Eczanelerin KVKK Kapsamındaki Yükümlülükleri Nelerdir?

Eczaneler, kişisel veri işleme faaliyeti gerçekleştiren diğer tüm veri sorumluları gibi veri işleme faaliyetlerini 7 Nisan 2018 tarihi itibariyle KVKK’ya uygun sürdürmekle yükümlüdür. Bu kapsamda veri sorumlusu eczanelerin KVKK kapsamındaki yükümlülükleri altı başlıkta değerlendirilmiştir.

1. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Yükümlülüğü

Eczaneler, ana faaliyet konusu özel nitelikli kişisel veri işlemek olan işletmeler olmaları nedeniyle diğer veri sorumluları için kayıt yükümlülüğünün değerlendirilmesi kapsamında dikkate alınan çalışan sayısı ve yıllık mali bilanço toplamından bağımsız olarak VERBİS’e kayıt olmakla yükümlüdürler. Ana faaliyet konusu özel nitelikli kişisel veri işlemek olan eczanelerin VERBİS kayıt yükümlülüğünü yerine getirmesi için son gün 31 Mart 2021’dir.

VERBİS Kayıt ve Bildirim Yükümlülüğüne Aykırılık

VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları için 36.053 Türk lirasından 1.802.626 Türk lirasına kadar idari para cezası öngörülmektedir. (2020 yılı için)

2. Aydınlatma Yükümlülüğü

Gerçek kişilerin kişisel verilerini işleyen veri sorumluları, ilgili kişileri veri işleme faaliyetlerine ilişkin olarak bilgilendirmekle yükümlüdür.

Bir eczane için ilgili kişiler yardımcı eczacı, ikinci eczacı, eczane destek personeli gibi çalışan kişi grubuna dahil olabileceği gibi, tedarikçi ve hasta gibi hizmet alınan ve verilen kişi grupları da olabilecektir.

Aydınlatma yükümlülüğü, kişi grupları ve kişisel veri işlenen süreçler özelinde oluşturulan aydınlatma metinleri aracılığıyla yerine getirilmektedir. Kişisel Verilerin Korunması Uyum projesi kapsamında eczanelerin süreçleri ayrıntılı bir şekilde analiz edilerek hangi kişi grubunun hangi kanallar aracılığı ile aydınlatılacağı doğru bir şekilde tespit edilmelidir.

Aydınlatma Yükümlülüğünü Yerine Getirmeme

Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları için 9.013 Türk lirasından 180.264 Türk lirasına kadar idari para cezası öngörülmektedir. (2020 yılı için)

3. Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında;

- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

- Kişisel verilerin muhafazasını sağlamakla yükümlüdür.

Bununla birlikte Kişisel Verileri Koruma Kurulu’nun Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı kararı kapsamda, çalışanlara yönelik olarak erişim yetkilerinin düzenlenmesi ve farkındalığın arttırılması, özel nitelikli kişisel verilerin işlendiği ve muhafaza edildiği ortamlara ilişkin olarak ortamın elektronik yahut fiziki oluşu doğrultusunda öngörülen önlemlerin alınması, özel nitelikli kişisel verilerin aktarılması durumunda ise aktarım kanalı için öngörülen önlemlerin alınması dahil özel bir özen gösterilmesi gerekmektedir.

Ana faaliyet konusu özel nitelikli kişisel veri işlemek olan eczanelerin bu yükümlülüklerin yerine getirilmesi için gerekli özeni göstermeleri, bu kapsamda eczane personeline farkındalığı arttırmak için düzenli olarak eğitimler verilmesi, eczanelerce kullanılan sistemlerinde eczane personelinin yetkilerinin doğru bir şekilde ve gerekli olan süre boyunca tanımlanması gerekmektedir.

Yine eczaneler tarafından kullanılan eczane yönetim bilgi sistemleri ve Medula sistemi gibi elektronik ortamlar ile fiziki ortamlarda muhafaza edilen bilgi ve belgelere ilişkin muhafaza edilen ortama uygun güvenlik önlemlerinin alındığından emin olunması gerekmektedir.

Eczanelerin KVKK uyumu kapsamında özel nitelikli kişisel verilerin işlenmesi ve aktarılmasında mevzuatın ve Kişisel Verileri Koruma Kurulu’nun kararları doğrultusunda veri güvenliğine ilişkin yükümlülüklerin yerine getirilebilmesi için eczane faaliyetlerinin doğru bir şekilde analiz edilmesi, bu doğrultuda alınması gereken teknik ve idari tedbirler doğru bir şekilde tespit edilmesi gerekmektedir.

