KVKK 2021/962 Karar Özeti İlgili Kişinin Rızası Olmadan E-Nabız’a Erişim ve Sağlık Verilerinin Görüntülenmesi
Sağlık verileri, KVKK kapsamında özel nitelikli kişisel veri kategorisinde yer aldığı için; bu verilere yetkisiz erişim, sıradan bir “gizlilik ihlali”nden daha ağır sonuçlar doğurabilir. Kişisel Verileri Koruma Kurulu’nun 21.09.2021 tarihli ve 2021/962 sayılı karar özetinde; ilgili kişinin talebi veya rızası olmaksızın, özel bir hastane çalışanı hekim hesabı üzerinden e-Nabız sistemine erişim sağlanması ve muayene/tetkik sonuçlarının görüntülenmesi iddiası incelenmiştir.
Karar; erişim yetkisi yönetimi, hekim hesabının üçüncü kişilerce (sekreter vb.) kullanılmasının engellenmesi, log/iz kayıtları, personel farkındalığı ve başvurulara zamanında yanıt gibi başlıklarda sağlık kuruluşları için önemli uyum dersleri içermektedir.
Konu: İlgili kişinin rızası olmadan e-Nabız’a giriş ve sağlık verilerine erişim.
Kritik veri: Sağlık verisi (özel nitelikli kişisel veri).
Temel sorun: Erişimi önlemeye yönelik makul teknik/idari tedbirlerin yetersizliği (KVKK m.12).
Sonuç: Veri sorumlusuna idari para cezası + başvurulara cevap konusunda talimatlandırma.
https://www.kvkk.gov.tr/Icerik/7074/-Ilgili-kisinin-talebi-ya-da-rizasi-olmaksizin-ozel-bir-hastane-calisani-hekim-tarafindan-e-nabiz-sistemine-erisim-saglanmasi-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-21-09-2021-tarihli-ve-2021-962-sayili-Karari
1. Şikâyet Konusu Olay: Ne Oldu?
İlgili kişi, e-Nabız uygulamasına giriş yaptığında; iki farklı tarihte veri sorumlusu hastanede çalışan bir hekim tarafından izni dışında sisteme girildiğini ve şikâyet gününe kadar olan muayene ve tetkik sonuçlarına erişim sağlandığını fark ettiğini belirtmiştir. İlgili kişi, söz konusu hekime muayene talebiyle gitmemiş olmasına rağmen sağlık verilerine erişilmiş olmasının KVKK’ya aykırı olduğunu, bu eylemin başka kişilere karşı da yapılmış olabileceğini duyduğunu ifade etmiştir.
1.1. İlgili kişinin talepleri (başvuru içeriği)
- Kendisiyle ilgili kişisel verilerin işlenip işlenmediğinin ve işlenme amacının açıklanması,
- Hukuka aykırı işlenen veri varsa bunların yok edilmesi / ortadan kaldırılması,
- Yetkisiz erişim sağlayan personel hakkında disiplin ve adli süreçlerin başlatılması,
- Manevi zararının giderilmesi ve süreç hakkında bilgi verilmesi,
- Veri sorumlusuna yaptığı başvuruya neden yanıt verilmediğinin açıklanması.
2. Veri Sorumlusu Savunması ve İç Soruşturma Bulguları
İnceleme kapsamında veri sorumlusundan savunma istenmiştir. Veri sorumlusu; ilgili kişinin kendisine başvuru yaptığını iddia etmesine rağmen hastane kayıtlarında böyle bir başvuru bulunmadığını ileri sürmüştür. Ayrıca iddiaların, ilgili kişinin önceki dönemde (hastanenin eski çalışanı olması nedeniyle) şahsi husumet kaynaklı olabileceğini değerlendirdiklerini belirtmiştir.
2.1. Sekreterin yazılı açıklaması ve disiplin süreci
Kurum savunma sürecini takiben; hekim sekreterinin vicdani rahatsızlık duyarak yazılı açıklamada bulunduğu, eğitimler verilmiş olmasına rağmen sekreterin ilgili kişinin bilgilerine hekimin hasta muayenesi yaptığı esnada baktığı ve bu bilgileri kimseyle paylaşmadığını beyan ettiği ifade edilmiştir. Bu açıklama sonrasında personel hakkında disiplin yaptırımı uygulandığı ve tüm personelin yeniden uyarıldığı belirtilmiştir.
3. Kurul Değerlendirmesi: KVKK m.4, m.5, m.6, m.12 ve m.13
Kurul değerlendirmesinde; KVKK’nın temel kavramlarına (veri sorumlusu, veri işleyen, kişisel verilerin işlenmesi tanımı) ve Genel İlkeler (KVKK m.4) ile işleme şartları (m.5) ve özel nitelikli veri rejimine (m.6) dikkat çekilmiştir. Sağlık verilerinin özel nitelikli kişisel veri olduğu ve ancak belirli amaçlarla, sır saklama yükümlülüğü altında bulunan kişilerce veya yetkili kurumlarca işlenebileceği vurgulanmıştır.
3.1. Başvuruya cevap verme yükümlülüğü (KVKK m.13)
Kurul; ilgili kişinin veri sorumlusuna yazılı başvuru yaptığına ve başvurunun iletildiğini gösterir belge bulunduğuna işaret ederek, veri sorumlusunun “başvuru yok” savunmasını yerinde görmemiştir. Bu çerçevede veri sorumlusunun, KVKK m.13 kapsamındaki yükümlülüğünü yerine getirmesi için gerekli dikkat ve özeni göstermesi konusunda talimatlandırılmasına karar verilmiştir.
