EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sağlık sektörü ile ilgili kararlar

6 Ob 198/21t

15/05/2023

Konu: Avusturya Yüksek Mahkemesi’nin GDPR 6(1) f uyarınca veri koruma talebini reddine ilişkin karar değerlendirmesi

Kararı Paylaşın

Karar Özeti:

Avusturya Yüksek Mahkemesi tarafından yayınlanan kararda doktor ve Viyana Tabipler Birliği’nin, kişisel verilerinin doktorlara yönelik bir arama ve derecelendirme portalının işletmecisi tarafından işlenmesine ilişkin bir davadaki itirazını kabul etmediğini bildirilmiştir. Mahkeme kararında GDPR uyarınca menfaat dengelemesine yapılması gerektiğine değinilmiştir.
Mahkeme kararında, veri işlemenin özel muayenehanelerdeki tüm doktorlar için eksiksiz bir kaydına sahip olan, doktorlar için bir arama ve derecelendirme portalının işletmecisi olan veri sorumlusunun, Avrupa Birliği Temel Haklar Şartı’nın 11. ve 16. maddelerine dayanarak, kendi meşru menfaatlerini ve portalının kullanıcılarının menfaatlerini koruduğuna karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00250/2021

12/10/2022

Konu: Veri sorumlusunun kişisel verilerin korunması için yeterli önlem almaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; ilgili kişi, bölgesel sağlık servisi (SES) tarafından istihdam edilen bir hemşirenin, şikayetçinin izni olmadan ve herhangi bir ilişkisi olmaksızın tıbbi geçmişine hukuka aykırı olarak eriştiğini iddia etmiştir. SES, Veri Koruma Otoritesi tarafından talep edilen risk değerlendirmesini veya veri koruma etki değerlendirmesini sağlamadı. İnceleme sonucunda, zorunlu risk analizinin ve önerilen etki değerlendirmesinin SES tarafından yürütüldüğüne dair kanıt bulamadı. Ayrıca AEPD, SES’in işleme güvenliğini garanti altına almak için teknik ve organizasyonel tedbirlerin etkinliğinin bir doğrulama, değerlendirme ve sürekli değerlendirme sürecini uygulamaya koymada başarısız olduğuna işaret etti.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2020010710

19/03/2021

Konu: Veri sorumlusunun kişisel verileri yasalara uygun olarak elde etmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından reddedilen başvuruda, Sağlık Müfettişliği temsilcilerinin, veri sahibinin özel mülküne kendisine haber vermeden girildiğine, mülkünün ve eşyalarının fotoğraflarının izinsiz çekildiğine ilişkin şikayet aldı. Ayrıca, veri sahibi ziyaret sırasında müfettişlik çalışanlarının orantılılığı korumadığını ve mahremiyetini ihlal ettiğini savundu. Müfettişlik, İzlanda hijyen ve kirlilik önleme yasalarına göre, arazi sahiplerinin mülklerini temiz ve düzenli tutmak ve atık arıtma işlemini uygun şekilde düzenlemekle yükümlü olduğunu, ancak veri sahibinin bahçesinde araba enkazı ve diğer atıkların biriktiğine dair bir şikayet aldı. Bu nedenle müfettişlik, belirli bir kirlilik kazası riski olduğu için olay yerinin 23 fotoğrafını kanıt olarak çekmeye karar verdi. Veri Koruma Otoritesi, Sağlık Müfettişliğinin hijyen ve kirliliği önleme yasalarının uygulanmasından sorumlu olduğunu bu sebeple kişisel verilerin işlenmesi, İzlanda yasasının müfettişlik çalışanlarının işlerini yaparken fotoğraf çekmelerine izin veren belirli hükümlere dayandığını karar verdi.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010671

25/11/2020

Konu: Veri sorumlusunun kişisel verileri yasaya uygun işlemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından reddedilen başvuruda, Sağlık Müfettişliği temsilcisinin, veri sahibinin evine ziyarete geldiği sırada evin fotoğraflarını çektiği ve veri sahibinin eşini ziyaretin amacı hakkında yeteri kadar bilgilendirmediği iddia edildi. Sağlık Müfettişliği ziyaretin yasal dayanağını açıklayarak, veri sahibine idare hukuku uyarınca eylemlerine itiraz etme hakkını belirten bir mektup gönderdiğini belirtti. Denetim sırasında oluşturulan belge ve resimlere erişimin bu görevleri yerine getiren sağlık temsilcileriyle sınırlı olduğunu vurguladı. Veri Koruma Otoritesi, Sağlık Müfettişliği tarafından şikayetçi hakkındaki kişisel bilgilerin kaydedilmesi ve işlenmesinin, öngörülen yasal yetkilendirme ile gerekçelendirildiğine karar verdiğinden şikayeti reddetmiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

9356568

01/06/2020

Konu: Sağlık bakanlığınca piyasaya sürülmüş bir sağlık uygulamasının kişisel veri politikaları hakkında önlem tavsiyeleri alınması hakkında.

