Kuruma intikal eden şikâyette özetle; ilgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde Eczacıdan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin şikâyete konu kişisel bilgilerinin Medula sistemi tarafından işlendiği, Eczanelerin Medula sistemine bağlı olduğu, rutin işlemlerde reçete ve ilaç listesini bu sisteme girerek görebildiği,
- Medula sistemine kaydedilen kişisel bilgilerin hastane, poliklinik ve aile sağlık merkezlerindeki görevli personel veya hekimlerce işlendiği,
- Sağlık kuruluşu tarafından hastanın herhangi bir rahatsızlığında, tanı teşhis ve reçetenin referans numarası ile sisteme kaydedildiği; hastanın bu kayıttan sonra eczaneye gelerek Medula sistemine kaydedilen ilaçlarını aldığı,
- Kanun’un 5’inci maddesi uyarınca ilgili kişinin herhangi bir sağlık kurumuna giderek Medula sisteminde kişisel verilerinin işlenmesine onay verdiği; onay vermediğinde ilgilinin sağlık hizmetinden faydalanma imkânı olmadığı, eczacının sisteme veri kaydetmediği, yalnızca sisteme kaydedilen veriler neticesinde ilaç tedariki sağladığı,
- İlgili kişinin eski eşinin eczaneye geldiği, eczane çalışanına ilgili kişinin ilaç raporları hakkında soru sorduğu, raporların yenilenmesi gerekçesi ile rapor çıktılarının gerektiğini ifade ettiği, tarafların boşandıklarını ve aralarında velayet konusunda bir husumet bulunduğunu bilmeyen eczane çalışanının, ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiği,
- İlgili kişinin eczanenin uzun zamandan beri müşterisi olduğu, rapora bağlı ilaçlarının her seferinde eşi tarafından eczaneye gelinerek alındığı, eczaneden sürekli alışveriş yapan ilgili kişinin bir süre sonra rahatsızlandığı ve rapora bağlı ilaçlarının eşi tarafından her seferinde eczaneye gelinerek alındığı, bu durumun 2018, 2019, 2020 ve 2021 yıllarında bu şekilde gerçekleştiği, ilgili kişinin 4 yıl boyunca ilaçlarını kendi nam ve hesabına eşi tarafından eczaneden alınmasına, reçetelerini eczaneye vermesine ve ilgili kişi adına reçete işlemleri yapmasına onay verdiği,
- İlgili kişinin eşinin ilaç reçetelerinin, ilaç tedarikinin, rapor takiplerinin ve yenilenmelerin eşi tarafından yapıldığı ve ilgili kişinin bu duruma peşinen rıza gösterdiği, ilgili kişi tarafından duruma rızasının bulunmadığının eczacıya bildirilmediği veya söylenmediği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 06/07/2023 tarih ve 2023/1130 sayılı Kararı ile;
- Medula sisteminin Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı, Medula Eczane, Medula Optik, Medula Doktor ve Medula Hastane olmak üzere 4 temel alt modülü olduğu,
- Medula Eczane’nin Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu çevrimiçi olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
- Medula sistemini kullanan tüm sağlık hizmeti sunucularında e-rapor uygulamasına geçilmesi, raporların hastaneler tarafından yine elektronik ortamda onaylanması, elektronik raporlara ekleneceği belirtilen belgelere ait bilgilerin rapor içinde belirtilmesi sebebiyle ayrıca belge istenmemesi, ödenme koşulu rapora bağlı ilaçların gerek SGK gerek eczaneler tarafından kontrolü ile ilacın sözleşmeli eczaneler tarafından karşılanabilmesi için hastanın daha önce almış olduğu tedavi ve ilaçlara ilişkin rapor bilgilerinin eczaneler tarafından takip edilmesinin zorunlu olması, aksi halde ilacın karşılanamayacağı ve bu nedenle mağduriyetlerin söz konusu olacağı düşünüldüğünden kişilerin son 1 yıllık ilaç bilgisi ile rapor bilgilerinin Medula Eczane Provizyon Sistemi üzerinden sözleşmeli eczaneler tarafından görüntülenmesine izin verilmesi, SGK ile sözleşmeli eczanelerin elektronik reçetelerde yazılı olan bilgileri değiştirmesine sistem tarafından izin verilmemesi, SGK ile sözleşmeli eczacıların yalnızca reçetede yazılı ilacı eşdeğeri ile değiştirebilmesi ve ilacın adetini düşürebildiği hususları birlikte değerlendirildiğinde safi SGK ile sözleşmeli olan eczacıların bu sistemi kullanmaya yetkili olmasının, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebilmesinin veri sorumlusu olarak adlandırılmalarına yeterli olmayacağı aynı zamanda somut olaya ilişkin veri işleme faaliyetinin ne olduğuna bakılması gerektiği,
