Sağlık verilerinin kişisel veri olarak kabul edilmesi gerektiği konusunda bir tartışma bulunmuyor. Bu hususta herhangi bir sınırlama da mevcut değil. Kişinin geçirdiği hastalıklar, laboratuvar sonuçları, sağlık raporları, kullandığı ilaçlar, bunların hepsi kişisel veri niteliğindedir. Bu verilerin korunması, verilere ulaşma yetkisi olan kişilerin sorumluluğundadır. Bu yazıda eczacıların kişilerin ilaç bilgilerini üçüncü kişilere vermesi eyleminin suç teşkil edip etmeyeceği sorunu üzerinde duracağız.
Sosyal Güvenlik Kurumunun MEDULA sistemi, eczacılara kişilerin kullandığı ilaçları görme imkanı sağlıyor. Maalesef, sayıları az da olsa bu durumu istismar eden eczacılar ve eczacı kalfaları var. Geçtiğimiz günlerde bu şekilde bir olayla karşılaştım. Bir eczacı, ihtilaflı bir evlilikte eşlerden birisine diğerinin kullandığı psikiyatri ilaçlarının bilgisini vermişti. Hatta sadece bilgisini değil ilaç listesinin bilgisayar çıktısını da vermişti. Mağdur taraf bana bunun suç olup olmadığını sordu.
Hemen söyleyelim: Eczacının bu davranışı TCK’nın 136. maddesinde yer alan Kişisel “verileri hukuka aykırı olarak verme” suçunu meydana getirmektedir. Nitekim anılan maddede, “kişisel verileri, hukuka aykırı olarak bir başkasına veren… kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır” kuralı sevk edilmiştir.
Burada eczacının ilaç bilgilerini sözlü ya da yazılı olarak vermesi suçun meydana gelmesi bakımından önem taşımamaktadır. Sözlü olarak yapılan bildirim de aynı suçu meydana getirecektir.
Bazen kişiler ilaçlarını SGK dolayımı olmadan doğrudan eczanelerden alabilmektedir. Bu durumda herhangi bir kayıt tutulmayabilir. Ancak bu halde de kişilerin ilaç bilgileri yine hukukun koruması altındadır. Bu tür hallerde de ilaç bilgilerinin üçüncü kişilere verilmesi suç teşkil etmektedir.
Halihazırda bu konuda yürütülen bir Savcılık soruşturması olduğunu biliyoruz. Sanıyorum kısa bir süre içinde iddianame hazırlanacaktır. Bu durum gerçekleştiğinde konuyu yine siz değerli okuyucularıma aktaracağım.
Burada bir de ilaç verilerinin üçüncü kişilere verilmesinin ispatı sorunu bulunmaktadır. Ancak MEDULA sistemi için bu oldukça kolaydır. Hangi kişinin ilaç verilerine hangi eczaneden ve hangi bilgisayardan ulaşıldığı kolayca tespit edilebilmektedir. Bu nedenle bu verileri “ben vermedim, başkası vermiş olabilir” şeklindeki bir savunmanın da geçerliliği olmadığını ifade etmek isterim.
Burada sorunun sadece suç değil bir de tazminat boyutu da bulunmaktadır. Şayet Savcılık soruşturmasında ilaç verilerinin hangi eczaneden verildiği tespit edilirse, ilgilinin (mağdurun) tazminat davası açma hakkı da mevcuttur. Açılacak davada manevi tazminat talebinin yanı sıra kanıtlanır ise maddi tazminat da istenebilir. Ancak tazminat istemi kişilerin isteğine bağlıdır.
Bazen de bu veriler bizzat eczacı tarafından değil de bir eczane çalışanı tarafından verilmiş olabilir. Bu durumda eczacının zımni ya da açık rızası bulunmuyorsa suçu işleye kişi eczacı değil çalışanıdır. Ancak bu ihtimalde eczacının ceza sorumluluğu olmasa da tazminat sorumluluğu devam eder.
Ayrıca, 6698 sayılı Kişisel Verilerin Korunması Kanununda “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir” kuralı bulunmaktadır. Bu kurala göre sözgelimi eczacı, kalfasının bu şekilde bir veri transferi yaptığını öğrenmesi halinde durumu Kişisel Verileri Koruma Kuruluna bildirmesi gerekmektedir. Bunun bildirilmemiş olması eczacının ayrıca sorumluluğunu doğuracaktır.
Ayrıca bu durumda eczacının mesleği ile ilgili olarak bir suçun işlendiğini öğrenmiş olması sebebiyle durumu TCK 280 uyarınca Cumhuriyet Savcılığına bildirim yükümlülüğü de bulunmaktadır.