Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Rezzan Günday (Şimşek Eczanesi)

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Rezzan Günday (Şimşek Eczanesi)

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Rezzan Günday (Şimşek Eczanesi) tarafından Kurumumuza gönderilen yazıda özetle;

  • İhlalin; veri sorumlusunun eski çalışanı tarafından ilaçların tedarikinin başka eczanelerden sağlanması amacıyla, hastalara ait T.C. kimlik numaralarının bir şekilde (cep telefonuyla ekran görüntüsünün alınması, kağıda not edilmesi gibi) elde edilerek, “Medula Sistemi”ne girilmesi için hastaların bilgisi olmaksızın bir başka eczaneye aktarılması ile pandemi döneminde ise elde edilmiş olan T.C. kimlik numaralarının “Devam Reçetesi” uygulaması üzerinden kullanılarak ilaç tedarik edilmesiyle gerçekleştiği,
  • İhlalin en az 2019 yılının Ekim ayından bu yana gerçekleştiği ve 11.08.2020 tarihinde bir hastanın ilaçlarına ulaşamaması üzerine eczane içinde durumun araştırılması ve bazı hastaların ifadeleri üzerine tespit edildiği,
  • İhlalden etkilenen kişisel verilerin; T.C. kimlik numarası, telefon numarası, hastanın statüsü (emekli, çalışan), kurum adı (Bağkur Genel Müdürlüğü, Sosyal Güvenlik Kurumu, 60/G Sigortalılar) olduğu,
  • İhlalden etkilenen özel nitelikli kişisel verilerin; sağlık bilgileri (hastalık bilgileri, hastalık raporları, hastaların kullandığı ilaçlar) olduğu,
  • İhlalden etkilenen kişilerin hastalar olduğu,
  • İhlalden etkilenen kişi sayısının bilinmediği,
  • İhlale konu olay hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.08.2020 tarih ve 2020/636 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.