KVKK 2021/761 Kararı: Kişisel Sağlık Verilerinin Velayete Sahip Olmayan Ebeveynle Paylaşılması – Hastaneler İçin Dersler

KVKK · Özel Nitelikli Kişisel Veri · Sağlık Sektörü

KVKK 2021/761 Kararı Kişisel Sağlık Verilerinin Velayete Sahip Olmayan Ebeveynle Paylaşılması

Kişisel Verileri Koruma Kurulu’nun 06.08.2021 tarihli ve 2021/761 sayılı kararı, çocuklara ait kişisel sağlık verilerinin; bir eğitim ve araştırma hastanesi bünyesinde, yetkisiz işlem ve aktarımlar yoluyla velayete sahip olmayan ebeveynin avukatına paylaşılması olayını mercek altına almaktadır.

Karar; özel nitelikli kişisel verilerin işlenme şartları, hastanelerdeki erişim yetkileri, log kayıtları, yetki matrisi ile çocukların sağlık verilerine erişim ve avukatların vekâletnamelerinde bulunması gereken özel hükümler açısından, tüm sağlık kurumlarına ve veri sorumlularına kritik uyarılar içermektedir.

Karar Tarihi	06/08/2021
Karar No	2021/761
Konu Özeti	Kişisel sağlık verilerinin yetkisiz hastane çalışanları tarafından velayete sahip olmayan ebeveynin avukatına aktarılması
Kaynak	kvkk.gov.tr – Kurul Karar Özeti

Olayın Özetini Okuyun Hastaneler İçin Çıkarılan Dersler

İçindekiler 1. Olayın Özeti ve Taraflar 2. Hukuki Çerçeve: Özel Nitelikli Veri, Çocuk Sağlık Verisi ve Avukat Erişimi 3. Sağlık Bakanlığı ve Valilik Değerlendirmeleri 4. Kurulun Değerlendirmesi ve Tespitleri 5. Hastaneler ve Veri Sorumluları İçin Çıkarılan Dersler 6. Teknik ve İdari Tedbirler: Log, Yetki Matrisi, Eğitim 7. Sonuç, Disiplin Süreci ve Kurulun Talimatları 8. Sık Sorulan Sorular – 2021/761 Kararı

Öne Çıkan Anahtar Kelimeler

Odak: Çocuğa ait özel nitelikli sağlık verilerinin, hastane personeli tarafından velayete sahip olmayan ebeveynin avukatına aktarılması ve bu aktarımın KVKK m.6 ve m.8 çerçevesinde hukuka aykırılığı.
Sektör: Sağlık hizmet sunucuları, eğitim ve araştırma hastaneleri, kamu hastaneleri.
Coğrafi odak: Türkiye genelinde KVKK uyum süreci yürüten sağlık kurumları ve veri sorumluları.

KVKK 2021/761 Çocuk Sağlık Verileri Velayet ve Erişim Sağlık Kurumlarında KVKK Log & Yetki Matrisi

Not: Bu içerik, kvkk.gov.tr üzerinde yayımlanan “2021/761 sayılı Karar Özeti” esas alınarak, sağlık sektörü ve veri sorumluları için açıklayıcı – rehber niteliğinde hazırlanmış bir yorum ve derlemedir.

1. Olayın Özeti ve Taraflar

Kurula intikal eden şikâyet; boşanma sürecinde olan anne ile velayete sahip olmayan baba arasındaki çekişmede, müşterek çocuklara ait kişisel sağlık verilerinin ve epikriz raporlarının, hastane çalışanları tarafından babanın avukatına aktarılması üzerine şekillenmiştir.

Şikâyet dilekçesinde öne çıkan hususlar özetle şöyledir:

