Sağlık kuruluşlarının Verbis Sistemine kayıt süreleri uzatıldı

Yazan Av. Arb. Bahadırhan Tabak
2 Temmuz 2020   |    4 Şubat 2022    |   Kategori: Sağlık Gündemi, Üye Yazıları Print

Daha önce sağlık kuruluşlarının kişisel veri mevzuatından kaynaklanan sorumlulukları ile ilgili bir yazı yayınlamıştım. Aşağıdaki linkten bu yazıya ulaşmak mümkün. Özel muayenehane, klinik, tıp merkezi, özel hastane veya kamu hastanesi ayrımı gözetmeksizin kişisel veri işleyen tüm gerçek ve tüzel kişilerin bu mevzuata uygun hareket etmek ve mevzuatla düzenlenen VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olma zorunluluğu bulunuyor.

Kişisel Sağlık Verileri konusunda hastane ve hekimlerin sorumluluğu

Ancak geçtiğimiz hafta Kişisel Verileri Koruma Kurumu yayınladığı bir duyuru ile VERBİS kayıt sürelerini Covid-19 virüs salgını sebebiyle uzattığını açıkladı. Son tarihler aşağıda yer almakta olup sağlık kuruluşlarının da aşağıdaki tarihlerden önce VERBİS kayıtlarını gerçekleştirmeleri gerekiyor.

Veri Sorumluları Son Tarih
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 31.03.2021
Yıllık çalışan sayısı 50’den çok veya
yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
30.09.2020

Bu tarihlerden önce VERBİS kaydını gerçekleştirmeyen gerçek ve tüzel kişiler için Kurum’un 36.050 TL‘den 1.802.640 TL‘ye kadar idari para cezası uygulama yetkisi bulunuyor. VERBİS kaydı öncesi işletmenin hacmi, iş süreçleri, bu süreçlerde işlenen kişisel veriler ve bu verilerin nitelikleri, işlenme amaçları analiz edilerek, veri envanteri çıkartılmalı. VERBiS kaydı da esasında bu envanter doğrultusunda hangi verilerin işlendiğinin ve işlenen verilerle ilgili olarak veri sorumlusunun kim olduğunun Kuruma bildirilmesi olarak ifade edilebilir.

Kişisel veri mevzuatının getirdiği yükümlülükler VERBİS ile sınırlı değil

VERBİS kaydı için süreler uzatılmış olsa da, Kişisel Verilerin Korunması Kanunu geçtiğimiz yıllarda yürürlüğe girmiş bulunan başkaca yükümlülükler de getirdi. Üstelik Kurumun bu yükümlülüklerin ihlalini tespit ettiğinde aşağıda yer alan idari para cezalarını uygulama yetkisi de mevcut. Bu sebeple sağlık kuruluşlarının en kısa sürede mevzuata uyum sürecini gerçekleştirmesi önemli.

YÜKÜMLÜLÜK 2020 YILI İÇİN CEZA MİKTARLARI
Aydınlatma yükümlülüğü 9.013 – 180.264 TL
Güvenlik yükümlülüğü 27.040 – 1.802.641 TL
Kurul kararlarını yerine getirme yükümlülüğü 45.066 – 1.802.641 TL
VERBİS’e kayıt yükümlülüğü 36.053 – 1.802.641 TL

Kişisel veri mevzuatına uyum sürecinde yapılması gerekenler neler ?

Öncelikle sağlık kuruluşları faaliyet konusu itibariyle özel nitelikli kişisel veri (sağlık verisi) işlemeleri sebebiyle Kanun tarafından diğer işletmelere göre farklı bir kategoride ele alınmıştır. Hatta bu sebeple özel nitelikli kişisel veri olarak kabul edilen sağlık verisi ile ilgili olarak Kişisel Sağlık Verileri Hakkında Yönetmelik yayınlanmıştır.

Bu düzenlemelere göre işletme adına veri sorumlusunun VERBİS kaydının yapılması haricinde işletmelerin şunlara da dikkat etmesi gerekiyor:

Aydınlatma yükümlülüğü

İşlenen sağlık verileri ile ilgili olarak hastaların mevzuata uygun şekilde aydınlatılması gerekiyor. Bunun için fiziki ve dijital ortamda aydınlatma metinlerinin hazırlanması ve hastaların anlayacağı şekilde kişisel veri aydınlatması yapılmalıdır.

Estetik cerrahi uzmanı hastasının her istediği işlemi yapma yetkisine sahip midir?

Kişisel verisi işlenen hastaların veya yakınlarının veri sorumlusuna işlenen verileri ile ilgili olarak nasıl başvurabilecekleri, bu noktada hasta ve yakınlarının ne tür haklarının bulunduğuna ilişkin bir politika da hazırlanması, bu süreçlerin de bir metin ile açıklanması gerekir. Verilerin ne amaçla ve ne şekilde kullanılacağı, hangi amaçla, nerelere aktarılacağı, ne kadar süre saklanacağı, ne zaman ve ne şekilde anonimleştirileceği veya yok edileceği bu politika metinleri içerisinde açıklanmış olmalıdır.

Veri Güvenliği

Kişisel veriler ister fiziki ortamda isterse dijital ortamda saklansın mutlaka Kurum’un aradığı asgari standartlarda korunması gerekir. Kurum yayınladığı duyurular ile verilerin güvenliğinin asgari ne şekilde sağlanacağını açıklamıştır. Bu kriterlere uygun bir koruma sistemi oluşturulmalı, olası veri ihlalleri hakkında vakit geçirmeksizin kuruma bilgi verilmelidir.

Kişisel sağlık verilerinin bugün için yurt dışına aktarılması mümkün değildir. Dolayısıyla sağlık kuruluşları kişisel sağlık verilerini dijital ortamda tutuyorlarsa mutlaka yurt içindeki serverları ve bu anlamda yerel hizmetleri tercih etmeleri gerekir.

İşletme bünyesindeki çalışanlara kişisel veri mevzuatı konusunda bir formasyon eğitimi verilmeli, çalışanların kişisel veri mevzuatına uygun şekilde hareket etmeleri sağlanmalıdır. Bu noktada varsa kurum içi disiplin yönetmeliklerine kişisel veri ihlaline ilişkin maddelerin eklenmesi de düşünülebilir.

İleride yaşanabilecek muhtemel idari yaptırımlardan korunmak adına VERBİS kaydı ve yukarıda anılan işlemler dahil kişisel veri uyum sürecinin kişisel veri alanında uzman bir ekipten yardım alınarak gerçekleştirilmesi faydalı olacaktır.

Av. Arb. Bahadırhan TABAK
av.bahadirhantabak@gmail.com

YAZIYI PAYLAŞ

YORUMUNUZ VAR MI?

guest

0 Comments
Inline Feedbacks
Tüm yorumları gör
Araç çubuğuna atla