EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2020/355

2020/355

07/05/2020

Konu: İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması hususunda Kuruma intikal eden ihbar başvurusu.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda veri sorumlusu eczacının eşinin İl Sağlık Müdürlüğü’ne yaptığı başvurudan, eczacı eşinin Medula Eczane sistemine giriş yaotığının anlaşıldığı ancak söz konusu sistemin özel nitelikli kişisel veri içermesi sebebiyle, yetkisiz üçüncü kişi olan eşinin Medula sistemine erişimine izin veren Eczane hakkında üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla KVKK’nın 12’nci maddesinin 1 numaralı fıkraı uyarınca idari para cezası uygulanmasına karar verilmiştir. Bununl abirlikte, yetkisiz şekilde Medula sistemine giriş yaparak ilgli kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanunu’nun 136’ncı maddesi kapsamında savcılığa suç duyurusunda bulunulmuştur.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda özetle;

  • İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
  • Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği

belirtilmiştir.

İlgili kişiye ait Medula Eczane çıktılarının, dilekçe sahibinin eşinin eczanesinden alınarak kullanılması hakkındaki ihbar başvurusunun incelenmesi neticesinde

  • İhbara konu olan Medula Sisteminin, Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı,
  • Medula Eczanenin ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
  • SGK ile sözleşmeli olan eczanelerin bu sistemi kullanmaya yetkili olduğu, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebildikleri göz önünde bulundurulduğunda eczacıların Medula sistemi kapsamında veri işleme faaliyetinde bulunabildikleri

değerlendirilmiş, Sosyal Güvenlik Kurumu’ndan alınan bilgiler doğrultusunda ise ihbara konu Medula Eczane çıktılarının şikayet sahibinin eşinin eczanesinden alındığı tespit edilmiş olup, Kurulun 07/05/2020 tarihli ve 2020/355 sayılı Kararı ile;

Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,

Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı

Kanunun 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerinin düzenlendiği,

Öte yandan, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı dikkate alınarak;

  • Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
  • İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına karar verilmiştir.
Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?