kişiler tarafından kendisinin haberi olmadan alındığı, alınan raporda değişiklik yapılarak Mahkemeyi yanıltılmak amacıyla karşı tarafa verildiği,
  • Bunun üzerine, söz konusu sağlık raporlarının şikayetçi annenin izni olmadan bir Eğitim ve Araştırma Hastanesi (“Hastane”) tarafından hapiste bulunan eşinin vekiline verildiğinin anlaşıldığı, vekilin vekaletnamesinde ise bu konuda özel bir iznin bulunmadığı,
  • Başlatılan araştırmalar kapsamında edindiği bilgilerden; Hastanede Arşiv Memuru olarak çalışan kişinin söz konusu raporları kendisinden sadece Hastane şefinin talep ettiği, diğer kişilerle bu konuda bir görüşmesinin olmadığı, bu talep üzerine çıktılar aldığı bunun yolu olarak sistemde kaydet butonuna basarak epikriz formu oluşturduğu, bu işlem sırasında bulgular ya da tanıda herhangi bir değişiklik yapmadığı ve çıktığı aldığını beyan ettiği, Hastanede Şef olarak çalışan kişinin söz konusu raporlara ilişkin talep üzerine ilk etapta belgeleri vermeyip amirine danıştığı, geçmişte konu ile ilgili mevcut olan bir görüş yazısı ve İl Sağlık Müdürlüğünün avukatı ile yaptığı görüşme üzerine raporları alma talebi ile başvuran kişilerin ikinci gelişlerinde bu raporları veremeyeceğini beyan ettiği, Çocuk Hastalıkları Uzmanı doktorunun ise söz konusu belgeleri şikayetçinin eşinin vekiline kendisi tarafından verildiğini kabul ettiği, başvuru esnasında avukatın kimliği, vekâletnamesi, nüfus kayıt örneği, babaya ait dilekçeleri inceleyerek uygun olduğunu gördüğü, belgelerin imzalanıp kaşelenmeden resmi hüviyet kazanamayacağı, idareden resmi onaylı nüshanın talep edilmesi gerektiği hususlarının avukata açıkça beyan edildiği,
  • Ancak şikayetçinin çocuğunu söz konusu doktora hiç muayeneye götürmediği, 
  • Konu hakkında ilgili Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ancak doktorun açık ikrarına rağmen Valilikçe soruşturma izninin verilmediği

hususları ifade edilerek ilgili kişinin kişisel verilerini 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olarak işleyen ve velisinin rızası dışında kullanan veri sorumlusu hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

Şikayet dilekçesinin ekinde yer alan ilgili Valilik İl İdare Kurulu Müdürlüğünce alınan Kararda özetle;

  • İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği,
  • Raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü,
  • Hastane Bilgi İşlem Müdürlüğü tarafından söz konusu hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, hastane otomasyon sisteminde ekleme, silme ve değiştirme işlemlerinde log kaydı tutulduğu, hastaların bilgilerinin görüntülenmesi noktasında ise log kaydı tutulmadığına ilişkin bilgi verildiği,
  • Raporları vekile teslim eden doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi nedeniyle raporları teslim ettiğini belirttiği,
  • Doktorun söz konusu belgeleri verdiği ikrarı ile bu davranışının gerekçelerinin birlikte değerlendirilmesi neticesinde; çocuk hastalıkları uzmanı olarak görev yapan hekimin yoğun poliklinik şartları, gece nöbetleri ve diğer görevleri esnasında, kendisine yapılan tüm taleplerle ilgili yasaları bilmesinin ve/veya hatırlamasının mümkün olmadığı, muhatap olduğu hastaların kendisini ifade edemeyecek, kendisi ile ilgili karar alamayacak durumda olan 18 yaşın altındaki bireylerden oluşması ve hastaları ile ilgili tüm bilgileri ve açıklamaları hastası konumundaki çocukların ailelerine izah etme/belge verme zorunluluğunun olması, talep eden avukatın istediği belgeleri mahkeme yoluyla da elde edilebileceği, imzasız ve kaşesiz olarak bilgilendirme amacıyla verildiği, doktorun bilerek ve isteyerek bir kişinin mağduriyetine sebep olma isteği taşıyamayacağının anlaşıldığı 

belirtilerek, Valilik tarafından soruşturma izni verilmemesine karar verildiği bilgileri yer almaktadır.

