MEDULA ECZANE BAĞLAMINDA ECZACININ VERİ SORUMLUSU KABUL EDİLMESİ

MEDULA ECZANE BAĞLAMINDA ECZACININ VERİ SORUMLUSU KABUL EDİLMESİ

Bu yazımız, Kişisel Verilerin Korunması Kurumunun 07.05.2020 tarihli kararını incelenerek bazı değerlendirmelere varılması amaçlı hazırlanmıştır.

“İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Kararına kısaca yer vermek gerekir ise;

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna ihbarda bulunulmuş olup, bu ihbarda (özetle);

  • İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek, dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
  • Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği,

belirtilmiştir. Bu ihbar başvurusuna istinaden verilere eşimin gerçekleştiği MEDULA sisteminin uygulaması ve mevzuatı incelenmiştir.

İncelemeyi gerçekleştiren Kurum, bu sistemde kayıtlı olan şahıs verilerinin, İl Sağlık Müdürlüğüne başvurmuş olan dilekçe sahibi tarafından eşinin eczanesinden alındığı tespitinde bulunmuştur.

Bu tespit akabinde, mevcut duruma uygun yasal mevzuata yer verilmiştir. Kurulun kararını kurmadan önce gerekçe olarak yer verdiği mevzuat maddelerine yer vermek gerekmektedir.

  • Kanunun 4/2 maddesi:

Kişisel verilerin işlenmesinde uyulması zorunlu ilkeler

a) hukuka ve dürüstlük kurallarına uygun olma,

b) doğru ve gerektiğinde güncel olma,

c) belirli, açık ve meşru amaçlar için işleme,

ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

  • Kanunun 5 maddesi:

Kişisel Verilerin İşlenme Şartları

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.

  • Kanunun 6/2 ve 6/3.Maddesi:

Özel nitelikli kişisel verilerin işlenme şartları

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

  • Kanunun 12. Maddesi:

Veri güvenliğine ilişkin yükümlülükler

(1)  Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Karara gerekçe olarak gösterilen kanun maddeleri yukarıda sayıldığı gibi belirtilmiş olup, bu maddelerin olaya uygunluğu kanaatimizce tartışmalıdır.

Bu kanaate varmış olmamızın sebeplerini açıklamak için; öncelikle MEDULA sisteminin işleyişine dair kısa bir bilgi vermek gerekmektedir.

Medula Sistemi, (Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te) sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemidir.

Bu sistemin Eczanelerdeki uygulaması olan Medula Eczane ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan servistir.  Bu program kullanılarak sisteme girilen ilaçların, reçetelerin ve muayene yöntemlerinin takip edilmesi sağlanır.

Medula Eczane sistemi, SGK ile sözleşmeli olan eczanelerce kullanılabilmekte olup, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişilmektedir.

Bu bilgiler ışığında gerçekleştirdiğimiz değerlendirmede;

Kararda yer alan “ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane” değerlendirmesine göre eczacı veri sorumlusu olarak kabul edilmiştir.

Ancak Kanunun 3. Maddesinde tanımlandığı üzere veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Kanunun 12. Maddesinde de veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ile sorumlu kılınmıştır.

Kanunda yer alan tanım ve sorumluluk çerçevesi bu olaydaki veri sorumlusunun kim olduğu sorusuna tek bir yanıt vermeyi mümkün kılmaktadır. Öyle ki; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesini sağlamakla sorumlu olan taraf T.C. Sağlık Bakanlığı’dır.

Bu olayda verilerine erişilen sistem Medula olup; sistemin kurulması ve yönetilmesi T.C. Sağlık Bakanlığı’na aittir. O halde eczane erişilen bu kişisel verilerle ilgili olarak Medula sisteminin veri sorumlusu olarak değerlendirilmemelidir.

Bu sisteme hekimler tarafından girilen e-reçetelerin takibi, kontrollü, ödeme için ilaç listelerinin incelenmesi ise eczane tarafından gerçekleştirilmekte olup, tüm bu erişimler ise veri sorumlusu olan T.C. Sağlık Bakanlığının verdiği yetkiye dayanarak yapılmaktadır. O halde eczanenin, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen taraf olduğu anlaşılmakta olduğundan, kanaatimce eczanenin veri sorumlusu olduğu gerekçesi ile kurulan 07/05/2020 Tarihli ve 2020/355 Sayılı Karar hatalı değerlendirme içermektedir. 06.08.2021

Av.MELEK ATALAN

 

Leave your comment

Please enter your name.
Please enter comment.

Uyarı!


Dolandırıcılar tarafından Atalan Hukuk Bürosu adıyla, aranarak para tahsilatı yapılmak istendiği öğrenilmiştir. Büromuz tarafından aranılarak para tahsilatı işlemi yapılmadığını ve arayan bu şahıslara itibar edilmemesi gerektiğini bilgisini kamuoyunun dikkatlerine önemle sunarız.

This will close in 10 seconds