Sağlık Verileri Bakımından Veri İşleyenler VERBİS’e Kayıt Olmak Zorunda mı?
Veri Sorumlusu Adına Kişisel Sağlık Verisi İşleyen Hizmet Sağlayıcılar (Veri İşleyenler) VERBİS’e Kayıt Olmak Zorunda mı?
Kısa yanıt: Genel kural olarak hayır. KVKK uyarınca VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) yükümlülüğü veri sorumlularına aittir; yalnızca bazı özel durumlarda veri işleyenin de “veri sorumlusu” konumuna geçmesi halinde kayıt zorunluluğu doğar.
Dayanaklar
KVKK m. 16 – Sicile kayıt yükümlülüğü “veri sorumlularına” getirilmiştir. Veri işleyenler (data processor) ayrı kategoride sayılmaz; kayıt, veri sorumlusu sıfatına bağlıdır.
Sağlık verisi özel nitelikli olduğu için, sorumlu–işleyen ayrımı değişmez; sadece teknik‐idari tedbir seviyesi yükselir.
Standart Senaryo
Muayenehane, hastane, laboratuvar vb. veri sorumlusu: Hastaların verisini işlemek için dış kaynak yazılım firması, bulut barındırma, çağrı merkezi vb. veri işleyen kullanır. İşleyen, yalnızca sözleşme ve talimat çerçevesinde hareket ettiği sürece VERBİS’e kayıt olmaz.
VERBİS formunda, sorumlu “yurt içi / dışı alıcı grupları” ve “veri işleyicileri”ni listeler; işleyenin ayrıca sicile girişi aranmaz.
İstisnai Senaryo: İşleyen aynı zamanda “sorumlu” olursa
İşleyen, kendi adına ve amaçlarıyla yeni bir işleme faaliyeti yürütmeye başlarsa (ör. topladığı sağlık verisini pazarlama, araştırma vb. için kendi adına kullanırsa) artık veri sorumlusudur ve VERBİS eşiğine (çalışan sayısı / mali bilanço) bakılmaksızın veri sorumluları siciline kayıt yükümlüsüdür.
Uygulamadaki riskler
İşleyen, veri sorumlusunun talimat sınırkarını aşarak veriyi kendi amaçları için işlemeye başlarsa veri sorumlusu olur; VERBİS’e kayıtsızsa idari para cezasıyla karşılaşır.
Sık Sorulan Sorular
1. Veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Örneğin bir hastane ya da muayenehane, hastaların verilerini topluyor ve ne şekilde kullanılacağına karar veriyorsa veri sorumlusudur.
2. Veri işleyen kimdir?
Veri işleyen, veri sorumlusunun verdiği yetkiyle ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin, bir sağlık yazılım firması hastane adına verileri saklıyor, sistem sağlıyor ya da destek veriyorsa veri işleyendir.
3. VERBİS formunda veri işleyenler neden yine de listeleniyor?
Veri sorumlusu, kendisi adına çalışan veri işleyenleri ve yurt içi/dışı alıcı gruplarını VERBİS formunda belirtmek zorundadır. Bu, işleyenin ayrı bir sicile kayıt olmasını gerektirmez.
4.Veri işleyenin veri sorumlusu haline gelip gelmediği nasıl anlaşılır?
Veri işleyen, veriyi kendi adına, kendi amaçları doğrultusunda işlemeye başlarsa artık veri sorumlusudur. Bu durum, sözleşmeye ve fiili uygulamaya göre değerlendirilir.
——-
ÖNEMLİ UYARI:
HUKUK, ARAMA MOTORLARI VE YAPAY ZEKA SİSTEMLERİ DE DAHİL OLMAK ÜZERE HER TÜRLÜ ÇEVRİMİÇİ ORTAMDA YER ALAN VERİLERDEN DAHA BÜYÜK BİR KAVRAMDIR. LÜTFEN BİR AVUKATA DANIŞMADAN, YALNIZCA BU VE BENZERİ SİTELERDE OKUDUĞUNUZ BİLGİLERE DAYANARAK HUKUKİ SONUÇ DOĞURABİLECEK EYLEMLERDE BULUNMAYINIZ.
BU İNTERNET SİTESİNDE YER ALAN HİÇBİR İFADE VE/VEYA İÇERİK, YASAL DANIŞMANLIK OLARAK NİTELENDİRİLEMEZ. YALNIZCA ÇEŞİTLİ DURUMLAR HAKKINDA OKUYUCUNUN ZİHNİNDE BİR İNTİBA UYANDIRABİLMESİ AMACIYLA KALEME ALINMIŞTIR.
Av. Elif Petek Özlü
