Tepe Reklam #1

Sağlık Turiziminde Kişisel Veriler

Sağlık turizmi acentelerinin iştigal alanları kişilerin sağlık verileri ile sıkı ilişki içerisindedir
19.03.25, Çar
Sağlık Turiziminde Kişisel Veriler

Bu sağlık verileri hem Türk hukukunda Kişisel Verilerin Korunması Kanunu (KVKK) hem de AB hukukunda Genel Veri Koruma Tüzüğü (General Data Protection Regulation/GDPR) kapsamında “gerçek kişiye ilişkin her türlü bilgi” olarak kabul edilen kişisel verilere kıyasla “özel nitelikli kişisel veri/hassas veri” olarak kabul edilmiştir. Kişisel verilere ilişkin hakları bir insan hakkı kabul ederek kodifikasyon çalışmaları gerçekleştiren AB ve Türk hukuku, veri işleme faaliyetinin konusunun sağlık bilgisi olduğu durumlarda daha katı düzenlemeler öngörmüştür. Bu sebeple sağlık turizmi acenteleri iş ve işlemlerini sürdürürken bu iki yasal düzenlemeden kaynaklı yükümlülüklere uyumlu hareket etmek durumundadırlar, aksi takdirde yüksek tutarlarda idari para cezalarına muhatap olma riskleri meydana çıkacaktır.

Bu yazımızda kişisel verilere ilişkin öngörülen işleme usul ve esaslarını öncelikle KVKK sistematiğinde değerlendirecek ardından GDPR ile farklarına, dikkat edilmesi gereken hususlara göre inceleyeceğiz. 

      

Türkiye’de yerleşik bir sağlık turizmi acentesi öncelikle Kişisel Verilerin Korunması Kanunu’ndan kaynaklı yükümlülüklere tabi olarak iş ve işlemlerini sürdürmelidir. Zira ana faaliyet konusu sağlık verisi işlemek olan sağlık turizmi acenteleri, 6698 s. KVKK’dan doğan tüm yükümlülüklerin doğrudan muhatabıdır.

Peki Türkiye’de kurulu bir sağlık turizmi acentesi hangi durumlarda Avrupa Birliği Genel Veri Koruma Tüzüğü’nün muhatabı olabilir? AB’nin yasal düzenlemesi olan GDPR, kişisel veriyi insan hakkı olarak kabul eden anlayışı neticesinde, bu tüzüğün uygulama alanını AB ile sınırlı tutmamıştır. Ülkesellik ilkesini kabul etmeyen GDPR düzenlemeleri karşısında bir AB vatandaşının (AB’de yerleşik olup olmadığına bakılmaksızın) verisini işleyen kişi, bu veri işleme faaliyetini nerede gerçekleştirirse gerçekleştirsin, GDPR’dan doğan yükümlülüklerin 

doğrudan muhatabıdır ve yükümlülüklere aykırılık durumunda yüksek tutarlarda idari para cezaları ödemek mecburiyetinde kalabilecektir.

O halde Türkiye’de yerleşik bir sağlık turizmi acentesi öncelikle KVKK’nın tüm yükümlülüklerine uyumlu iş ve işlemler gerçekleştirmeli ve AB vatandaşı hastalar için yürüttüğü acentelik faaliyetleri de varsa muhakkak GDPR yükümlülüklerine de uyumlu davranmalıdır.

Bu yazımızda kişisel verilere ilişkin öngörülen işleme usul ve esaslarını öncelikle KVKK sistematiğinde değerlendirecek ardından GDPR ile farklarına, dikkat edilmesi gereken hususlara göre inceleyeceğiz.

6698 s. Kişisel Verilerin Korunması Kanunu (KVKK) Nisan 2016’da yürürlüğe girmiş ve 12 Mart 2024 tarihinde yapılan değişikliklerle birlikte tüm hükümleriyle yürürlüktedir. 

Kanun’da yer alan bazı terimlerin anlamı aşağıdaki gibidir:

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel nitelikli kişisel veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel verilerin işlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

İlgili kişi

Kişisel verisi işlenen gerçek kişi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Bu Kanun ile ilgili kişinin temel hak ve özgürlüklerini korumak amacıyla veri sorumlularının hangi çerçeveler dahilinde hareket edebileceği düzenlenmiştir. Sağlık turizmi acenteleri Kanun’da tanımı yapılan “veri sorumlusu” sıfatını haiz olduğundan Kanun’dan kaynaklı yükümlülüklere uyumlu hareket etmek mecburiyetindedir.