Bu çerçevede konuya ilişkin başlatılan inceleme çerçevesinde söz konusu şikayet dilekçesinde yer alan iddialar kapsamında Sağlık Bakanlığının açıklamalarına başvurulmuş olup, konuya ilişkin ilgili Valilik İl Sağlık Müdürlüğü tarafından verilen cevapta özetle;

  • Şikayete konu doktor ve arşiv memurunun kamu personeli ve sağlık çalışanı olmaları nedeniyle sır saklama yükümlülüğü altında bulundukları,
  • Sağlık çalışanlarının hastalara ait kişisel verilere erişmelerinin sağlık hizmetinin sunulması için bir zorunluluk olduğu, erişim yetkisinin sağlık hizmetinin sunumu açısından zorunlu olması sebebiyle, şikayete konu olan kişilerin de dahil olduğu meslek grubu olan sağlık çalışanlarının ve kamu personelinin sır saklama yükümlülüklerinin pek çok temel mevzuatta düzenlendiği ve bu erişim yetkisinin hasta mahremiyetini zedeleyecek şekilde kötüye kullanılmasının yaptırımlara bağlandığı,
  • Şikayete konu edilen olayın Bakanlığa bağlı bir hastanede gerçekleştiği, Bakanlığın veri işleme faaliyetinin sebebinin 6698 sayılı Kanunun 6 ncı maddesinde tanımlanan "tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi" dahilinde olduğu ve dolayısıyla da sağlık çalışanlarının hasta dosyalarına sağlık hizmetinin sunulması kapsamında erişimlerinin bulunmasının Kanun kapsamında hukuki dayanağının bulunduğu,
  • 21.06.2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 6 ncı maddesinde, sağlık personelinin verilere erişimine ilişkin şartların belirlenmiş olduğu ve buna göre, sağlık hizmet sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceğinin düzenlendiği,
  • Şikâyete konu olaydan tamamen bağımsız olarak düşünüldüğünde, sağlık çalışanlarına, çalıştıkları pozisyon ve sahip oldukları unvan gereğince ve verilecek sağlık hizmetinin gereği ile sınırlı olmak kaydıyla hasta verilerine erişim yetkisi verilmesinin hukuka uygun olduğu,
  • Hekimlerin hastaların sağlık verilerine geçmiş hastalık öykülerini, tedavilerini öğrenmek ve mevcut rahatsızlıkları için tedaviyi belirlemek adına erişim sağladıkları,
  • Aynı şekilde arşiv memurlarının da, yaptıkları işle ilintili olarak hastaların dosyalarına erişim ihtiyacı olan sağlık çalışanları oldukları, bu kişilerin hasta dosyalarına erişiminin kısıtlanmasının, sağlık hizmetinin sunumunu aksatacak, insan sağlığı açısından telafisi imkansız sonuçlara yol açabileceği,
  • Dolayısıyla, bahsi geçen olaydaki meslek gruplarının, yani bir uzman doktorun ve arşiv memurunun hasta kayıtlarına meslekleri icabı erişme zorunluluğu bulunduğu, bu kişilerin, sağlık hizmetinin sunumu esnasında amaçla sınırlı olmak kaydıyla hasta kayıtlarına erişmelerinde kişisel verilerin korunmasına ilişkin mevzuata aykırı bir husus bulunmadığının değerlendirildiği,
  • Nihai değerlendirmelerinde Sağlık Bakanlığının kişisel veri işleme faaliyetlerinin dayanağını yürürlükteki mevzuattan aldığı, sağlık hizmetinin sunumu ile bağlantılı konularda, bu amacı aşmamak kaydıyla sağlık çalışanlarının hasta kayıtlarına erişmesinin mümkün olduğu, hasta kayıtları üzerinde yapılan her türlü değişikliğin log kaydının tutulduğu,
  • Hekimlerin sadece kendileri üzerinden kayıtları açılmış hastaların dosyalarına erişmesinin veya arşiv memurlarının erişebilecekleri hasta dosyalarının kısıtlanmasının, sağlık hizmetinin doğası ile bağdaşmadığı, bir hekimin, kendi hastası olmayan bir hastaya doğrudan veya dolaylı olarak sağlık hizmeti sunabildiği, bir başka hekime konsültasyon verebildiği, bu sebeple de hastanedeki hekimlerin ve hasta dosyalarının muhafazasından sorumlu arşiv memurlarının hasta dosyalarına erişmesinde hukuka aykırılık görülmediği,
  • Başvuruya konu olan olayda hukuka aykırılık, eğer gerçekten vuku buldu ise (yargısal süreç halen devam etmekte olduğu belirtilmekte), insan faktöründen kaynaklandığı, sağlık sektörünün doğası gereği, insan faktörünün tamamen gözden çıkarılamadığı, bununla birlikte Sağlık Bakanlığının caydırıcılığını arttırmak ve hasta mahremiyetini sağlamlaştırmak için idari, hukuki, cezai müeyyidelerin takipçisi ve uygulayıcısı olduğu, sayısız resmi yazı ile sayısız kurum ve kuruluşa hasta mahremiyeti ve kişisel verilerin korunmasına ilişkin talimatlandırma yaptığı, tüm bunlar birlikte değerlendirildiğinde olayda Bakanlığa atfedilebilecek bir güvenlik açığı tespit edilmediğinin düşünüldüğü