Kararı Paylaşın

Karar Özeti:

İtalya Sağlık Bakanlığı covid-19 kapsamında bir takım mobil uygulama ve web siteleri tasarlamıştır. Covid-19 Uyarı Sistemi’nin ve resmi mobil uygulaması “Immuni” veri koruma etki değerlendirmesini sunmuştur. İşbu uygulama için İtalya Veri Koruma Otoritesi bilhassa aydınlatma yükümlülüğüne yönelik olmak üzere çeşitli önlemler buyurmuştur.

Ceza: Ek güvenlik önlemleri emretmiştir.

İlgili GDPR kararlarını görmek ister misin?

9529527

17/02/2020

Konu: Veri sorumlusunun sahip olduğu, ilgili kişilere ait özel nitelikli sağlık verilerini başka sağlık kuruluşları ile paylaşması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir sağlık kuruluşudur. Veri sorumlusu hastaların özel nitelikli kişisel verilerini başka sağlık kuruluşları ile paylaşmıştır. Sağlık kuruşunda yapılan soruşturma neticesinde, veri sorumlusunun iki sene boyunca işlediği verileri Otoriteye bildirmemesi, veriler için yeterli güvenlik önlemlerini almaması sebepleri ile otorite veri sorumlusuna para cezası verilmesine karar verilmiştir.

Ceza: 100.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9269629

23/01/2020

Konu: Veri sorumlusu bünyesinde çalışan personelin merak güdüsü ile hastaların özel nitelikli kişisel verilerini ihlal etmesi hakkında.

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi veri sorumlusu olan bir hastane tarafından gelen bildirime binaen soruşturma başlatmıştır. Yapılan bildirim üç kişisel veri ihlali ile ilgilidir. İhalllerin biri masasını boş bırakan bir doktorun bilgilerini kullanmak suretiyle kişisel verilere erişilmişitir. Diğer iki vakada ise bir stajyer ve bir radyolog teknisyeni meslektaşlarının sağlık kayıtlarına girmiştir. Her üç olayuda da tıbbi kaygılarla değil yalnızca merak yüzünden yapıldığı belirlenmiştir. İhlali gerçekleşen veriler sağlık verilieri olduğundan dolayı Özel Nitelikli Kişisel Veri olarak tanımlanmaktadır. Veri sorumlusu, hastaların sağlık verilerine yetkisiz erişimin sadece merak güdüsüyle kendi personeli tarafından gerçekleştirildiğini ve veri sorumlusunun personelinin hastaların sağlık verilerine erişimini engelleyecek hiçbir teknik önlem almadığını kabul etmiştir. Yapılan ihlaller neticesinde Otorite veri sorumlusuna 30.000,00 Euro (ve düzeltici önlemler) cezası verdi.

Ceza: 30.000,00 Euro (ve düzeltici önlemler) cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Danish National Genome Center

28/11/2019

Konu: Veri sorumlusunun etki değerlendirmesinden sonra ön görüşü beklemeden veri işlemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu kişiselleştirilmiş tıbbi çözümler geliştiren bir kuruluştur. Gen dizimi çalışması yapıp bu çalışmayı etki değerlendirmesinden sonra görüş almak için Veri Koruma Otoritesine gönderdi ama veri işlemeye görüşten önce başlandı. Yapılan incelemeler sonucunda, görüş kararını beklemeden yüksek riskli belgelerin işlenmesinin yanlış olduğuna dair karar verildi. 13 Ocak 2022’deki ilk soruşturmadan sonra kuruma kişisel verilerin daha fazla toplanmasına dair geçici bir yasak getirildi ve toplanan bilgilerin de işlenmesi yalnızca depolama ile sınırlandırıldı.

Ceza: 6.720 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021-442-12991

28/02/2019

Konu: Veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin alınmaması.

Kararı Paylaşın

Karar Özeti:

Eski bir sağlık kurumu çalışanı, kurumun prosedürlerine rağmen yanlışlıkla Microsoft Azure sistemindeki takma adların olduğu verileri depoladı. Şifresi çalışanlar tarafından çözülebilen veriler vatandaşların takma adlarlarıyla özel bilgileri içeriyordu. Danimarka Sağlık Verileri Kurumu, verilerin burada depolandığını ancak bir yıl sonra fark etti. Yapılan incelemeler sonucunda, riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulaması gerektiği belirtildi. İlk olarak veri sorumlusu bunları uygun yönerge ve prosedürde uygulamalıdır. İkinci olarak, verilerin orada olup olmadığına düzenli olarak bakılmalıdır. Kurumun bunu ihlal ettiği belirlendi.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?