Otellerde Kişisel Verilerin Korunması Kanunu
9 Temmuz 2025WhatsApp ve Kişisel Verilerin Korunması Kanunu
9 Temmuz 2025
Sağlık sektöründe faaliyet gösteren şirketler kişilerin tıbbi geçmişi, geçirmiş olduğu hastalıkları ve tedavi süreçleri gibi son derece önemli bilgileri barındırmaktadır. Bu yüzden de sağlık sektörü KVKK (Kişisel Verilerin Korunması Kanunu) açısından en hassas alanlardan biridir. Özellikle hasta verilerinin korunması hukuki boyuttan önem taşıdığı gibi hasta mahremiyeti adına da büyük önem taşımaktadır. Toplanan bu veriler tedavi sürecinin doğru yürütülmesine olanak sağladığı gibi yanlış kişilerin ellerine geçerek kötüye kullanım riskini de taşımaktadır. İşte bu bağlamda sizlere yol göstermesi açısından “Sağlık Sektöründe Kişisel Verilerin Korunması Kanunu” adlı içeriği oluşturduk. İçeriğimize göz atarak sağlık sektöründeki kişisel verileri koruma kanunu hakkında tüm detaylara sahip olabilirsiniz. Hepinize iyi günler ve iyi okumalar dileriz.
Sağlık Sektörü İçin KVKK Neden Önemlidir?
Sağlık sektöründe kişisel veri ihlali gerçekleştiğinde, hem hastaların mahremiyeti ciddi şekilde zarar görebilir hem de ilgili sağlık kurumu ağır idari ve cezai yaptırımlarla karşı karşıya kalabilir. Özellikle sağlık verileri, “özel nitelikli kişisel veri” kapsamında yer aldığı için daha yüksek düzeyde koruma gerektirir. Bu tür verilerin yetkisiz kişilerle paylaşılması, güvenli olmayan sistemlerde saklanması, kanunda öngörülen hukuki sebepler olmadan işlenmesi veya amacı dışında kullanılması gibi durumlar doğrudan hukuka aykırı sayılır. Bu tür hukuka aykırılıklar KVKK kapsamında 13.6 milyon TL’ye kadar idari para cezalarına neden olabileceği gibi, Türk Ceza Kanunu uyarınca da hapis cezalarına varan adli yaptırımlarla sonuçlanabilir. Ayrıca hastaların açabileceği tazminat davalarıyla kurumun itibarı da ciddi biçimde zedelenebilir. Dolayısıyla sağlık kuruluşları, veri güvenliği süreçlerini titizlikle yürütmeli, çalışanlarını düzenli olarak bilgilendirmeli ve teknik-idari tedbirleri eksiksiz şekilde uygulanmalıdır.
Sağlık Sektöründe Toplanan Kişisel Veriler Nelerdir?
Sağlık sektöründe faaliyet gösteren eczaneler, diş hekimleri, klinikler ve benzeri sağlık kuruluşları hastayla doğrudan iletişim içerisinde olduğu için bu kuruluşlardan toplanan veriler de kişisel veri olarak işlenmektedir. Peki sağlık kuruluşlarında genellikle hangi veriler işlenir?
- Kimlik ve iletişim bilgileri: Hastanın sağlık kuruluşlarında kaydının oluşabilmesi ve iletişime geçebilmesi için adı, soyadı, T.C. kimlik numarası, doğum tarihi, cinsiyeti, iletişim numarası, adresi ve e-posta bilgileri gibi verilerin işlenmesi gerekir.
- Sağlık verileri: Hastaya konulan tanıdan teşhise, kullandığı ilaçlardan tahlil ve tetkik sonuçlarına birçok veri hastanın sağlık verisi olarak kabul edilir. Bu verilere ek olarak diş muayenesinde alınan görüntüler veya psikolojik değerlendirmeler de yer almaktadır.