Sağlık turizmi acenteleri yüksek para cezalarından, suç teşkil eden fiillerden ve maddi manevi tazminat talebine sebebiyet verebilecek fiillerden kaçınmak amacıyla KVKK ve GDPR yükümlülüklerini analiz edip gerekli uyum süreçlerini derhal başlatmalıdır.

Ana kural: Kişisel verilerin işlenmesi suçtur!

Kanun sistematiğine göre hukuka uygun bir kişisel veri işleme faaliyetinden bahsedebilmek için şu üç koşul aynı anda sağlanmalıdır:

  • Kişisel veri işleme faaliyeti, genel ilkelere uygun olmalıdır.
  • Kişisel veri işleme faaliyeti, kişisel veri işleme şartlarından birine dayanmalıdır.
  • İlgili kişi kişisel veri işleme faaliyeti hakkında aydınlatılmalıdır.

Genel ilkeler şunlardır: 

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, ölçülü ve sınırlı olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenme şartları şunlardır:

  • Kanunlarda açıkça öngörülme,

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olma,

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olma,

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma,

  • İlgili kişinin kendisi tarafından alenileştirilmiş olma,

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olma,

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olma.

Kanun, “özel nitelikli kişisel veri” ayrımı yaparak sınırlı sayıda veri türleri göstermiştir. Kanun koyucu bu verilerin öğrenilmesinin kişinin temel hak ve özgürlüklerine kişisel verilere nazaran daha ağır bir zarar verebileceğini gözeterek daha sıkı bir koruma altına almıştır. Özel nitelikli kişisel verilerin işlenme şartları şu şekilde düzenlenmiştir:

  • Kanunlarda açıkça öngörülmesi,

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.
  • Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Bu tanımlamalar ve ana kurallardan sonra Kanun, veri sorumlusunun -yani sağlık turizmi acentesinin- yükümlülüklerini düzenlemiş ve yükümlülüğe aykırı davranışların yaptırımlarını da göstermiştir. Bu yükümlülüklere genel itibariyle göz atmak gerekirse: Kişisel verilerin işlenmesini uçtan uca düzenleyen bu Kanun’a göre veri sorumlusu sıfatıyla sağlık turizmi acentesi Kanun’a uyum sürecinde temel olarak şu süreçleri tamamlamalıdır: 

  • Şirketin veri koruma politika ve prosedürlerini hazırlayıp yürürlüğe koymalı, 

  • Kişisel veri işleme süreçlerini tüm yönüyle gösteren bir kişisel veri işleme envanteri çıkarmalı, 

  • VERBİS kayıt ve bildirimini tamamlamalı, 

  • Aydınlatma metni ve gerekli durumlarda açık rıza metinleri hazırlamalı ve ilgili süreçlerde bunların imza süreçlerini tamamlamalı, 

  • Şirket çalışanları ile kişisel verilerin gizliliğine yönelik sözleşmeler hazırlanmalı,

  • Şirket dışında veri aktardığı üçüncü kişilerle (veri işleyenlerle) kişisel verilerin gizliliğine yönelik taahhütnameler hazırlamalı,

  • Kişisel veri güvenliğine yönelik teknik tedbirleri almalıdır.

  • Kişisel verilerin yurt dışı aktarımı söz konusu ise bununla ilgili Bağlayıcı Şirket Kuralları veya Standart Sözleşme yükümlülükleri yerine getirilmeli, ikisi de sağlanamıyorsa açık rıza süreçleri yerine getirilmelidir.

YÜKÜMLÜLÜK

YÜKÜMLÜLÜK İÇERİĞİ

YAPTIRIM

Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

Veri sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

(m.10)

68.083-1.362.021 TL

(m.18)

Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(m.12)

204.285-13.620.402 TL

(m.18)

Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(m.15)

340.476-13.620.402 TL

(m.18)

VERBİS’e Kayıt ve Bildirim Yükümlülüğü

Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon Türk lirasından çok olan gerçek veya tüzel kişi veri sorumluları kamuya açık Veri Sorumluları Sicil Bilgi sistemine kayıt olmakla yükümlüdür. (m.16)

272.380- 13.620.402 TL

(m.18)

Standart Sözleşme Bildirim Yükümlülüğü

Yurt dışı kişisel veri aktarımı için standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

(m.9/5)

