“SAĞLIK VERİLERİNİ KANUNUN 6 NCI MADDESİNDE YER ALAN İŞLEME ŞARTLARINDAN BİRİNE
DAYANMADAN ÜÇÜNCÜ BİR KİŞİYE AKTARAN VERİ SORUMLUSU HAKKINDA” KİŞİSEL VERİLERİ KORUMA

KURULUNUN 05/12/2018 TARİHLİ VE 2018/143 SAYILI KARAR ÖZETİ

Karar Tarihi : 05/12/2018
Karar No : 2018/143
Konu Özeti :Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan

Üçüncü Kişilere Aktarımı Hakkında

 
Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından
her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu
hakkında;


6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı
maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur
maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış
bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller
sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği
belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin
ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise
kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı
maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.


Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;


a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,


b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,


c. Kişisel verilerin muhafazasını sağlamak


amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda
olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin
öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında
kullanamayacağı hükmüne yer verilmiştir.


Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin
ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar
sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi
nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.