- Finansal bilgiler: Sağlık kuruluşlarında yapılan ödemelerin fatura bilgileri, özel sağlık sigortası ve SGK verileri sağlık kuruluşlarında işlenen yasal kayıtlar arasında yer almaktadır.
Sağlık Sektöründe Kişisel Veri İhlali Olursa Ne Olur?
Sağlık sektöründe kişisel veri ihlali gerçekleştiğinde, sonuçları hem hukuki hem de kurumsal açıdan son derece ciddi olabilir. Çünkü sağlık verileri, KVKK kapsamında “özel nitelikli kişisel veriler” arasında yer alır ve bu verilerin korunması daha yüksek düzeyde hassasiyet gerektirir. Bu tür ihlaller sonucunda kurumlar, KVKK Kurumu tarafından 13.6 milyon TL’ye kadar ulaşabilen idari para cezalarıyla karşılaşabilir. Ayrıca mağdur olan bireyler, maddi ve manevi zararlarının giderilmesi için tazminat davası açma hakkına sahip olduğundan, bireyin mağduriyeti kanıtlandığında hastaya tazminat ödemesi de yapılması gerekir.
Bununla birlikte kurumun itibarı ciddi şekilde zedelenir ve hasta güveni önemli ölçüde sarsılır. Bu nedenle sağlık kuruluşları, veri güvenliğini sağlamakla yükümlüdür ve KVKK’ya uygun teknik, idari ve hukuki tedbirleri eksiksiz bir şekilde uygulamak zorundadır.
Sağlık Sektöründe Veri İhlaline Karşı Hangi Önlemler Alınmalı?
Sağlık sektöründe yaşanabilecek ihlallerin önüne geçmek ve yasal zorunlulukları eksiksiz yerine getirebilmek için bazı önlemler almak gerekir. Alınan önlemlerle hem kurum itibarınızı koruyabilir hem de hastaların verilerini güvende tutabilirsiniz. Hastanelerden eczanelere, kliniklerden diş hekimlerine birçok sağlık kuruluşu bazı teknik ve idari önlemler alınarak, KVKK sürecine uygun hareket edilmelidir. Bu bağlamda;
- Aydınlatma ve açık rıza eksiksiz olmalı: Veri ihlaline karşı alınabilecek önlemlerin başında hastaya aydınlatma metni sunulması ve gerekli durumlar için de açık rıza metninin imzalatılması gelmektedir.
- KVKK envanteri ve politikaları hazırlanmalı: KVKK envanter örneği hastane, eczaneler ve diğer kuruluşlar için olmazsa olmazlardandır. Bu sebeple KVKK envanteri hazırlarken hangi veriler toplanıyor? Ne kadar süreyle saklanıyor? Kimler bu verilere erişiyor? gibi sorulara cevap verilmesi gerekir. Ayrıca kişisel veri saklama ve politikası da hazırlanmalıdır.
- Güvenlik önlemleri alınmalı: Hem dijital ortamda korunan veriler için hem de fiziksel ortamdaki verilerin güvenliği için çeşitli önlemler alınmalıdır. Dijital tutulan kayıtlar için sistemlerin şifreli ve lisanslı olmasına, sadece yetkili personellerin erişebilmesine ve düzenli olarak güncellemelerin olup virüs taraması yapılmasına dikkat edilmesi gerekir. Fiziksel kayıtlar için dosyaların kilitli tutulması veya gizliliği ihlal etmeyecek şekilde kamera kaydı ile korunması önerilir.
- Personellere KVKK eğitimi verilmeli: Hastanelerde KVKK uygulaması için personel eğitimi verilerek insan hatalarından oluşabilecek veri ihlalleri önlenebilir.
- Kriz planı oluşturulmalı: Her ne kadar veri ihlaline karşı önlem alınsa da oluşabilecek olası bir veri ihlali için senaryolar önceden planlanmalı ve prosedüre eklenmelidir.
