Kişisel Verileri Koruma Kurulu (“Kurul”), veri sorumlusu bir hastanenin (“Veri Sorumlusu”) veri ihlali bildirimine ilişkin 20.04.2021 tarihli ve 2021/407 sayılı kararı (“Karar”) verdi.
Kararda, Veri Sorumlusunun sunduğu veri ihlal bildirimi kapsamında, ihlalin (i) hastanede çalışan hekimin talimatıyla, hastane çalışanları aracılığı ile hastalara ait dosyaların hastane dışına çıkarılması suretiyle yapıldığı; (ii) dosyayı dışarı çıkarmaya teşebbüs eden çalışanın kamerada görüntülenmesinden 17 gün sonra tespit edildiği; (iii) gerçekleşmesinden önce ihlal ile ilgili çalışanlardan biri hariç hepsine kişisel verilerin korunması eğitimi verildiği; (iv) Kurula geç bildirilmesinin sebeplerine yer verilerek, ihlalin meydana gelmesinden 25 gün sonra Kişisel Verileri Koruma Kurumuna (“Kurum”) bildirimde bulunulduğu ifade edilmiştir.
Kurul, Veri Sorumlusunun ihlale ilişkin sunduğu bildirime ilişkin yaptığı değerlendirmede,
- Veri ihlalinin hastanede çalışan hekimin hastalarına ait kişisel veri ve özel nitelikli kişisel verilerin yer aldığı dosyaların bulunduğu poşetlerin, kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği;
- Hastaların kayıtlarının tutulduğu arşiv odasına yetkisiz kişilerin girebildiği ve hastalara ait kişisel veri ve özel nitelikli kişisel verileri izinsiz şekilde arşivden çıkartabildiğinden hareketle, veri güvenliğinin sağlanması için yeterli idari tedbirlerin alınmamış olduğu;
- Kaybolan 789 hasta dosyasından sadece 54 tanesinin geri alındığı ve diğerlerinin akıbetinin bilinmediği ve bu durumun dosyaların kaybolmasına yönelik risklerin azaltılması tedbirlerinin yeterli olmadığını gösterdiği;
- Çalışanlara kişisel verilerin korunmasına yönelik hiç veya yeterli şekilde eğitim verilmediği;
- İhlalin, gerçekleşmesinden 17 gün sonra tespit edilmesinin, Veri Sorumlusunun kişisel veri güvenliği politika ve prosedürlerini iyi bir şekilde hazırlamadığı veya takip etmediğini, ayrıca hastanedeki mevcut güvenlik önlemlerini etkili kullanamadığını gösterdiği;
- İhlalin, tespit edilmesinden 25 gün sonra Kuruma bildirildiği;
- İhlalin, ilgili kişilerden hastaneye gelmiş olan bir kişi dışında hiçbirine bildirilmemiş olduğu
tespitlerinde bulunmuştur.
Kurul, yapmış olduğu tespitlerin ışığında, Veri Sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesinin 1. fıkrasında öngörülen veri güvenliğini sağlamaya yönelik tedbirleri almadığı gerekçesiyle Veri Sorumlusuna 450.000,- TL idari para cezası uygulanmasına; yine Veri Sorumlusunun KVKK’nın 12. maddesinin 5. fıkrası ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurulun 2019/10 sayılı Kararında belirtilen 72 saatlik bildirim yükümlülüğünü yerine getirmediğinden hareketle, Veri Sorumlusu tarafından işlenen kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumunu da göz önünde bulundurarak Veri Sorumlusuna 150.000,- TL idari para cezası uygulanmasına karar vermiştir.
Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.
