VERBİS HAKKINDA BİLGİLENDİRME
VERBİS HAKKINDA BİLGİLENDİRME
Verbis Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir:
• Ad, soyad, doğum tarihi, doğum yeri
• Ailevi, sosyal, ekonomik geçmiş
• TC kimlik no, telefon numarası,
• Özgeçmiş bilgileri,
• Fotoğraf, görüntü, ses kayıtları
• Parmaz izi vs.
Özel Nitelikli Kişisel Veri' Ne Demektir?
Kişilerin diğer bilgilerine nazaran daha yüksek bir korumaya tabi kılınan;
• ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
• kılık ve kıyafeti,
• dernek, vakıf ya da sendika üyeliği,
• sağlığı ve cinsel hayatı,
• ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
• biyometrik ve genetik verileri
özel nitelikli kişisel veridir.
Hangi İşlemler 6698 Sayılı Kanun Kapsamındadır?
6698 sayılı Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Muayenehanede sayılan biçimlerde veri işlenmemesi, örneğin sadece kâğıt şeklinde hasta dosyası tutulması halinde, 6698 sayılı Kanun uygulanmaz. Bu halde kişisel verileri genel hükümler çerçevesinde korumak gerekir.
Kişisel Verilerin İşlenmesi Ne Demektir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla;
• elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
• değiştirilmesi, yeniden düzenlenmesi, açıklanması,
• aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi
gibi, kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel Verilerin İşlenmesi İzne Bağlı Mıdır?
Kural olarak, kişisel veriler ilgilisinin açık rızası olmadan işlenemez.
Açık Rıza Aranmayan İstisnalar Nelerdir?
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
hallerinde kişinin açık rızası aranmaksızın kişisel veriler işlenebilir.
Özel Nitelikli Kişisel Veriler’ İçin De Aynı Kurallar Geçerli Midir?
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişiler veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından;
• kamu sağlığının korunması,
• koruyucu hekimlik,
• tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması da şarttır.
Kişisel Verilerin Aktarılması Hangi Kurallara Bağlıdır?
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Açık rıza alınmaksızın verilerin işlenmesi koşulları varsa açık rıza aranmaksızın veriler aktarılabilir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişiler veriler, kanunlarda öngörülen hallerde açık rıza olmaksızın aktarılabilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli önlemler alınmak kaydıyla açık rıza olmaksızın aktarılabilir. Yurtdışına aktarılacak kişisel verilerle ilgili olarak ise 6698 sayılı Kanun’un düzenlediği yurtdışına veri aktarımı ile ilgili diğer koşullarının yerine getirilmesi gerekir.
Veri Sorumlusu Kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Kurumlarda veri sorumlusu tüzel kişiliğin kendisidir. Örneğin hekimler tarafından kurulan şirketler açısından veri sorumlusu hekim değil, şirketin tüzel kişiliğidir. Muayenehanesinde çalışan hekimler açısından ise hekim doğrudan veri sorumlusudur.
Veri Sorumlusunun Yükümlülükleri Nelerdir?
Veri sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesini sağlayacak bütün gerekliliklerin yerine getirilmesinden sorumludur. Yükümlülükleri;
• Aydınlatma
• İlgilinin açık rızasının alınması.
• Verilerin korunması.
• İlgililerin başvurularının yanıtlanması.
• Veri sorumlusu siciline kayıt olma.
Aydınlatma Yükümlülüğü Nasıl Yerine Getirilir?
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, verileri işlenecek kişilere;
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Verileri işlenen kişilerin hakları
konularında bilgi vermekle yükümlüdür.
Açık Rıza Nedir? Ne Zaman Gereklidir?
Açık rıza, belirli bir konuya ilişkin veri işlemeye/aktarmaya yönelik olarak, bilgilendirilmeye dayanan ve bireyin özgür iradesiyle açıklanan rızadır. Kişisel verilerin işlenmesi ve aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.
Aydınlatma Ve Rıza İşlemleri Yazılı mı Yapılmalıdır?
Muayenehane hekimi veya temsilcisi tarafından yapılacak aydınlatmanın belgelenmesi için verileri işlenecek kişilere (hastalara/çalışanlara) yazılı olarak sunulması ve imzalatılması gerekir.
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenecek sağlık verileri dışındaki durumlar için ise rıza metni kullanılması ve verisi işlenen kişilerin bu metni imzalayarak onay vermesi ispat bakımından önemlidir.
Aydınlatma ve rıza metinleri hazırlanırken, TTB Hukuk Bürosu tarafından hazırlanan örnek metinden faydalanılabilir;
“Tarafınıza sunulacak sağlık hizmeti için gerekli olan ve tarafınızdan paylaşılan verileriniz ile hizmetin sunumunda elde edilen verilerinizi de içeren kişisel verileriniz; tarafınıza sunulabilecek sağlık hizmetinin saptanması, sağlık hizmetinin sunulması, sonuçlarının değerlendirilmesi amacıyla işlenecektir.
Bütün bu veriler 1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun, 3359 sayılı Sağlık Hizmetleri Temel Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayalı olarak toplanmaktadır.
Bu veriler, tarafınızdan bildirilen ilgili kurum, kuruluş veya sigorta firmasıyla sağlık hizmetinin denetim ve finansmanı için; yasal zorunluluk olması halinde ilgili kamu kurum ve kuruluşlarıyla kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla paylaşılabilecektir.
Tarafımıza başvurarak, toplanan kişisel verileriniz ile bunların işleme ve aktarımlarını öğrenebilir, yanlış olduğunu düşündüğünüz verilerin değiştirilmesini veya silinmesini talep edebilirsiniz. Talebiniz, tarafımızdan en geç otuz gün içinde değerlendirilerek sonucu tarafınıza bildirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; cevabımızı öğrendiğiniz tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirsiniz.”