Kurumlara Göre Veri İşleme Süreçleri
Sağlık kuruluşlarında işlenen veriler kurumlara göre bazı farklılıklar gösterebilir. Bu farklılıklar her iki tarafı da koruma altına alarak sürecin yasalara uygun bir şekilde ilerlemesini ve güvende olmasını sağlar.
- Eczaneler için KVKK: Eczanelerde kişisel verilerin korunması kanunu kapsamında işlenen veriler hasta ile birebir etkileşim içerisinde olduğu için oldukça önemlidir. Reçete bilgileri, kullanılacak ilacın isimleri ve dozajı, reçeteyi yazan doktorun adı, soyadı, SGK kodu ve hasta provizyon bilgisi hastanın korunması gereken kişisel verileri arasındadır. KVKK bu verilerin güvenli bir şekilde korunmasını ve kimseyle paylaşılmamasını yasal kılar. Ayrıca eczane, kişisel verilerin korunması kanunu kapsamında hastalara ait kimlik, iletişim ve sağlık verilerinin yalnızca hukuka uygun sebeplerle işlenmesini ve saklanmasını taahhüt etmek zorundadır.
- Diş hekimleri için KVKK: Diş hekimleri tarafından işlenen ve elde edilen muayene esnasında ağız içi röntgenler, fotoğraflar, öncesi ve sonrası görüntüler ve tedavi planları kişisel veri olarak sayılmaktadır. Bu sebepten diş hekimleri KVKK kapsamında söz konusu verilerin hukuka uygun ve yalnızca belirli, meşru amaçlar doğrultusunda işlenmesini sağlamakla yükümlüdür.
- Klinik ve muayenehaneler için KVKK: Klinik muayenelerde yapılan işlemler de kişisel veri olarak işlenmektedir. Çünkü bu aşamada yapılacak tedavinin planları, randevu form bilgileri ve hasta değerlendirme formları kişisel veri kapsamına girmektedir.
- Sağlık bakanlığı KVKK: KVKK) ve ilgili mevzuat çerçevesinde, Sağlık Bakanlığı tarafından yayımlanan rehberler ve düzenlemelerle sağlık kuruluşlarına özel yükümlülükler getirilmiştir. Böylelikle süreç çok daha sağlıklı ilerleyerek hem hastanın hem de sağlık kuruluşlarının hakları koruma altına alınır.
KVKK Kapsamında Devlet ve Özel Sağlık Kurumları Arasındaki Farklar
KVKK kapsamında devlet ve özel sağlık kurumları arasında sadece uygulama farklılıkları bulunmaktadır.
KVKK Kapsamında Devlet Kurumları
- Hastane KVKK süreçleri genellikle kurumsal veri sorumluları üzerinden yürütülerek yapılır. Sağlık bakanlığı KVKK süresine bağlı oldukları için de merkezi politikaları ile uyumlu hareket ederler.
- Devlet kurumlarında uygulamalar direkt Sağlık Bakanlığı’ndan gelen talimatlara göre sistematik bir şekilde yönetilmektedir.
- Sağlık bakanlığı kişisel verilerin korunması denetim süreçleri iç denetim ve bakanlık tarafından yapılmaktadır. Herhangi bir veri ihlalinde de sorumluluk kurumsal olarak değerlendirmeye alınır.
- Devlet sağlık kurumlarında kullanılan merkezi yazılımlar (e – Nabız) altyapıları daha güçlü desteklenmekte ve korunmaktadır.
KVKK Kapsamında Özel Sağlık Kurumları
- Özel sağlık kurumları kendi başına veri sorumlusu olarak tanımlandığı için süreç doğrudan işletmenin kendisine aittir. Örneğin eczaneler için KVKK uyum süreci direkt eczane işletmesine aittir.
- Eczaneler, klinikler gibi özel sağlık kurumları veri işleme sürecini ticari olarak temin edilen sistemlerden yürüttükleri için güvenlik açık riski daha fazladır.
