EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sağlık sektörü ile ilgili kararlar

2023/1578

14/09/2023

Konu: İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması

Kararı Paylaşın

Karar Özeti:

Şikayet dilekçesine göre, ilgili kişi bir üniversiteye bağlı tıp merkezinde tedavi hizmeti alırken, şahsi terapi ve evlilik terapisi kayıtlarını içeren hasta dosyası, boşanma davası sürecinde görev yapan tıp merkezi mesul müdürü hekim tarafından mahkemeye gönderilmiştir. Bu dosyanın hiçbir önlem alınmadan, herkesin erişebileceği bir şekilde gönderilmesi sonucunda özel hayatına ait mahrem bilgilerin mahkeme tarafından taranarak geniş bir çevre tarafından öğrenildiği ifade edilmektedir. Hastanenin gereksiz detayları içeren notları paylaşmasının, ilgili kişinin özel hayatının açıkça ifşa edilmesine neden olduğu belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Tıp Merkezi hakkında işlem yapılması talep edilmektedir. İlgili kişinin özel nitelikli kişisel verilerinin, üniversitenin bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6. maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğu belirtilmiştir. İlgili kişinin özel nitelikli kişisel verisinin sağlık kayıtları, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221. maddesine dayanarak mahkemeye aktarılmıştır. Bu durumda, söz konusu kişisel veri aktarımının Kanun’un 8. maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğu ifade edilmiştir. Aktarım faaliyetlerinde, 2018/10 sayılı Kurul Kararı’na uygun olarak önlemlerin alınması gerektiği belirtilmiş ve özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilerek seçilmesi gerektiği vurgulanarak, veri sorumlusuna hatırlatma yapılmıştır. İlgili kişinin iddiaları arasında, belgenin UYAP’a yüklenerek üçüncü kişilerin erişimine açıldığına dair bir belirtilme olmasına rağmen, veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28. maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1414

17/08/2023

Konu: Özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması.

Kararı Paylaşın

Karar Özeti:

Bir avukat, müvekkilinin aile üyelerine ait DNA test sonuçlarını, hukuka uygun olarak yargılama sürecinde kullanmıştır. Bu eylem, Kurul tarafından kişisel verilerin korunması mevzuatı ve ilgili diğer kanunlar çerçevesinde değerlendirilmiştir. Kurul, avukatın eyleminin kişisel verilerin işlenmesine ilişkin kanuni şartlara uygun olduğunu ve hukuka aykırı bir durum olmadığını belirleyerek şikayetle ilgili işlem yapılmasına gerek olmadığına karar vermiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/695

02/05/2023

Konu: Özel bir tıp merkezi tarafından ilgili kişinin e-Nabız sistemindeki verilerine hukuka aykırı erişilmesi.

Kararı Paylaşın

Karar Özeti:

Özel bir tıp merkezinin çalışanı, yetkisiz ve onaysız bir şekilde e-Nabız sistemi üzerinden bir kişinin özel nitelikli sağlık verilerine erişmiştir. Kurul, bu erişimin hukuka aykırı olduğunu ve veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını tespit ederek, veri sorumlusu tıp merkezine idari para cezası uygulamıştır.

Ceza: 200.000 TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1072

07/10/2022

Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle; İlaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edilidiğine ilişkin veri sorumlusuna başvurduğu ve e-posta adresinin ecza depoları vasıstasıyla elde edildiği ifade edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusuna 50.000 TL İdari Para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/31

18/01/2022

Konu: Sağlık sektöründe ilgili kişinin açık rızası alınmaksızın veri sorumlusu tarafından ticari elektronik ileti gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1153

11/11/2021

Konu: Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Kuruma iletilen şikâyetinde kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. Kurul tarafından yapılan inceleme sonucunda ilgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/962

21/09/2021

Konu: İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine erişim sağlanması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, özel bir hastane çalışanı doktorunun ilgili kişiye ait Sağlık Bakanlığı’nın e-nabız uygulamasına girdiğinin tespit edildiği, bununla birlikte yapılan araştırma sonucunda hekimin sekreteri tarafından ilgili kişinin bilgilerini elde ettiği anlaşılmıştır. Bu kapsamda, e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğuna karar verilmiştir. Bu doğrultuda KVKK’nın 12’inci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: Ceza miktarı açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/761

06/08/2021

Konu: Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği, raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü, hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi ile kendisine teslim ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, hastanenin otomasyon sisteminden çıktı alması ile sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı belirtilmiştir. Bu kapsamda, veri sorumlusunun politikalar, kişisel verilerin işlenmesinde yetki kapsamları ve alınan eğitimleri kuruma sunma, sistemin güncellenmesi, yetki matrisini sağlama konularında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/666

06/07/2021

Konu: Şikayetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından özel hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, evrak trafiği yoğunluğu nedeniyle ilgili kişinin başvurusuna dönüş yapılamadığı, doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğu, hizmet veren kişilerin KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, şüphelilerin görevliye fark ettirmeden gizlice ekran görüntüsü çektikleri ve bu hususun zapt altına alındığı, hastanenin detaylı idari ve teknik tedbirler aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, gerekli teknik ve idari tedbirler alınsa da söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/407

20/04/2021

Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 3123

Türkçe dilinde GDPR karar özetlerini görmek ister misin?