Ebeveynler arasında boşanma davası devam etmekte ve baba, müşterek çocukları taciz ettiği iddiasıyla yargılanmaktadır. Dosya istinaf aşamasındadır.
Babanın istinaf dilekçesi eklerinde yer alan epikriz raporlarında, çocuğa ilişkin “yalan söyler, hırsızlık yapar” gibi ifadelerin bulunduğu; annenin ise çocuğu yalnızca dikkat dağınıklığı şikâyetiyle çocuk psikiyatrisi bölümüne götürdüğü, böyle bir nitelendirmeyi yapmadığı iddia edilmektedir.
İlgili epikriz raporlarının; anneye bilgi verilmeden, hastane içi usulsüz bir süreçle oluşturulup hapiste bulunan babanın vekiline ulaştırıldığı, raporlarda değişiklik yapılarak mahkemenin yanıltılmaya çalışıldığı ileri sürülmektedir.
Araştırmalar neticesinde; söz konusu raporların, eğitim ve araştırma hastanesinde görevli arşiv memuru ve çocuk hastalıkları uzmanı ile bağlantılı şekilde çıktığı anlaşılmış, hekim belgeleri bizzat avukata verdiğini kabul etmiştir.
Avukatın vekâletnamesinde, özel nitelikli kişisel verilerin işlenmesi ve üçüncü kişilere aktarılmasına ilişkin özel bir hüküm bulunmadığı belirtilmiştir.
Anne, söz konusu doktorun çocuğunu hiç muayene etmediğini; epikriz formunun branş dışı bir hekim tarafından oluşturulduğunu dile getirmiştir.
Olay hakkında Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulmuş; ancak Valilik, doktor hakkında soruşturma izni vermemiştir.

Kurul; bu çerçevede, özel nitelikli kişisel veri olan sağlık verisinin kimler tarafından, hangi hukuki dayanakla, hangi amaçla ve hangi teknik/idari altyapı içinde işlendiğini ve aktarıldığını inceleme konusu yapmıştır.

2. Hukuki Çerçeve: Özel Nitelikli Veri, Çocuk Sağlık Verileri ve Avukatların Erişimi

Karar, özellikle KVKK m.6 (özel nitelikli kişisel veriler), m.8 (veri aktarımı), Hasta Hakları Yönetmeliği ve Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri ışığında değerlendirilmiştir.

2.1. Özel Nitelikli Kişisel Veri Olarak Sağlık Verisi – KVKK m.6

KVKK m.6’ya göre; kişilerinin sağlık verileri “özel nitelikli kişisel veri” kategorisindedir ve kural olarak ilgili kişinin açık rızası olmadan işlenmesi yasaktır.

Sağlık ve cinsel hayata ilişkin kişisel veriler; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum/kuruluşlar tarafından, açık rıza aranmaksızın işlenebilir.
Bu verilerin işlenmesinde Kurul’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler” kararında sayılan ilave teknik ve idari tedbirler de zorunludur.

2.2. Çocukların Sağlık Verilerine Erişim ve Velayet Durumu

Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca:

Çocukların sağlık verileri bakımından, boşanma halinde velayet hakkı kimin üzerinde ise, temel erişim yetkisi o ebeveyndedir.
Velayete sahip olmayan taraf; sadece çocuğun ve velinin faydası gözetilmek, kişisel verilerin korunması mevzuatına uygun hareket edilmek ve Genel Müdürlükçe belirlenen sınırlar içinde kalmak şartıyla belirli verilere sınırlı erişebilir.

2.3. Avukatların Sağlık Verilerine Erişimi

Aynı Yönetmeliğin avukat erişimine ilişkin düzenlemesi, bu olay açısından belirleyicidir:

Avukatlar, müvekkillerinin sağlık verilerini genel vekâletname ile doğrudan talep edemez.
Vekâletnamede; ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına yönelik açık rızasını gösteren açık, özel bir hüküm bulunması gerekir.

İncelenen olayda; babanın avukatına ait vekâletnamede bu nitelikte bir hüküm bulunmaması, aktarımı baştan sorunlu hâle getirmektedir.

2.4. Hasta Hakları Yönetmeliği ve Sır Saklama Yükümlülüğü

Hasta Hakları Yönetmeliği gereği:

Hasta, sağlık durumuna ilişkin dosya ve kayıtları kendisi veya yetkili/kanuni temsilcisi aracılığıyla inceleyebilir ve suret alabilir.
Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir.
Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanunla müsaade edilen haller dışında hiçbir şekilde açıklanamaz; hukuki ve ahlaki geçerli bir sebep yokken yapılan ifşa, hem hukuki hem cezai sorumluluk doğurabilir.

Özetle: Velayete sahip olmayan ebeveynin avukatı; genel vekâletnameyle, çocuk sağlık verilerine sınırsız erişim talep edemez. Sağlık verilerinin paylaşımı, hem KVKK hem de sağlık mevzuatı çerçevesinde amacıyla bağlantılı, sınırlı, ölçülü olmalıdır.

