Kişisel Verilerin Korunması Kanunu Kapsamında Eczanelerin Yükümlülükleri
Covid-19
GENEL OLARAK
07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu ifadeden hareketle Kanun Koyucunun kişisel veri kavramı, oldukça kapsamlı tuttuğunu söylemek mümkündür.
Kanunda veri sorumlusu: “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
Yine Kanuna göre kişisel verilerin işlenmesi: “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak ifade edilmektedir.
Sağlık hizmetlerine istinaden tanı ve ilaç verisi toplayan, bu verilere dayanarak faturalama işlemi gerçekleştiren eczanelerin, diğer veri işleme faaliyetleri bir yana dursun sırf bu sebeple dahi veri sorumlusu sıfatına haiz olduğunu ve mevzuat kapsamındaki yükümlülüklerini yerine getirmesi gerektiğini söylemek mümkündür.
A. VERİ SORUMLUSU SIFATINA HAİZ ECZANELERİN YÜKÜMLÜLÜKLERİ
Veri sorumlusun yükümlülükleri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun çeşitli hükümlerinde dağınık biçimde düzenlenmiş ve Kurul’ca yürürlüğe konulan ikincil mevzuatta detaylandırılmıştır. Bu nedenle veri sorumlusunun yükümlülüklerini kapsayacak en genel ifade; veri sorumlularının kişisel verilerin korunmasına ilişkin mevzuat hükümlerine uyma yükümlülüğü olarak ifade edilebilir.
1. VERİ SORUMLULARI SİCİLİNE (VERBİS) KAYIT YÜKÜMLÜLÜĞÜ
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca “KİŞİSEL VERİLERİ İŞLEYEN GERÇEK VE TÜZEL KİŞİLER, VERİ İŞLEMEYE BAŞLAMADAN ÖNCE VERİ SORUMLULARI SİCİLİNE KAYDOLMAK ZORUNDADIR. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”
Bu hüküm doğrultusunda Kişisel Verileri Koruma Kurulunca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Buna göre; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
Eczaneler, ana faaliyet konusu özel nitelikli kişisel veri işlemek olan işletmeler olmaları nedeniyle diğer veri sorumluları için kayıt yükümlülüğünün değerlendirilmesi kapsamında dikkate alınan çalışan sayısından ve yıllık mali bilanço toplamından bağımsız olarak VERBİS’e kayıt olmakla yükümlüdürler.
Nitekim Türk Eczacılar Birliği Merkez Heyeti “BÖLGE ECZACI ODASI YÖNETİM KURULU BAŞKANLIĞINA” hitaben kaleme aldığı 27.12.2019 tarihli yazısında aynen:
“Kişisel Verileri Koruma Kanunu kapsamında, Birliğimizin, Bölge Eczacı Odalarımızın ve eczanesi bulunan meslektaşlarımızın, VERBİS’e kayıt yükümlülüğü bulunmaktadır.”
ifadesiyle eczanelerin VERBİS’e kayıt zorunluluklarının bulunduğunda dikkat çekmiştir.
2. AYDINLATMA YÜKÜMLÜLÜĞÜ
Veri sorumlusu sıfatına haiz Eczane veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında, ilgili kişilere aşağıdaki hususlarda bilgi vermekle yükümlüdür.
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11 inci maddede sayılan diğer hakları,
Bu noktada aydınlatma yükümlülüğünün, ilgili kişinin talebine bağlı olmadığını da ifade etmek gerekir. Başka bir ifadeyle; kişisel verisi işlenen gerçek kişinin, veri sorumlusu tarafından bilgilendirilmesi için bunu ayrıca ve açıkça talep etmesi zorunlu değildir.