Yukarıda belirtilen ve tarafıma sözlü olarak da ayrıntılarıyla açıklanan sağlık hizmetiyle ilgili olarak kişisel verilerimin işleneceğini anladım ve muvafakat ediyorum. …/…/20…
Ad-Soyad-TCKN-İmza
Verilerin Korunması Yükümlülüğünün Kapsamı Nedir?
Veri sorumlusu;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
• Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde gerekli tedbirlerin alınması hususunda bu kişilerle birlikte sorumludur.
• Kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Öğrendiği kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Veri işleyenler açısından bu yükümlülük görevden ayrılmalarından sonra da devam eder.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür.
Verileri İşlenen İlgililer Hangi Taleplerle Başvurabilir?
Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. Başvuru, yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle yapılabilir. Başvuruda;
• Kişisel verilerin silinmesi veya yok edilmesi istenebilir.
• Verilerin aktarıldığı kişiler ile verilerin düzeltilmesini isteme hakkının, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesi istenebilir.
• Kişi kendisi aleyhine bir sonucun ortaya çıkmasına itiraz edebilir.
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesi talep edilebilir.
Taleplerin Yanıtlanmasının Usulü Nasıldır?
Veri sorumlusu, kendisine iletilen talepleri en kısa sürede (en geç otuz gün içinde) ücretsiz olarak sonuçlandırmalıdır. İşlemin ayrıca bir maliyet gerektirmesi halinde veri sorumlusu, Kurul tarafından belirlenen tarifedeki ücretleri talepte bulunan kişiden isteyebilir.
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?
VERBİS, veri sorumluları ile veri sorumlularının irtibat kişilerinin ve işlenen verilere ilişkin kategorik bilgilerin kaydedileceği bir sicildir. Veri sorumluları, Kişisel Verileri Koruma Kurulu tarafından belirlenen süreden önce bu sicile kaydolmak zorundadır. Sicile kayıt ücretsizdir.
Verbis’e Kayıt İçin Son Tarih Nedir?
Kamu kurum ve kuruluşları ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon liradan az olan gerçek ve tüzel kişiler için son kayıt tarihi 31.12.2021’dir. Dolayısıyla muayenehane, laboratuvar, müessese gibi sağlık kuruluşları için de 31.12.2021 son kayıt tarihidir.
Kayıt Olmamanın Yaptırımı Nedir?
VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında, 2021 yılı için 39.337,22-1.966.861,00-TL arasında idari para cezası verilecektir.
Diğer yaptırımlar da şöyledir:
• Aydınlatma yükümlülüğünün yerine getirilmemesi: 9.834,00-196.686,00-TL
• Veri güvenliği yükümlülüklerinin yerine getirilmemesi: 29.503,00–1.966.861,00-TL
• Kurul kararlarının yerine getirilmemesi: 49.171.53-1.966.861,00-TL
VERBİS’e Hasta Bilgileri Kaydedilecek Midir?
VERBİS, E-Nabız gibi kişisel verilerin kaydedildiği bir sistem değildir. VERBİS’e hastalara ait kişisel veriler gönderilmemektedir.
Veri Envanteri Neleri İçermelidir
Bu envanter, 6698 sayılı Kanun kapsamında işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır. Envanterde;
• Kişisel veri işleme amaçlarına
• Kişisel veri işleminin hukuki sebebine
• Veri kategorisine
• Kişisel verilerin aktarıldığı alıcı grubuna
• Kişisel verilerin azami saklama süresine
• Yabancı ülkelere aktarım konusuna
• Veri güvenliğine ilişkin tedbirlere
yer verilir.
Yedi başlıkta sayılan bilgileri içermesi koşuluyla düz yazı veya çizelge olarak envanter hazırlanması mümkündür. Envanter, VERBİS’e gönderilmeyecek veya kaydedilmeyecektir. VERBİS’in ilgili bölümlerinin doldurulması sırasında bu bilgilere ihtiyaç duyulacağından, kayıt olmadan önce hazırlanması önerilmektedir. Envanter, rapor olarak veri sorumlusunda kalacak, Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda ibraz edilecektir.
Uyum İçin Yapılması Gereken/Önerilen Diğer İşlemler Nelerdir?
• Çalışanlar ile ilgili sözleşmeler gözden geçirilmeli, çalışanlar kişisel verileri koruma mevzuatı kapsamında yükümlülükleri konusunda bilgilendirilmeli ve eğitim verilmelidir.
• Kişisel verilerin saklandığı bilgi işlem sistemleri dışarıdan müdahalelere karşı korumalı hale getirilmeli, bu konuda teknik önlemler alınmalı, yetkisiz kişilerin girişleri önlenmelidir.
• Kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişimi engellenmelidir.
• Varsa WEB sitesinin mevzuata uygunluğu denetlenmeli, çerez ve gizlilik politikası hazırlanmalıdır.
• Sosyal medya hesapları kişisel verileri koruma mevzuatına uygun hale getirilmelidir.
• Muayenehanelerin giriş ve bekleme alanlarında güvenlik kamerası varsa bu konuya ilişkin bilgilendirme metinleri ve tabelalar hazırlanmalıdır.
• Kişisel veri saklama ve imha politikası hazırlanmalıdır.
VERBİS'e kayıt ve bildirim uygulama videosuna aşağıdaki linkten ulaşabilirsiniz.
https://www.tdb.org.tr/icerik_goster.php?Id=3925