3. Sağlık Bakanlığı ve Valilik Değerlendirmeleri

Kurul, incelemesi sırasında Sağlık Bakanlığı ve ilgili Valilik görüşlerini de talep etmiş; hem disiplin süreci hem de teknik altyapı bağlamında önemli tespitlere yer verilmiştir.

3.1. Valilik İl İdare Kurulu Kararı

Valilik kararında öne çıkan başlıklar şu şekildedir:

Çocuğa ait 11 adet epikriz raporunun sisteme normalde doktorlar tarafından eklenmesi gerekirken, arşiv memuru tarafından sisteme girildiği; loglarda bu durumun görüldüğü, rapor içeriklerinde değişiklik yapılmadığı belirtildi.
Hastane bilgi işleminden alınan bilgilere göre; tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görebildiği, ekleme/silme/değiştirme işlemlerinde log tutulduğu ancak sadece görüntüleme işlemlerinde log kaydı tutulmadığı ifade edildi.
Doktor; başvuran kişinin avukat olması, kimlik ve vekâletnameyi ibraz etmesi ve belgelerin imzasız – kaşesiz bilgilendirme amaçlı verildiği savunmasını yaptı.
Valilik; hekimin yoğun çalışma koşulları ve hasta grubunun niteliğini dikkate alarak, doktorun “bilerek ve isteyerek mağduriyet yaratma kastının” bulunmadığı kanaatiyle soruşturma izni vermedi.

3.2. Sağlık Bakanlığı’nın Genel Değerlendirmesi

Bakanlık cevabında ise ana hatlarıyla şunlar vurgulanmıştır:

Doktorlar ve arşiv memurları; sır saklama yükümlülüğü altında kamu personeli ve sağlık çalışanlarıdır. Sağlık hizmeti sunumu için belirli verilere erişimleri zorunludur.
Sağlık hizmetinin gereği ile sınırlı olmak kaydıyla; hekim ve arşiv görevlilerinin hasta kayıtlarına erişmesinde, ilke olarak KVKK’ya aykırılık görülmediği; ancak bu yetkinin kötüye kullanılmasının yaptırıma bağlandığı hatırlatılmıştır.
Hekimlerin, yalnızca “kendi hastaları” ile sınırlı bir erişim modelinin sağlık hizmetinin doğasıyla tam olarak örtüşmeyeceği; konsültasyon, acil durum, ekip çalışması gibi dinamikler sebebiyle esnekliğe ihtiyaç olduğu ifade edilmiştir.
Somut dosyada eğer hukuka aykırılık varsa bile; bu durumun tamamen insan faktöründen kaynaklandığı, Bakanlığa doğrudan atfedilebilecek sistemsel bir güvenlik açığı bulunmadığı savunulmuştur.

Kurul, bu görüşleri de dikkate almakla birlikte; veri sorumlusunun teknik ve idari sorumlulukları açısından daha sıkı bir değerlendirme yapmıştır.

4. Kurulun Değerlendirmesi ve Tespitleri

Kurul; KVKK, ikincil mevzuat ve Özel Nitelikli Kişisel Veri Yeterli Önlemleri kararı çerçevesinde kapsamlı bir değerlendirme yapmış, hem somut aktarım hem de hastanenin genel veri güvenliği altyapısı bakımından çeşitli ihlaller tespit etmiştir.

4.1. Hukuka Aykırı Veri Aktarımı – KVKK m.8

Kurul; çocuk doktorunun, kendi branşı dışında olan çocuk ve ergen psikiyatrisi epikrizlerini görüntüleyip çıktısını alarak, vekâletnamede özel hüküm bulunmayan avukata vermesini:

Özel nitelikli kişisel veri aktarım şartlarından hiçbirine dayanmayan bir işlem olarak değerlendirmiş,
Çocuğun geçici velayetinin olay tarihinde annede olması ve vekâletnamede özel hüküm bulunmaması nedeniyle KVKK m.8’e aykırı aktarım sonucuna ulaşmıştır.
Doktorun bu paylaşımının, sağlık hizmetinin sunumu ile ilgili olmadığı; hastanın tedavisi ile bağlantılı, sınırlı ve ölçülü olmadığı tespit edilmiştir.

4.2. “Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma” İlkesine Aykırılık

Somut olay bakımından; branş dışı hekimin çocuğun psikiyatrik verilerine erişimi ve bu verileri üçüncü kişiye aktarması, KVKK’nın temel ilkelerinden biri olan amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine açıkça aykırı görülmüştür.