Veri Güvenliğine İlişkin Yükümlülüğünü Yerine Getirmeme

Veri güvenliği yükümlülüklerini yerine getirmeyen veri sorumluları için 27.040 Türk lirasından 1.802.636 Türk lirasına kadar idari para cezası öngörülmektedir. (2020 yılı için)

4. Veri İşleme Faaliyetlerinin Genel İlkelere Uygun Olarak Gerçekleştirilmesi

Veri sorumluları tüm veri işleme faaliyetlerinin özünde KVKK 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeleri esas almalı ve veri işleme faaliyetlerini bu ilkelere uygun olarak gerçekleştirmelidir.

- KVKK 4. maddesinde belirtilen ilkeler aşağıdaki gibidir;

- Hukuka ve dürüstlük kurallarına uygun olma,

- Doğru ve gerektiğinde güncel olma,

- Belirli, açık ve meşru amaçlar için işlenme,

- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Veri işleme faaliyetlerinin Kanun’da belirtilen temel ilkeler uygun gerçekleştirildiğinin tespiti, veri işleme faaliyetlerinin doğru bir şekilde analiziyle mümkündür. Veri işleme faaliyetlerinin tespiti doğrultusunda oluşturulan ve VERBİS kayıt yükümlüsü veri sorumlularının bulundurması gereken kişisel veri envanteri üzerinde, veri sorumlusu tarafından kişisel verilerin hangi süreçlerde, hangi hukuki nedene dayanarak, hangi amaçlarla ve ne kadar sürelerle işlendiği gibi pek çok bilgiye yer verilmektedir. Kanun’a uyum projeleri kapsamında veri işleme faaliyetlerinin analizi sırasında tespit edilen amacını aşar nitelikteki veri işleme faaliyetlerinin durdurulması ve/veya kanuna uygun hale getirilmesi için süreç çalışmaları yapılarak, veri sorumlularının veri işleme faaliyetlerinde temel ilkeleri özümsemesi için gerekli farkındalık çalışmaları gerçekleştirilmelidir.

5. Kişisel Verileri Koruma Kurulu ("Kurul") Kararlarının Yerine Getirilmesi

Kurul; şikayet ve ihbar üzerine veya ihlal iddiasını öğrenmesi durumunda veri sorumlularının veri işleme faaliyetlerine ilişkin inceleme başlatabilir. Bu incelemeler doğrultusunda bir ihlalin varlığını tespit etmesi halinde veri sorumlularınca bu ihlalin giderilmesine karar vererek bu kararı ilgililere tebliğ eder. Bu kapsamda bir karar tebliğ alan veri sorumlusu, tespit edilen ihlali tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

Kurul Kararlarını Yerine Getirmeme

Kurul kararlarını yerine getirmeyen veri sorumluları için 45.066 Türk lirasından 1.802.636 Türk lirasına kadar idari para cezası öngörülmektedir. (2020 yılı için)

6. İlgili Kişilerin Başvurularının Cevaplanması

Verisi işlenen ilgili kişiler Kanun’un 11. maddesinde sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlularına iletebilirler.

Veri sorumluları kendisine başvuru yapan ilgili kişinin taleplerini kabul edebilir veya gerekçesini açıklayarak reddedebilir. İki halde de veri sorumlusunun ilgili kişiye başvurunun tebliği tarihinden itibaren talep cevabına ilişkin olarak 30 gün içerisinde bir yanıt vermesi gerekir.

İlgili Kişi;

- Veri sorumlusunun başvuruyu reddetmesi halinde ret tarihinden itibaren 30 gün içinde;

- Veri sorumlusunun başvurusunu yetersiz bulması halinde cevap tarihinden itibaren 30 gün içinde;

- Veri sorumlusunun başvuruya cevap vermemesi halinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.

Bu kapsamda, eczanelerin kendilerine gelen ilgili kişi taleplerini doğru bir şekilde değerlendirmesi, usulüne uygun bir şekilde yapılan ilgili kişi başvurularına süresinde cevap vermesi gerekmektedir.

Sonuç: Eczanelerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na uyumu kapsamında son günü 31 Mart 2021 olan VERBİS kayıt yükümlülüğünün yanı sıra yukarıda belirtildiği üzere pek çok yükümlülüğü bulunmaktadır. Bu anlamda eczanelerin Kanun’dan kaynaklı yükümlülüklerini yerine getirebilmeleri için kapsamlı bir çalışma gerektiren uyum projelerini son güne bırakmamaları, mümkün olan en kısa sürede gerekli aksiyonları almaları gerekmektedir.

Av. Berke Kaşıkaralar