Sağlık Sektörünün Kişisel Verilerin Korunması Kanunu Çerçevesinde VERBİS Başvurusunda Son Tarih 31 Mart 2021
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmî Gazetede yayımlanarak yürürlüğe girdi.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca; kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğü bulunmakta olup, Kanun’un Geçici 1. maddesi ile VERBİS’e kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Verileri Koruma Kurul’u tarafından ilan edilen süre içerisinde VERBİS’e kayıt olmaları gerekmektedir.
Kanun’un Geçici 1. maddesi kapsamında Kurul tarafından alınan 2019/387 sayılı Karar ile;
| Veri Sorumluları | Kayıt yükümlülüğü başlangıç tarihi | Kayıt için verilen süre | Kayıt için son tarih |
|---|---|---|---|
| Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 24 ay | 30.09.2020 |
| Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 24 ay | 30.09.2020 |
| Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 01.01.2019 | 27 ay | 31.03.2021 |
| Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 24 ay | 31.03.2021 |
Sağlık verisi özel nitelikli kişisel veri olduğundan, ana faaliyet konusu gereği sağlık verisi işleyen;
- Hastaneler
- Diyaliz Merkezleri
- Özelleşmiş Tedavi Merkezleri
- Özel Tıp Merkezleri/Özel Poliklinikler
- Tanı, Tetkik ve Görüntüleme Merkezleri,
- Eczaneler
- Doktor Muayenehaneleri
- Diyetisyenler
- Diş Hekimleri
- Diş Depoları
- Optikçiler
- Fizyoterapi/ Fizik Tedavi İşletmeleri
- Psikologlar
- Estetisyenler
- Tıbbi cihaz ve malzeme tedarikçileri,
- Laboratuvarlar
- Rehabilitasyon Merkezleri
- Güzellik Merkezleri
- İşitme Cihazı Merkezleri
- Ana faaliyet konusu gereği sağlık verisi işleyen tüm sağlık kuruluşları
31.03.2021 tarihine kadar KVKK VERBİS kayıt yükümlülüğünü yerine getirmesi gerekiyor.
KEP adresi olmayan işyerlerinin elden ya da posta ile parola alması gerekmektedir.
Sicil kaydı sonrası sağlık kuruluşlarının yükümlülükleri bitmiyor. Kişisel veri/özel nitelikli kişisel veri envanter girişinin yapılması, ayrıntılı veri envanterinin düzenlenmesi, aydınlatma beyanı, açık rıza, gizlilik sözleşmeleri, veri imha politikası, veri sahibi başvuru politikası ve başvuru formu hazırlanması, idari ve teknik tedbirlerin belirlenmesi, başta olmak üzere işyerlerinin yerine getirmesi gereken birçok iş ve işlem bulunuyor.
Bu anlamda sağlık kuruluşlarının Kişisel Verileri Koruma Kanunu’ndan kaynaklı yükümlülüklerini yerine getirebilmelerinin kapsamlı bir çalışma gerektiği için sağlık kuruluşlarının başvuru ve diğer yükümlülüklerini son güne bırakmamaları gerekiyor.
Veri Sorumlusunun Yükümlülükleri
- Aydınlatma Yükümlülüğü
- Veri Güvenliğine İlişkin Yükümlülükler
- Veri Sorumluları Siciline Kayıt Yükümlülüğü
- İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
- Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Sağlık Bakanlığı’na Bağlı Sağlık Kuruluşlarının VERBİS’e Kayıt Yükümlülüğü
Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından 16.01.2020 tarihinde yapılan açıklama uyarınca aşağıda yer alan kurumlar bakımından Sağlık Bakanlığı’nın tek bir veri sorumlusu olarak kabul edileceği ve VERBİS’e kayıt yükümlülüğünün Bakanlık adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirileceği ifade edildi.
Bu kapsamda;
- Sağlık Bakanlığı’nın merkez teşkilatı ve taşra teşkilatı ile;
- Sağlık Bakanlığı bünyelerinde faaliyet göstermekte olan;
a) Kamu hastaneleri,
b) Aile hekimlikleri,
c) Halk sağlığı ve toplum sağlığı merkezleri ve
d) Sağlık Bakanlığı’na bağlı tüm sağlık hizmeti sunucularının
ayrıca VERBİS’e kayıt yükümlülüğü bulunmuyor.
Nitekim, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yapılan açıklama ile tüm bu kurumlar adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından VERBİS’e bildirim yapılacağı ifade edilerek bu bildirim dışında herhangi bir bildirim yapılmaması gerektiği belirtildi.
Yükümlülüklerin Yerine Getirilmemesi ve Müeyyidesi
Süresi içerisinde VERBİS’e kayıt yükümlülüğünü yerine getirmeyen veri sorumluları hakkında ise Kanun’un 18. maddesi uyarınca 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı öngörülüyor.
- Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında;
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
2021 yılı için bu yükümlülüklere uyulmaması halinde Veri güvenliği yükümlülüklerini yerine getirmeyen veri sorumluları için 29.503 ₺ – 1.966.862 ₺ arasında idari para cezası öngörülüyor.
https://www.kvkk.gov.tr/ıcerik/6750/verbıs-e-kayıt-surelerının-uzatılması-hakkında-duyuru
https://www.rasyotek.com.tr/blog/saglik-kuruluslarinin-verbise-kayit-yukumlulugu/
https://dosyamerkez.saglik.gov.tr/eklenti/31003,kisisel-saglik-verileri-hakkinda-yonetmelikpdf.pdf?0