4.3. Hastane Otomasyon Sisteminde Log ve Yetki Sorunları

Kurul; hastanenin bilgi sistemi yapısını da veri güvenliği açısından eleştirmiştir:

Tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görebilmesi, veri işleme bakımından gereğinden geniş bir erişim yetkisi olarak değerlendirilmiştir.
Yalnızca ekleme/silme/değişiklik işlemlerinde log tutulması, görüntüleme işlemlerinin loglanmaması nedeniyle, kimlerin hangi veriyi ne zaman görüntülediğinin denetlenmesi mümkün değildir.
Bu durum, özel nitelikli kişisel veri işleyen sağlık kurumlarında beklenen şeffaflık ve izlenebilirlik standardı ile bağdaşmamaktadır.

4.4. KVKK ve Rehber Belgelerden Doğan Ek Yükümlülükler

Kurul; Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler ve Kişisel Veri Güvenliği Rehberine atıf yaparak, veri sorumlusunun:

Özel nitelikli veriler için ayrı ve sürdürülebilir bir politika ve prosedür oluşturması,
Yetkili personel için düzenli eğitim, gizlilik sözleşmeleri ve yetki kontrolleri uygulaması,
Özel nitelikli verilerin işlendiği yazılım ve sistemlerde, tüm hareketlerin (görüntüleme dâhil) güvenli log kayıtlarına bağlanması,
Yetki matrislerinin net şekilde tanımlanması ve görev değişikliği/işten ayrılma hallerinde derhal güncellenmesi

gibi yükümlülükleri somut olayla ilişkilendirmiştir.

5. Hastaneler ve Veri Sorumluları İçin Çıkarılan Dersler

2021/761 sayılı karar; yalnızca ilgili hastane için değil, Türkiye genelindeki tüm sağlık kuruluşları, laboratuvarlar, tıp merkezleri ve özel nitelikli veri işleyen diğer veri sorumluları için güçlü bir uyarı niteliği taşımaktadır.

Velayet ve temsil durumları net biçimde kontrol edilmeli; çocuk sağlık verilerine erişim taleplerinde, velayete sahip olmayan ebeveynin yetkisi çok daha sıkı değerlendirilmelidir.
Avukatlara sağlık verisi aktarımında vekaletnamede özel hüküm olup olmadığı her zaman detaylı kontrol edilmelidir.
Branş dışı hekimlerin, hastanın psikiyatrik geçmişi gibi hassas alanlara erişimi sadece tıbbi ihtiyaç ve konsültasyon gereği ile sınırlandırılmalıdır.
Tüm sağlık çalışanlarının; hasta mahremiyeti, KVKK, özel nitelikli veri ve aktarım şartları konusunda periyodik eğitimden geçmesi zorunlu görülmelidir.
Hastane otomasyon sistemlerinde fazla yetkilendirme ve log eksikliği ciddi bir risk olarak değerlendirilerek; erişim inisiyatiften çıkarılıp sistematik kurallara bağlanmalıdır.

Özellikle sağlık sektörü açısından: “Hizmet sunumu için erişim zorunluluğu” ile “özel nitelikli veriye sınırsız erişim” kavramları karıştırılmamalıdır. Kurul, bu kararla birlikte amaçla bağlantılı, sınırlı ve ölçülü veri işleme ilkesinin altını bir kez daha kalın çizgilerle çizmiştir.

6. Teknik ve İdari Tedbirler: Log, Yetki Matrisi, Eğitim Zorunluluğu

Kurul, kararında yalnızca ihlali tespit etmekle kalmamış; veri sorumlusu Sağlık Bakanlığı ve ilgili hastane için somut talimatlar da vermiştir.

6.1. Politika ve Prosedür Oluşturma

Sağlık Bakanlığı bünyesindeki tüm çalışanların tereddütsüz takip edebileceği; özel nitelikli kişisel verilerin korunmasına özgü sistemli, net kurallı, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlanmalıdır.

6.2. Eğitim ve Farkındalık Çalışmaları

İlgili eğitim ve araştırma hastanesi çalışanlarının, KVKK uyum çalışmaları kapsamında kişisel verilerin korunması eğitimi almaları istenmiştir.
Eğitimlerde, özel nitelikli kişisel verilerle muhatap olan personelin yetki kapsamları ve aktarım şartları açıkça anlatılmalı; eğitim belgeleri Kurum’a sunulmalıdır.