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/08/2021 tarih ve 2021/761 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin 
     (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
     şeklinde düzenlendiği,
  • Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de 
    1.    Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
    2.    Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak,
    a)    Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    b)    Gizlilik sözleşmelerinin yapılması,
    c)    Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
    d)    Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
    3.    Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
    a)    Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
    b)    Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
    c)    Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    d)    Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    e)    Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.

    hususlarına yer verildiği, 
  • İlgili sağlık mevzuatı incelendiğinde; 01.08.1998 tarihli Resmi Gazete’de yayınlanan Hasta Hakları Yönetmeliğinin “Kayıtların İncelenmesi” başlıklı 16 ncı maddesinde “Hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları doğrudan veya yetkili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir.” hükmü yer alırken yine aynı Yönetmeliğin 23 üncü maddesinde; “Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu ortadan kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.” hükmüne yer verildiği,
  • Ayrıca, 21.06.2019 tarihli Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin çocukların sağlık verilerine erişim başlıklı 8 inci maddesinin ikinci fıkrasında “Anne ve babanın boşanması halinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.” hükmü yer alırken, aynı Yönetmeliğin Sağlık verilerine avukatların erişimi başlıklı 10 uncu maddesinde “Avukatlar, müvekkilinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.” hükmüne yer verildiği,
  • Yine aynı Yönetmeliğin “Sağlık verilerine hasta yakınlarının erişimi” başlıklı 9 uncu maddesinin ilk fıkrasında kişisel sağlık verilerinin hasta yakınları ile paylaşımında 6698 sayılı Kanunun ilkelerine aykırılık teşkil etmeyecek şekilde, 01/08/1998 tarihli Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edileceğinin belirtildiği, Hasta Hakları Yönetmeliğinin söz konusu fıkrasında ise hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verileceğinin hüküm altına alındığı,
  • Yine Sağlık Bilgi Sistemleri Genel Müdürlüğünün güncellemiş olduğu “Bilgi Güvenliği Politikaları Kılavuzu”nun 41. sayfasında; “3.7.4.1. Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyaları, barkodlar, gözlem formları vb.) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı Kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır.” ifadesinin, 64. sayfasında “Özel nitelikli kişisel verilere (kişisel sağlık verileri) erişim için KVKK’nın 2018/10 sayılı kararında belirtilen teknik ve idari tedbirlerin alınmış olması gerekir.” ifadesinin, 122. sayfasında ise “9.9.25. KVKK’nın 2018/10 sayılı kararı uyarınca özel nitelikli kişisel verilerin işlendiği yazılımlarda; veriler üzerinde gerçekleştirilen tüm hareketlerin iz kayıtlarının bir başka ortamda güvenli olarak saklanması gerekmektedir.” ifadesinin yer aldığı,