Sağlık Sektörünün Kişisel Verilerin Korunması Kapsamındaki Yönetmelikleri Nelerdir?
- Hasta hakları yönetmeliği: Güncellenerek KVKK ile uyumlu hale getirilen hasta hakları yönetmeliği hasta verilerinin gizli tutulması ve rızası olmadan üçüncü kişilerle paylaşılmaması gibi maddelerle örtüşmektedir.
- KVKK uyum rehberleri ve uygulama talimatları: Eczane kişisel verilerin korunması kanunu eczacılar odası ile hazırlanan bu rehberler işlenen verilerin KVKK’ya uygun olması için gerekli adımları içerir.
KVKK Yönetmelikleri Sağlık Merkezlerini ve Hastaları Nasıl Korur?
KVKK kapsamındaki yönetmelikler sağlık merkezlerini ve hastaları korumaktadır. Bu koruma detaylarıyla hem hastalar için hem de sağlık sektörü için nasıl sağlandığını detaylarıyla inceleyelim;
Hastalar için sağlanan koruma
- Gizlilik: Hastaların mahremiyetine önem gösterir ve kişisel veriler izinsiz bir şekilde paylaşılamaz.
- Bilgilendirme: İster hastanelerde ister eczanede olsun sağlık kuruluşu fark etmeksizin hasta kendinden alınan verinin neden ve ne amaçla alındığını bilme hakkına sahiptir.
- Veriye erişim ve düzenleme: Hasta verilerine erişim, düzeltme veya sildirme hakkına sahiptir.
Sağlık merkezleri için sağlanan koruma
- Denetim güvencesi: VERBİS kayıt yükümlülüğü gibi sistemlerle düzenli veri girişini sistemleştirir ve denetleme sürecini kolaylaştırır.
- Net Sorumluluklar: Verilerin nasıl saklanacağından, kimlerle paylaşılacağına kadar tüm süreç açıkça belirlendiği için sorumluluklar nettir.
Siz de sağlık sektöründe kişisel verileri koruma kanunu hakkında danışmanlık almak istiyorsanız, hemen Sistem Global’in KVKK Danışmanlığı hizmetinden yararlanabilirsiniz.
Sağlık verileri kişisel midir?
Evet, sağlık verileri özel nitelikli kişisel veri kategorisinde yer almaktadır.
Sağlık verilerini kimler görebilir?
Sağlık verilerini sadece, verilerin işlenme amacına uygun ve mevzuata uygun şekilde yetkilendirilmiş kişiler görebilir. Bu kapsamda, hastanın tedavisini yürüten sağlık profesyonelleri (doktorlar, hemşireler, eczacılar vb.) ve sağlık hizmeti sunan kurum çalışanları, görevlerini yerine getirmek için gerekli ölçüde sağlık verilerine erişebilir. Ayrıca, yasal düzenlemeler gereği veri sorumluları tarafından yetkilendirilen ve veri güvenliği tedbirlerine uyan kişiler de bu verilere erişebilir. Bunun dışında, hastanın açık rızası olmadan ya da kanunda açıkça öngörülmediği sürece üçüncü şahısların sağlık verilerine erişimi yasaktır.
Eczaneler KVKK kapsamına giriyor mu?
Reçete bilgileri, ilaç geçmişi gibi kişisel verileri barındırdığı için eczane kurumları KVKK kapsamına girmektedir.
Eczanelerde KVKK nasıl uygulanır?
Eczanelerde KVKK, kişisel ve sağlık verilerinin sadece belirlenen amaçlarla işlenmesi, ilgili kişilere aydınlatma yapılması ve açık rıza alınması ile başlar. Verilerin güvenliği için teknik ve idari tedbirler alınmalı, gereksiz veriler silinmeli, yasal saklama sürelerine uyulmalıdır. Kişilerin veri hakları sağlanmalı ve çalışanlar KVKK konusunda bilinçlendirilmelidir.