6.3. Log Kayıtları ve Yetki Matrisi

Hastane otomasyon sisteminin, görüntüleme işlemleri dahil tüm erişim hareketlerini loglayacak şekilde güncellenmesi talimatlandırılmıştır.
Tüm doktor ve hasta kayıt personelinin tüm kayıtları görmesi yerine; yalnızca muayene ve tedavi ile ilgili personelin hasta kayıtlarına erişebileceği şekilde net bir yetki matrisi oluşturulması istenmiştir.

6.4. Çıktı Alma Prosedürleri

Otomasyon sisteminden hasta kayıt örneği/epikriz çıktısı alınmasına ilişkin belirli prosedürlerin ve yetkili personelin tanımlanması, bu çerçevenin yazılı hâle getirilmesi zorunlu tutulmuştur.

7. Sonuç: Disiplin Süreci ve Kurulun Nihai Kararı

Kurul; somut olayda, veri sorumlusunun (Sağlık Bakanlığı ve ilgili hastane) KVKK m.12 kapsamında gerekli idari ve teknik tedbirleri almadığı kanaatine varmıştır.

Çocuğa ait özel nitelikli kişisel veriler, KVKK m.8’de sayılan aktarım şartlarından hiçbirine dayanmadan babanın avukatına aktarılmıştır.
Hastane bilgi sisteminde erişim yetkileri gereğinden geniş, log yapısı ise yetersizdir.
Bu nedenlerle; ilgili kamu kurum ve kuruluşundaki sorumlular hakkında, KVKK m.18/3 uyarınca disiplin hükümlerine göre işlem yapılmasına ve sonucunun Kurul’a bildirilmesine karar verilmiştir.
Ayrıca; yukarıda sayılan tüm idari ve teknik talimatların yerine getirilmesi ve yapılan işlemlerin sonucu hakkında Kurul’un bilgilendirilmesi istenmiştir.

Özet değerlendirme: 2021/761 sayılı karar; çocuklara ait sağlık verilerinin, velayet ve vekâlet ilişkisi dikkate alınmadan paylaşılmasının ciddi bir KVKK ihlali olduğunu açık biçimde ortaya koymakta ve sağlık kuruluşlarında log, yetki matrisi, eğitim ve prosedürler konusunda asgari beklentiyi netleştirmektedir.

KVKK Resmî Sitesi – Kurul Kararları KVKK Sağlık Verisi Uyum Danışmanlığı İçin Tıklayın

8. Sık Sorulan Sorular – 2021/761 Sayılı KVKK Kararı

Velayete sahip olmayan ebeveyn, çocuğunun tüm sağlık verilerini her durumda görebilir mi?

Hayır. Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca; boşanma halinde velayet, çocuk sağlık verilerine erişimde belirleyici unsurdur. Velayete sahip olmayan taraf; ancak çocuğun ve velinin yararı gözetilerek, sınırlı ve KVKK’ya uygun şekilde belirli verilere erişebilir.

Avukat, genel vekâletnameyle müvekkilinin sağlık verilerini talep edebilir mi?

Genel vekâletname yeterli değildir. Vekâletnamede; ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve üçüncü kişilere aktarılmasına yönelik açık rızasını gösteren özel bir hüküm bulunmalıdır. Bu hüküm yoksa, sağlık verisinin direkt avukata aktarılması KVKK’ya aykırılık riski taşır.

Hastane bilgi sisteminde her doktorun tüm dosyalara erişebilmesi KVKK’ya uygun mudur?

Kurul; pratik ve tıbbi gerekliliklerin farkında olmakla birlikte, tüm doktor ve hasta kayıt personelinin tüm dosyalara sınırsız erişimini “amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi” bakımından sakıncalı bulmuştur. Yetki matrisi ile erişim alanları netleştirilmelidir.

Görüntüleme loglarının tutulmaması neden sorun teşkil eder?

Özel nitelikli kişisel veriler bakımından, kim, ne zaman, hangi veriyi görüntüledi? sorusuna cevap verememek; hem denetimi zorlaştırır hem de olası ihlallerin tespitini neredeyse imkânsız kılar. Bu nedenle Kurul, görüntüleme işlemlerinin dahi loglanmasını zorunlu görmektedir.

KVKK Karar Özeti 2021/761 Çocuk Sağlık Verileri Velayet ve Avukat Erişimi Hastane KVKK Uyumu Özel Nitelikli Kişisel Veri