- Öyle ki bu sistem üzerinden hastaların raporlarının ve ilaç bilgilerinin kontrol edilmesinin tek başına veri sorumluluğu doğurmayacağı gibi eczacıların bu verilerin işleme amacını, vasıtasını belirlememekle birlikte Medula sisteminin kurulmasından ve yönetilmesinden de sorumlu olmadığı,
- Bu kapsamda, eczacıların ilaç temini sürecinde Medula sistemine girilen veriler açısından ayrı bir işleme faaliyeti yapmakla yetkilendirilmiş kişiler olmadığı, Kanun’un 3’üncü maddesi kapsamında veri sorumlusu özelliklerini taşımadıkları ve ödeme süreçlerinin tamamlanabilmesi için veri işleme faaliyeti yürüttükleri için veri işleyen sıfatını haiz olduğu,
- Öte yandan, Medula sisteminin işlevi için gerekenden fazla bir veri işleme faaliyeti yürütülmesi durumunda örneğin ilgili kişilerin rapor ve ilaç listesinin çıktısı alınarak hastalara ilişkin özel bir klasör oluşturulması veya söz konusu verinin üçüncü bir kişi ile paylaşılması durumlarında bu kişilerin veri sorumlusu sıfatını haiz olacağı,
- Kanun’un 6’ncı maddesinin “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde düzenlendiği,
- Kanun’un 12’nci maddesinin birinci fıkrasının, “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü haiz olduğu, anılan maddenin dördüncü fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiği,
- T.C. Sağlık Bakanlığı tarafından yayınlanan İyi Eczacılık Uygulamaları Kılavuzunun 5b.2 maddesinde ise “Eczacı, yürürlükteki mevzuat çerçevesinde mesleki ve etik davranışlar sergiler, hastanın özel yaşam ve mahremiyetini korur”; 6.5. maddesinde “Eczanede, eczacı ve hasta arasında yapılan görüşmelerde hasta mahremiyeti göz önünde bulundurulur ve görüşmeler bu doğrultuda yapılır.”; 10.ç.5. maddesinde “Eczacı, hasta veya yakınına vereceği bilgileri belirli bir düzen içinde sunar; önemli noktaları görüşmenin başında anlatır, sonunda tekrarlar.” hükümlerinin yer aldığı,
- Eczacının saklaması gereken sır niteliğindeki bilgilerin kapsamının geniş olduğu, başkalarının öğrenmesi halinde hastanın maddi veya manevi zarara uğrayacağı, ayıplanacağı, dışlanacağı ya da hastanın psikolojik olarak kendini kötü hissedeceği bilgilerin sır olarak kabul edildiği,
- Sır saklama yükümlülüğüne aykırı davranıştan dolayı hastaların tazminat talep edebildiği, Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu’nun 116’ncı maddesi gereğince sorumlu olduğu,
- Çalıştırdığı personelin seçimi, bilgilendirilmesi, denetimi ve talimat verilmesinde gerekli objektif özen ve dikkati gösterdiğini ya da bunu göstermiş olsa bile zararın doğumuna engel olamayacağını kanıtlar nitelikte bir bilgi ve belge sunamayan ve ilgili kişinin sağlık verilerinin üçüncü bir kişi ile paylaşılmasına sebep verecek şekilde özen yükümlülüğüne aykırı olarak hareket ettiği değerlendirilen eczacının (veri sorumlusunun) Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği
değerlendirmelerinden hareketle;
- Veri sorumlusu eczacının Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri Kanun’un 6’ncı maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında Kanun’un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
- Veri güvenliğinin sağlanabilmesini teminen Kanun ile Kurulun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararına uyum hususunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusu eczacının uyarılmasına
karar verilmiştir.