6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 16 ncı maddesi uyarınca; kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğü bulunmakta olup, Kanun’un Geçici 1 inci maddesi ile VERBİS’e kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından ilan edilen süre içerisinde VERBİS’e kayıt olmaları gerekmektedir.
Kanun’un Geçici 1 inci maddesi kapsamında Kurul tarafından alınan 2019/387 sayılı Karar ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularının 30.06.2020,
- Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularının 30.06.2020,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularının 30.09.2020,
- Kamu kurum ve kuruluşu veri sorumlularının 31.12.2020 tarihine kadar
VERBİS’e kayıt olmaları gerektiği düzenlenmiştir.
Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından 16.01.2020 tarihinde yapılan açıklama uyarınca aşağıda yer alan kurumlar bakımından Sağlık Bakanlığı’nın tek bir veri sorumlusu olarak kabul edileceği ve VERBİS’e kayıt yükümlülüğünün Bakanlık adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirileceği ifade edilmiştir. Bu kapsamda;
- Sağlık Bakanlığı’nın merkez teşkilatı ve taşra teşkilatı ile;
- Sağlık Bakanlığı bünyelerinde faaliyet göstermekte olan;
a) Kamu hastaneleri,
b) Aile hekimlikleri,
c) Halk sağlığı ve toplum sağlığı merkezleri ve
d) Sağlık Bakanlığı’na bağlı tüm sağlık hizmeti sunucularının
Ayrıca VERBİS’e kayıt yükümlülüğü bulunamamaktadır.
Nitekim, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yapılan açıklama ile tüm bu kurumlar adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından VERBİS’e bildirim yapılacağı ifade edilmiş ve bu bildirim dışında herhangi bir bildirim yapılmaması gerektiği belirtilmiştir.
Ancak; kamu ve vakıf üniversitesi hastaneleri ile her türlü özel sağlık kuruluşunun ve muayenehane işleten hekimlerin VERBİS’e kayıt yükümlülüğü Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirilmeyeceğinden, VERBİS’e kayıt işlemlerinin ilgili özel ve kamu tüzel kişilikleri ile muayenehane işleten hekimler tarafından belirtilen süre içerisinde yerine getirilmesi gerekmektedir.
Diğer yandan sağlık verileri Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmekte ve bu verilerin işlenmesi, muhafazası, aktarılması ve güvenliğinin sağlanması bakımından özel teknik ve idari önlemler alınması gerekmektedir. İlgili düzenlemeler ve yukarıda yapılan açıklamalar kapsamında VERBİS’e kayıt yükümlülüğü bulunan özel sağlık kuruluşları ile hekimler tarafından işletilen muayenehanelerin öncelikle sağlık verilerinin işlenmesi ve güvenliğinin sağlanması ile VERBİS’e kayıt yükümlülüğünün yerine getirilmesi hususlarında hukuki ve teknik destek alması önerilmektedir. Zira verilen faaliyetler kapsamında işlenen sağlık verileri gereği yeterli önlemlerin alınması ve belirtilen süre içerisinde VERBİS’e kayıt yükümlülüğünün yerine getirilmesi gerekmektedir.
Süresi içerisinde VERBİS’e kayıt yükümlülüğünü yerine getirmeyen veri sorumluları hakkında ise Kanun’un 18 inci maddesi uyarınca 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı öngörülmektedir.