3.2. Veri güvenliği tedbirleri (KVKK m.12) ve idari para cezası
Somut olayda; e-Nabız giriş yetkisinin hekim hesabında olduğu, ancak hekimin yanında sekreter olarak görev yapan kişinin ilgili kişinin sağlık verilerine eriştiğinin yazılı olarak dile getirildiği dikkate alınmıştır. Kurul; bu durumun, veri sorumlusunun kişisel verilere hukuka aykırı erişimi önlemeye yönelik makul teknik ve idari tedbirleri almadığını gösterdiği kanaatine varmış ve KVKK m.12/1-b kapsamında aykırılık nedeniyle veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir.
3.3. TCK yönünden değerlendirme ihtimali
Kurul; olayın suç unsuru barındırabileceği ihtimaline işaret ederek, ilgili personel bakımından konunun Türk Ceza Kanunu hükümleri kapsamında da ele alınması gerekebileceğini değerlendirmiştir.
4. Sağlık Kuruluşları İçin Kurumsal Dersler
Bu karar, sağlık kuruluşlarında sadece teknik altyapının değil; iş akışlarının ve insan faktörünün de veri güvenliğinde belirleyici olduğunu gösterir. Hekim hesabı üzerinden sekreterin erişim sağlaması; “yetkili hesabın üçüncü kişi tarafından kullanılmasını” önleyecek kontrollerin kritik olduğunu ortaya koyar.
4.1. Tipik kök nedenler
- Hesap paylaşımı / ortak kullanım: Hekim hesabının pratikte birden fazla kişi tarafından kullanılabilmesi
- Erişim kontrolü eksikliği: Rol bazlı yetki ve ekran kilidi / oturum zaman aşımı gibi kontrollerin zayıflığı
- İzleme ve denetim: Logların düzenli incelenmemesi veya anomali uyarısı olmaması
- Farkındalık: Personelin “yetkisiz görüntüleme”nin dahi ihlal olduğuna dair içselleştirmesinin zayıf olması
4.2. Hasta mahremiyeti perspektifi
Sağlık verilerine yetkisiz erişim; ilgili kişide manevi zarar ve güvensizlik yaratabilir. Kurul kararında da, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkının saklı olduğuna işaret edilmiştir.
5. Uyum, Riskler ve En İyi Uygulamalar (Checklist)
Aşağıdaki kontrol listesi; e-Nabız benzeri sistemlere erişim, özel nitelikli veri işleme ve iç kullanıcı riskleri açısından sağlık kuruluşlarına pratik bir çerçeve sunar.
5.1. Teknik tedbirler
- Kişisel hesap zorunluluğu: Hekim/sekreter/hemşire vb. herkesin kendine ait hesapla işlem yapması, hesap paylaşımının engellenmesi.
- Güçlü kimlik doğrulama: MFA/2FA, cihaz doğrulama ve risk bazlı doğrulama senaryoları.
- Oturum güvenliği: Otomatik ekran kilidi, kısa oturum zaman aşımı, pasiflikte çıkış.
- Yetki matrisi: “Görev gereği erişim” (need-to-know) ve rol bazlı erişim sınırları.
- Loglama ve izleme: Kim, ne zaman, hangi hasta kaydına erişti? Anomali tespiti ve alarm.
- Denetim izi koruması: Logların değiştirilemez biçimde saklanması ve düzenli raporlanması.
5.2. İdari tedbirler
- Gizlilik taahhüdü & disiplin prosedürü: Yetkisiz erişimde uygulanacak yaptırımların açık olması.
- Eğitim ve farkındalık: Sağlık verisi, özel nitelikli veri ve “yetkisiz görüntüleme” riskleri (periyodik).
- Başvuru yönetimi (KVKK m.13): Başvuru kayıt altına alma, SLA, standart cevap şablonları ve iç eskalasyon.
- Olay müdahale planı: İhlal şüphesinde izolasyon, log inceleme, bildirim ve iç soruşturma akışı.
- Çalışma alanı düzeni: Ekran görüş açısı, ziyaretçi/çalışan ayrımı, “omuz üstü izleme” riskinin azaltılması.
https://www.kvkk.gov.tr/Icerik/7074/-Ilgili-kisinin-talebi-ya-da-rizasi-olmaksizin-ozel-bir-hastane-calisani-hekim-tarafindan-e-nabiz-sistemine-erisim-saglanmasi-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-21-09-2021-tarihli-ve-2021-962-sayili-Karari
6. Sık Sorulan Sorular
“Ekrana baktı, kayıt almadı” denirse yine de ihlal olur mu?
Sağlık verisine erişim (görüntüleme dahil) kişisel verilerin işlenmesi kapsamına giren bir faaliyettir. Yetkisiz görüntüleme dahi mahremiyet ihlali doğurabilir ve m.12 kapsamındaki tedbirlerin sorgulanmasına yol açabilir.
Hekim hesabıyla sekreterin işlem yapması neden riskli?
Hesap paylaşımı; kimin eriştiğinin tespitini zorlaştırır, yetki sınırlarını fiilen ortadan kaldırır ve “hesap verebilirlik” ilkesine zarar verir. Bu nedenle kişisel hesap ve rol bazlı yetki, sağlık kuruluşlarında temel kontrol olarak kabul edilir.
Veri sorumlusu başvuru gelmediğini söylerse ne olur?
Başvurunun gönderildiğini gösteren kayıt/tevsik bulunuyorsa; veri sorumlusunun başvuruyu kayıt altına almaması ayrıca problem doğurur. Kurul kararında da başvuru yönetimine dair dikkat ve özen yükümlülüğü vurgulanmıştır.
İlgili kişi manevi zarar için ne yapabilir?
Kurul kararında, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkının saklı olduğu değerlendirmesine yer verilmiştir. Uygulamada bu tür talepler, somut olayın koşullarına göre hukuk yolları üzerinden ileri sürülebilir.

