Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi, kişisel veri olarak kabul ediliyor. Kimlik ve iletişim bilgileri ile sağlık, finans gibi alanları da kapsayan bu veriler, gerek özel sektör gerekse de kamu tarafından saklanmakta. Mahrem bilgilerin, yetkisiz kişiler tarafından ele geçirilmesi ve paylaşılması önemli riskler taşıdığından kişisel verilerin korunması oldukça önemli. Bağ&Günen Hukuk Bürosu’ndan Avukat Ece Günen, sağlık sektöründe kişisel verilerin saklanması ve işlenmesine dair yasal çerçeve hakkında bilgiler verdi:
“Türkiye’de 2010 yılında yapılan Anayasa değişikliği ile anayasal bir çerçeveye oturtulan kişisel verilerin korunması hususu 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile açık ve kalıcı bir düzenlemeye kavuşmuştur.
Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ‘özel nitelikli kişisel veri’ olarak tanımlamaktadır. Bu sebeple sağlık sektöründe faaliyet gösteren gerçek ve tüzel kişilerle gerçek kişiler tarafından paylaşılan sağlık, cinsel hayat, biyometrik ve genetik verilere önem verilmesi ve Kanuna uygun olarak işlenmelerinin sağlanması gerekmektedir.
Özel Nitelikli Kişisel Verilerin Kanuna Uygun İşlenmemesi Durumunda Para Cezası Verilebilir
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygulanır. Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Kanun’a aykırılık halinde ise Kurul tarafından yapılan ihlale bağlı olarak değişen oranlarda idari para cezası verilir. Aydınlatma yükümlülüğünün ihlalinde 5.000 TL-100.000 TL, veri güvenliği yükümlülüğünün ihlali halinde 15.000-1.000.000 TL, Kurul kararlarına muhalefette 25.000 TL-1.000.000 TL, sicil yükümlülüğünün ihlali halinde 20.000 TL-1.000.000 TL idari para cezası verilebilecektir.
Kurul yakın zamanda verdiği bir kararında, doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda yapılan şikâyet başvurusu üzerine, ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8’inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12’nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18’inci maddesi uyarınca idari para cezası uygulanmasına karar vermiştir”.