Sağlık verileri izinsiz paylaşıldığında ne olur?
Sağlık verilerinin izinsiz paylaşılması, hem KVKK hem de Türk Ceza Kanunu kapsamında ciddi hukuki sonuçlar doğurur. Öncelikle, kişisel sağlık verileri özel nitelikli kişisel veri olarak kabul edilir ve korunması daha sıkı kurallara tabidir. Bu verilerin izinsiz paylaşılması halinde veri sorumlusu veya ilgililer, KVKK uyarınca kişisel verilerin hukuka aykırı işlenmesi nedeniyle idari para cezaları ve diğer yaptırımlarla karşılaşabilirler.
Ayrıca, izinsiz sağlık verisi paylaşımı kişilerin özel hayatının gizliliğini ihlal ettiği için Türk Ceza Kanunu kapsamında suç teşkil eder; bu durumda ilgili kişiler hakkında hapis cezası veya adli para cezası gibi cezai yaptırımlar uygulanabilir. Paylaşım nedeniyle mağdur olan kişi, tazminat talebinde bulunma hakkına da sahiptir.
KVKK, özel sağlık kuruluşlarında da geçerli mi?
KVKK süreci devlet veya özel ayırt etmeksizin tüm sağlık kuruluşları için geçerlidir.
Sağlık çalışanlarının hasta verilerine erişimi sınırsız mı?
Hayır, hastane KVKK süreçlerinde hasta verilerine erişim sadece görevli olan personele açıktır.
Diş hekimleri hasta görsellerini sosyal medyada paylaşabilir mi?
Diş hekimleri hasta görsellerini sosyal medyada paylaşmadan önce mutlaka hastanın açık rızasını almalı, paylaşımın kapsamını ve amacını net olarak belirtmeli ve hastanın kimliğinin tespit edilmesini önleyecek tedbirleri uygulamalıdır. Aksi takdirde KVKK ve ilgili mevzuatlar kapsamında hukuki yaptırımlarla karşılaşabilirler.
Sağlık Bakanlığı’nın kişisel sağlık verilerine dair özel bir yönetmeliği var mı?
Sağlık Bakanlığı tarafından yayımlanan “Kişisel Sağlık Verilerinin Elektronik Ortamda Paylaşımı ve Kullanımı Hakkında Yönetmelik” ve buna bağlı olarak çıkarılan çeşitli tebliğler ve genelgeler, sağlık verilerinin dijital ortamda paylaşılması, güvenliği ve gizliliği konusunda kapsamlı düzenlemeler içermektedir. Bu düzenlemeler, sağlık kuruluşlarının kişisel sağlık verilerini nasıl işlemesi gerektiğine dair ayrıntılı kurallar sunmaktadır..
KVKK envanteri nedir, nasıl hazırlanır?
KVKK envanteri, bir kurumun işlediği tüm kişisel verilerin ve bu verilerle ilgili süreçlerin sistematik olarak kayıt altına alındığı dokümandır. Kişisel verilerin ne tür olduğu, hangi amaçlarla işlendiği, verilerin kaynağı, kimlere ve nasıl aktarıldığı, saklama süreleri, güvenlik önlemleri ve hukuki dayanakları gibi bilgiler bu envanterde yer alır. Envanterin hazırlanması için öncelikle kurumda hangi kişisel verilerin işlendiği belirlenir, ardından bu verilerin işlenme amaçları netleştirilir. Verilerin toplandığı kaynaklar, veri aktarımı yapılan kişi veya kurumlar, saklama süreleri ve alınan teknik ve idari güvenlik tedbirleri detaylandırılır. Bu bilgiler düzenli olarak güncellenerek KVKK hükümlerine uygun bir şekilde veri işleme süreçlerinin takibi ve raporlanması sağlanır. Böylece kurum, kişisel verilerin korunması konusunda şeffaflık sağlar ve yasal yükümlülüklerini yerine getirmiş olur.
