Sağlık Sektörü İçin Zaman Daralıyor

2016 yılından beri hayatımızda olan 6698 sayılı Kişisel Verileri Koruma kanunu, vatandaşın kişisel verilerini elden eden “veri sorumluları” için birçok yükümlülük yanında veri bilgilendirme sistemi yani "VERBIS"e kayıt zorunluluğu da içeriyor. Geçtiğimiz yıl çalışan sayısı 50’den fazla veya yıllık cirosu 250.000tlden büyük şirketler için "VERBİS" sistemine kayıt yükümlülüklerinin son günleri tamamlanmıştı. İlgili şirketler, Ankara’da bulunan Kişisel Verileri Koruma Kurulu tarafından zaman içerisinde ticaret sicilden tespit edilip önce ihtar ile ek süreler verilmişken, şimdilerde aynı kanunda belirtilen cezalar da kesilmeye başlandı.
 
Öte yandan, büyük şirketler haricinde başka bir grup iş ve işletme de ilgili süreçleri tamamlayıp VERBİS’e kaydolma yükümlülüğüne sahip. Bu grubun içinde yukarıdaki şartları taşımayan eczaneler, muayenehaneler, laboratuvarlar gibi türlü sağlık kuruluşları var. Bu tip kuruluşların Verbis kayıt yükümlülüklerini ise 31 mart 2021 tarihine kadar tamamlamış olmaları lazım. Süre onlar için gittikçe kısalırken Av. Ömer Barış Mıhçı bizlere bazı kısa bilgilendirmelerde bulundu;
 
1- ÖZEL NİTELİK, ÖZEL DİKKAT
31 Mart tarihine işaret edilen gruplar kanunda “özel nitelikli kişisel veri” olarak nitelendirilen belli başlı bazı verileri vatandaştan almak üzerine çalışan iş kollarını kapsıyor. Sağlık verisi, genetik veri, dini inanç veya ırk bilgisi gibi verileri işleme üzerine çalışan iş ve işletmeler artık veri işleme süreçlerini alımdan imhaya kadar tamamlamış olmalı ve bunu sisteme kaydolarak devlete beyan etmeli. Bu işletmelerin işledikleri veri kategorisi kanunda dahi ayrı bir parantez açılarak ele alındığı için, devlet mutlaka süreçlerin ve sürelerin peşine düşmekte acele edecektir.
 
2- Kim Oldukları Kesin Değil
Kanunda “İşinin ana faaliyet konusu özel nitelikli kişisel veri işlemek” diye geçiştirilen kitle için son günler yaklaşırken maalesef ankaradan bu iş faaliyetlerinin veya işletmelerin net bir sayısı veya yol gösterici tavsiye niteliğinde bir liste halen yayınlanmış değil. Biz öncelikli olarak sağlık sektörünü düşünerek hareket ediyor olsak da çalıştığı sektör ne olursa olsun her vatandaş verbise’ kayıt yükümlülükleri konusunda mutlaka bu kanun özelinde yetkin bir avukata danışarak fikir almalı.
 
3- VERBİS YOKSA DA SORUMLULUK VAR
Verbis’e kayıt yükümlülüğü, vatandaştan veri alan bazı iş ve işletmelere verilmiş özel bir sorumluluk. Fakat günlük hayatta gerek birey olarak gerek tüzel kişi olarak verbise kayıt olmamanız sizi kanunun saydığı diğer 5 sorumluluktan kurtarmıyor. Küçük veya büyük, özel nitelikli veri işleyen veya işlemeyen, kamu kurumu veya özel kuruluş ne olursa olsun gerek müşterilerden aldığını güvenlik kamerası kaydı (görüntü verisi) gerek işçilerinizin özlük dosyaları için aldığınız iletişim verisinden sağlık verisine; diğer kanunların size alma hak ve özgürlüğü verdiği tüm kişisel veriler için Kişisel Verileri Koruma Kanununca almanız gereken önlemler ve yapmanız gereken değişiklikler olabilir.
 
4- Son Güne Kalmayın
Verbise kayıt işlemi, öncelikli olarak iş ve işletmenizde kanuna uygun düzenlemelerin gerek fiziki ortamda, gerek matbu evraklar üzerinde, gerekse dijital araçlar yahut iş ortaklarınızla aranızda yapmanız gereken değişikliklerin tamamlanmasından sonra; kanuna uygun olan veri işleme sürecinizin devlete rapor edilmesidir. Öncelikli olarak bu uyum sürecini tamamlamayan veri sorumlusu gerçek veya tüzel kişilerin verbise kaydının da yapılması mümkün değildir. Diğer yandan verbis kaydı bir sistem üzerinden yapılabileceği için çeşitli teknik aksaklıkların da meydana gelmesi muhtemeldir. En önemlisi son gün birçok işletmenin kayıt yapmaya çalışması neticesinde oluşacak yoğunluk sistemi kilitleyerek kayıt yükümlülüğünüzü yerine getirememenizi böylece kanunen öngörülen cezaların kesilmesi ihtimalini doğuracaktır. Siz siz olun halen vakit varken uyum sürecinizi başlatın.
 
5- Mutlaka Bir Avukatla Hareket Edin
Bir kanuna uyum sürecinin, vatandaşa kanun nezdinde yol göstermeyi meslek edinmiş olan avukatlar haricinde bir meslek grubuyla yapılması düşünülemez. Öte yandan danışmanlık şirketleri olarak etrafta dolaşan, avukatların tabi olduğu reklam ve müvekkil gizliliği ilkelerinden bağımsız çeşitli insan grupları bu işi yapabileceklerini söyleyebilmek için birlikte çalıştıkları diğer firmaları kendilerine referans edebiliyor ve hatta gerek arama motorlarında gerek sosyal medyada kendilerine reklam bütçeleri ayırıp daha göz önünde olmaya başarıyorlar. Özellikle dijital veri güvenliği için kendi bilgi-işlem şefine sahip olmayan küçük firmalara yanlarında getirdikleri bilgisayar mühendisi vb. kişilerle hizmet veren bu danışmanlık firmaları daha cazip gibi görünse de kanunun olduğu yerde avukatsız yapılacak bir “kanuna uyum” sürecinin tam anlamıyla doğru şekilde yapılacağına dair soru işaretleri bırakmalıdır.