71.965-1.439.300 TL

(m.18)

Yukarıda ve yanda bahsettiğimiz gibi KVKK 2016 yılında yürürlüğe girmiş ve 2024 yılında da Kanun’da değişiklikler yapılmıştır. Yine aynı Kanun kapsamında Kanun’un uygulanmasından sorumlu organ Kişisel Verileri Koruma Kurulu’dur. Kanun’da yapılan değişiklikler ve Kurul’un vermiş olduğu kararlar, kişisel veri koruma pratiğimizi GDPR’a her geçen gün daha çok yaklaştırmıştır. Bu sebeple aslında KVKK yükümlülüklerine uyum süreci, GDPR yükümlülüklerinin neredeyse büyük bir oranını karşılar niteliğe kavuşmuştur. Gelinen noktada GDPR bakımından ele alınacak genel farklılıklar esasen Veri Koruma Etki Değerlendirmesi (DPIA) ile Veri Koruma Görevlisi (DPO) ataması süreçleri olarak gösterilebilir. Yükümlülüklere uyumlu davranmayan sağlık turizmi acentelerinin GDPR kapsamında karşılaşacağı para cezaları birinci kategori ve ikinci kategori olarak ayrılabilir. Birinci kategori cezalarda ihlalin niteliğine göre sağlık turizmi acentesinin yıllık global cirosunun %2'sine veya 10 milyon Euro'ya kadar (hangisi daha yüksekse) para cezası verilebilir. İkinci kategori cezalar ise daha ciddi ihlaller için öngörülmüş olup sağlık turizmi acentesinin yıllık global cirosunun %4'üne veya 20 milyon Euro'ya kadar (hangisi daha yüksekse) para cezası uygulanabilir. Bu iki temel kanun dışında kişisel verilerin hukuka aykırı işlenmesinin ceza kanunlarına göre suç teşkil edeceği ve ayrıca hukuk mahkemeleri karşısında maddi manevi tazminat taleplerine de sebebiyet vereceği gözden kaçırılmamalıdır.

Av. Betül Karol İnce
Karol Hukuk Bürosu

Etiketler#sağlık verisi#kişisel verilerin korunması kanunu##genel veri koruma tüzüğü##özel nitelikli kişisel veri#hassas veri#veri işleme#sağlık turizmi acentesi#veri sorumlusu#veri işleyen#veri güvenliği
İçerik 57 kez listelendi
Sağlık Turiziminde Kişisel Veriler

Sağlık Turiziminde Kişisel Veriler

AV. BETÜL KAROL İNCE 19 Mar, 2025

Tümünü Göster

Şu Anda Popüler

Sağlık Turizmi Komplikasyon Sigortası Nedir ve Neden Gereklidir?

Sağlık Turizmi Komplikasyon Sigortası Nedir ve Neden Gereklidir?

Tedavinizi Unutulmaz Bir Tatille Birleştirin

Tedavinizi Unutulmaz Bir Tatille Birleştirin

DÜNYANIN EN İYİ SAĞLIK SİSTEMLERİ NEREDE?

DÜNYANIN EN İYİ SAĞLIK SİSTEMLERİ NEREDE?

Sağlık Turziminde Akreditasyonun Önemi

Sağlık Turziminde Akreditasyonun Önemi

Estetik Cerrahi Geleceğinde Bizi Neler Bekliyor?

Estetik Cerrahi Geleceğinde Bizi Neler Bekliyor?

Sağlık Sektörü Reklamlarında Dikkat Edilmesi Gerekenler

Sağlık Sektörü Reklamlarında Dikkat Edilmesi Gerekenler

Türkiye’ye Sağlık Turizmi: Romanyalı Hastalar Arasında Büyüyen Bir Trend

Türkiye’ye Sağlık Turizmi: Romanyalı Hastalar Arasında Büyüyen Bir Trend

Sağlık Turizminde İnsan Kaynakları Yönetimi Eksikliği ve Doğru Ekipler Kurmanın Önemi

Sağlık Turizminde İnsan Kaynakları Yönetimi Eksikliği ve Doğru Ekipler Kurmanın Önemi

The prime Academy Takvimi Ve Çalışmaları

The prime Academy Takvimi Ve Çalışmaları

Münih'te Kişisel Danışmanlık TC Medical Point GmbH

Münih'te Kişisel Danışmanlık TC Medical Point GmbH

 
3WTURK CMS v8.4.0