3. İLGİLİ KİŞİYE HAKLARINI KULLANDIRMA YÜKÜMLÜLÜĞÜ
Kanun 13. maddesi ile ilgili kişinin haklarının kullandırılmasını veri sorumlusu sıfatına haiz eczaneye yüklemiştir. Buna göre;
İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
4. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
Kişisel verilerin korunması hukukunun esasını verilerin güvenli bir içimde tutulması ve işlenmesi oluşturur. Veri sorumluları ve veri işleyenler kişisel verilerin ilk defa elde edilmesinden başlayarak her aşamada gerekli önlemler alarak yeterli güvenliği sağlamalıdır.
Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “ Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 13. maddesinde bu yükümlülük aynen şu şekilde ifade edilmişti:
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Alınması gereken teknik ve idari tedbirler, veri kayıt sisteminin nitelik ve kapsamına göre belirlenmelidir.
5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ YÜKÜMLÜLÜĞÜ
Hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Buna göre ilgili işleme gerekçesinin sona ermesinden itibaren veri sorumlusunun ilgili verileri silmesi, yok etmesi veya anonimleştirmesi gerekir.
6. KURUL KARARLARINI YERİNE GETİRME YÜKÜMLÜLÜĞÜ
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu kararın, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi zorunludur.
B. YÜKÜMLÜLÜKLERE UYMAMANIN KABAHATLER KANUNU BAKIMINDAN DEĞERLENDİRİLMESİ
Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde hangi hukuka aykırılığın hangi idari yaptırıma tabi tutulacağı açık bir şekilde öngörülmüştür. Kişisel Verileri Koruma Kurulu bu madde kapsamında düzenlenen idari yaptırımlara, ilgili kişinin yapacağı başvuru üzerine ya da re’sen yürüteceği inceleme neticesinde karar verebilecektir.
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
Yayımlar
- Özel Hastaneler Tarafından Fazladan AlınanÜcretlerinin İadesi
- Savurganlık, Alkol Veya Uyuşturucu Madde Bağımlılığı, Kötü Yaşama Tarzı, Kötü Yönetim Nedeniyle Vesayet
- Şirket Ortakları İçin Altın Değerinde Olan Şey: “BİLGİ”
- Limited Şirkette Haklı Sebeple Ortaklıktan Çıkma
- Yargıtay Kararları Işığında Mal Rejiminde Eşlerin Anne Ve Babalarından Yapılan Devirlerin Hukuki Durumu
- Apartman Görevlilerinin (KONUT KAPICILARI) İş İlişkisi
- İşverenin Eşit Davranma Yükümlülüğü
- Ulusal (İç) Tahkim
- Trafik Kazalarından Kaynaklanan Tazminat Davaları
- Konut Ve Çatılı İşyeri Kira Sözleşmelerinin Uzaması Halinde Belirli Süreli Olarak Devam Etmesi
Avukata Sor
Avukata Sor
Yayımlar
- Özel Hastaneler Tarafından Fazladan AlınanÜcretlerinin İadesi
- Savurganlık, Alkol Veya Uyuşturucu Madde Bağımlılığı, Kötü Yaşama Tarzı, Kötü Yönetim Nedeniyle Vesayet
- Şirket Ortakları İçin Altın Değerinde Olan Şey: “BİLGİ”
- Limited Şirkette Haklı Sebeple Ortaklıktan Çıkma
- Yargıtay Kararları Işığında Mal Rejiminde Eşlerin Anne Ve Babalarından Yapılan Devirlerin Hukuki Durumu
- Apartman Görevlilerinin (KONUT KAPICILARI) İş İlişkisi
- İşverenin Eşit Davranma Yükümlülüğü
- Ulusal (İç) Tahkim
- Trafik Kazalarından Kaynaklanan Tazminat Davaları
- Konut Ve Çatılı İşyeri Kira Sözleşmelerinin Uzaması Halinde Belirli Süreli Olarak Devam Etmesi
Covid-19
Litigation & Dispute Resolution
Real Estate
Mergers & Acquisitions
Intellectual Property
Employment & Labor
Debt Collection & Restructuring
Insurance Law
Business Law & Corporate Maintenance
Protection Of Personal Data
Transportation & Logistics
Consumer Protection
