235 TBB Dergisi 2022 (162) Emel BADUR te veri sorumlusu özel hastanenin çalışanı olan hekim tarafından izni dışında sisteme girildiğini ve şikâyet gününe kadar olan tümmuayene ve tetkik sonuçlarına erişildiğini fark ettiğini, hastane bünyesinde çalışan söz konusu hekime, muayene talebi ile gitmemiş olmasına rağmen sağlık verilerine erişiminin Kanun’a aykırı olduğunu iddia etmiştir. Veri sorumlusu savunmasında, ilgili kişinin verilerine erişenin hekimin kendisi değil; onun sekreteri olduğuna dair bir açıklamada bulunmuştur. Kurul, e-Nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu, ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek ilgili kişinin sağlık verilerine eriştiği dikkate alındığında; söz konusu hukuka aykırı erişimin veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğunu belirterek idari para cezası yaptırımı uygulamıştır.69 Bu çalışmanın konusu açısından önemli kısımlardan biri de yargılama sürecinde mahkeme kararıyla hazırlanan bir sağlık raporunun (kişisel sağlık verisi), mahkemeye iletilmesi sürecine ilişkindir. Yargılama faaliyeti açısından yargı mercileri tarafından yapılan işleme faaliyetleri KVKK’nın kapsamı dışında bırakılmış olsa da bu verilerin sağlık hizmeti sunucusu tarafından, mahkemeye ulaştırılması işlemi aktarma olarak nitelenebilir. Kurul’un belirlediği önlemler özel nitelikli kişisel verilerin aktarılması söz konusu olduğunda bu verilerin dijital ortamda mı fiziki ortamda mı aktarılacağına göre ayrılmaktadır. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması; taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması; farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerektiği belirlenmiştir. Buna karşılık verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya 69 KVKK Karar No: 2021/962, T. 21.09.2021. https://www.kvkk.gov.tr/Icerik/ 7074/-Ilgili-kisinin-talebi-ya-da-rizasi-olmaksizin-ozel-bir-hastane-calisanihekim-tarafindan-e-nabiz-sistemine-erisim-saglanmasi-hakkinda-KisiselVerileri-Koruma-Kurulunun-21-09-2021-tarihli-ve-2021-962-sayili-Karari. (E. T. 12.06.2022)
RkJQdWJsaXNoZXIy MTQ3OTE1