Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmî Gazetede yayımlanarak yürürlüğe girdi.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca; kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğü bulunmakta olup, Kanun’un Geçici 1. maddesi ile VERBİS’e kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Verileri Koruma Kurul’u tarafından ilan edilen süre içerisinde VERBİS’e kayıt olmaları gerekmektedir.
Kanun’un Geçici 1. maddesi kapsamında Kurul tarafından alınan 2019/387 sayılı Karar ile;
Veri Sorumluları | Kayıt yükümlülüğü başlangıç tarihi | Kayıt için verilen süre | Kayıt için son tarih |
---|---|---|---|
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 24 ay | 30.09.2020 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 24 ay | 30.09.2020 |
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 01.01.2019 | 27 ay | 31.03.2021 |
Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 24 ay | 31.03.2021 |
Sağlık verisi özel nitelikli kişisel veri olduğundan, ana faaliyet konusu gereği sağlık verisi işleyen;
KEP adresi olmayan işyerlerinin elden ya da posta ile parola alması gerekmektedir.
Sicil kaydı sonrası sağlık kuruluşlarının yükümlülükleri bitmiyor. Kişisel veri/özel nitelikli kişisel veri envanter girişinin yapılması, ayrıntılı veri envanterinin düzenlenmesi, aydınlatma beyanı, açık rıza, gizlilik sözleşmeleri, veri imha politikası, veri sahibi başvuru politikası ve başvuru formu hazırlanması, idari ve teknik tedbirlerin belirlenmesi, başta olmak üzere işyerlerinin yerine getirmesi gereken birçok iş ve işlem bulunuyor.
Bu anlamda sağlık kuruluşlarının Kişisel Verileri Koruma Kanunu’ndan kaynaklı yükümlülüklerini yerine getirebilmelerinin kapsamlı bir çalışma gerektiği için sağlık kuruluşlarının başvuru ve diğer yükümlülüklerini son güne bırakmamaları gerekiyor.
Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından 16.01.2020 tarihinde yapılan açıklama uyarınca aşağıda yer alan kurumlar bakımından Sağlık Bakanlığı’nın tek bir veri sorumlusu olarak kabul edileceği ve VERBİS’e kayıt yükümlülüğünün Bakanlık adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirileceği ifade edildi.
Bu kapsamda;
ayrıca VERBİS’e kayıt yükümlülüğü bulunmuyor.
Nitekim, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yapılan açıklama ile tüm bu kurumlar adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından VERBİS’e bildirim yapılacağı ifade edilerek bu bildirim dışında herhangi bir bildirim yapılmaması gerektiği belirtildi.
Süresi içerisinde VERBİS’e kayıt yükümlülüğünü yerine getirmeyen veri sorumluları hakkında ise Kanun’un 18. maddesi uyarınca 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı öngörülüyor.
2021 yılı için bu yükümlülüklere uyulmaması halinde Veri güvenliği yükümlülüklerini yerine getirmeyen veri sorumluları için 29.503 ₺ – 1.966.862 ₺ arasında idari para cezası öngörülüyor.