  • Bununla birlikte, Kılavuzun çeşitli sayfalarında salt 2018/10 sayılı Karara atıfta bulunmanın yeterli olmadığı, söz konusu kararda da atıf yapılan Kişisel Veri Güvenliği Rehberinde, kişisel veri güvenliğinin sağlanması için veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açabileceği kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınmasının gerekmekte olduğu, risklerin tanımlanması ve önceliğin belirlenmesinden sonra risklerin azaltılması ya da ortadan kaldırılmasına yönelik teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiğinin belirtildiği, 
  • Veri sorumlusu bünyesinde çalışanların kendilerine gelen özel nitelikli kişisel verilerin paylaşımı konulu bu tür talepler karşısında aksiyon alırken dikkatsizlik, dalgınlık veya tecrübesizlik gibi durumların önüne geçmek adına risklerin/tehditlerin henüz olaylar gerçekleşmeden önce değerlendirilerek takip edilmesi gereken sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politikanın belirlenmesi gerektiği,
  • Somut olayda doktorun ilgili kişi çocuğa muayene ve tedavi hizmeti verdiğinin epikriz formundan görüldüğü, ancak anılan doktorun ilgili kişiyi çocuk ve ergen psikiyatrisi olarak değil, çocuk hastalıkları kapsamında muayene ettiğinin görüldüğü,
  • Bu kapsamda, veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülemiş ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından Kanunun 8 nci maddesine aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı, 
  • Bir diğer konu olarak hastanedeki tüm poliklinik hasta kayıt personelleri ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olmasının veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, kimin hangi veriyi görüntülediği noktasında log kaydı tutulmadığı için herhangi bir kontrolün de mümkün olmadığı bu bakımdan, hastanedeki tüm doktor ve hasta kayıt personellerinin tüm hasta kayıtlarına erişmesi yerine, hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesinin uygun olabileceği, veri sorumlusunun kimlerin hasta verilerini görüntülenebileceğine dair yetki matrisini oluşturmak suretiyle olası hukuka aykırı veri işlemelerin önüne geçebileceği, bu kapsamda veri sorumlusu Sağlık Bakanlığının cevabi yazısında bahsetmiş olduğu, uzman doktorların sadece kendi üzerlerine kayıtlı hastalara hizmet vermedikleri, planlı veya ani gelişen durumlarda başka hastalara da hizmet verdikleri, sağlık hizmetlerinin yoğun ekip çalışması gerektirmesi ve aciliyet arz eden durumların da dikkate alınabileceği,
  • Ayrıca, hastanenin otomasyon sisteminden çıktı alma noktasında sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı 

değerlendirmelerinden hareketle 

  • Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması gerektiği hususunda veri sorumlusunun talimatlandırılmasına,
  • İdari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, bu eğitimde özel nitelikli kişisel verilerle muhatap olan hastane personelinin kişisel verilerin işlenmesinde yetki kapsamlarına açıkça yer verilmesi ve alınan eğitim belgelerinin Kuruma sunulması hususunda veri sorumlusunun talimatlandırılmasına,
  • Kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına,
  • Hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine,
  • Veri sorumlusu bünyesinde çalışan kişinin, ilgili kişinin çocuğuna ait özel nitelikli kişisel verileri ilgili avukata 6698 sayılı Kanunun 8 inci maddesinde yer alan aktarım şartlarından herhangi birine dayanmadan aktardığı, bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından, Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine

karar verilmiştir.