Kuruma iletilen şikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" içerikli beyan üzerine hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı,  ilgili kişinin üniversite hastanesinde çalışmakta olan doktora böyle bir beyanda bulunmadığı, üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesinde ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiği, belirtilen taleplerine ilişkin olarak başvurusuna üniversite tarafından cevap verilmediği ifade edilerek üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)  kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

• Kamu kurumunun istemi üzerine ilgili kişiye ait üniversite hastanesi kayıtlarında mevcut olan İstirahat Raporu, Anamnez Formları, Epikriz Raporları, Konsültasyon Formları, Hasta Medikal Klinik Seyir Bilgileri, Patoloji Raporu, Radyoloji Raporlarının, 1 (bir) adet CD içeriğinde görevli personele teslim edildiği,
• İlgili kişinin manevi tazminat ödenmesi talebinin 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi kapsamında zımnen reddedildiği,
• Kişisel verilerin Kanun’un "Kişisel Verilerin Aktarılması" başlıklı 8’inci maddesinin (2) numaralı fıkrasının (b) bendine dayalı olarak aktarıldığı,
• İlgili kişinin kişisel verilerinin silinmesi için üniversiteye herhangi bir müracaatının bulunmadığı,
• İlgili veriler, Doktor-Hasta görüşmeleri neticesinde Hastane Bilgi Yönetim Sistemine girildiği için verilerin silinemediği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/790 sayılı Kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin 
  (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
  (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
  (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
  (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
• Veri sorumlusu tarafından kamu kurumuna teslim edilen istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporları ve 1 (bir) adet CD’de yer alan ilgili kişiye ilişkin sağlık verilerinin, Kanun’un 6’ncı maddesinin (1) numaralı fıkrasına göre özel nitelikli kişisel veri olduğu, 
• Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği, 
• Kamu kurumunun yazısında söz konusu verilerin talep edilmesinin sebebinin “yürütülmekte olan bir İdari Davaya esas teşkil etmek üzere” şeklinde belirtildiği, öte yandan ilgili kişinin şikayet dilekçesinde idare mahkemesi nezdinde devam eden dava dosyasında davacı tarafın söz konusu kamu kurumunda çalışan ilgili kişi, davalı tarafın ise kamu kurumu olduğunun beyan edildiği, veri sorumlusunun Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendine yönelik savunması dikkate alındığında  ilgili kişi ile kamu kurumu arasında devam eden idari dava nedeniyle talep edilen özel nitelikli kişisel verilerin veri sorumlusu üniversite tarafından kamu kurumuna aktarılmasına ilişkin işleme faaliyetinde Kanun’un 6’ncı maddesinde yer alan şartların mevcut olmadığı,
• Diğer taraftan, veri sorumlusu tarafından kamu kurumunun yazısında talep edilenden  fazla bilgi ve belgenin tesliminin gerçekleştirildiğinin tespit edildiği, şöyle ki, kamu kurumunun yazısında ilgili kişinin belirtilen tarihlerde ameliyat işlemi geçirip geçirmediği,  ameliyat geçirmedi ise rahatsızlığı ile ilgili hastanede tedavi ve tetkik işlemine tabi tutulup tutulmadığı, tedavi sürecinin ne kadar sürdüğü, tedavi sonrasında istirahat raporu verilmiş ise ne kadar süre verildiği ve hastane nezdinde resmi tatil günlerinde ne gibi durumlarda ameliyat işlemlerinin gerçekleştirildiğine dair ıslak imzalı olarak tanzim edilen evrakın talep edildiği,  veri sorumlusu tarafından bu soruları aşacak nitelikte veri minimizasyonu ilkesine aykırı olarak, bu anlamda Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri gözetilmeyerek ilgili kişiye ait hastane kayıtlarında mevcut olan istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporlarının, 1 (bir) adet CD içeriğinde teslimi  ile talep edilenden fazla özel nitelikli kişisel veri aktarımının gerçekleştirildiğinin anlaşıldığı,
• İlgili kişinin şikayet dilekçesinde, doktorun teşhis koyma amaçlı olarak hastaya sorduğu sorular sonucu elde ettiği, hastanın mevcut ya da geçmiş hastalıkları hakkında kendisinden alınan bilgileri içeren hasta anamnez formunun hasta muayene bilgileri bölümüne doktor tarafından yanlış anlaşılarak "ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" şeklinde yazıldığı belirtilen ifadeyi içeren formun kamu kurumuna teslimiyle birlikte, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, yapılan soruşturma neticesinde ilgili kişi hakkında Cumhuriyet Başsavcılığının Kararı ile kovuşturmaya yer olmadığına dair karar verildiği,
• İlgili kişi tarafından, “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi” talebine veri sorumlusu tarafından cevap verilmediği, öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, ilgili kişinin kendisi hakkında sehven oluşturulduğunu iddia ettiği sağlık verilerine ilişkin öncelikle İl Sağlık Müdürlüğüne başvurulması gerekliliğine ve bu başvuru sonrasında sehven oluşturulan sağlık verilerinin düzeltilmesi için gerçekleştirilecek işlemlere yönelik bir düzenlemenin bulunduğu dikkate alındığında ilgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin düzeltilmesi”ni, veri sorumlusunun bağlı bulunduğu il sağlık müdürlüğüne başvurmak suretiyle talep edebileceği, 
• Veri sorumlusu tarafından 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi uyarınca ilgili kişinin başvurusuna cevap verilmeyerek zımnen reddedildiğinin belirtildiği, ancak Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına göre, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği

değerlendirmelerinden hareketle;

• Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen özel nitelikli kişisel verilerin aktarılmasına ilişkin Kanun’un 6’ncı maddesinde yer alan şartlar ya da Kanun’un 8’inci maddesinin (1) numaralı fıkrasında belirtildiği üzere ilgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarıldığı, öte yandan talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin Kanun’un 12’nci maddesinin (1) numaralı fıkrasına göre kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin” düzeltilmesini talep etme hakkı dikkate alındığında; Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer aldığı üzere “doğru ve gerektiğinde güncel olma” ilkesine uygun olarak Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli işlemlerin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Şikayete konu edilen verilerin aktarıldığı kamu kurumu nezdinde de bu verilerin imha edilmesinin sağlanması hususunda gerekli işlemlerin tesis edilmesine ve yapılan işlemin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• İlgili kişilerin Kanun kapsamındaki taleplerini Kanun’a ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırması gerektiğinin veri sorumlusuna hatırlatılmasına,
• İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi nedeniyle uğradığı zararlara ilişkin tazminat talepleri hakkında, genel hükümlere göre yargı mercilerine başvurabileceği konusunda ilgili kişiye bilgi verilmesine

karar verilmiştir.