Privacy Blog
NORVEÇ VERİ KORUMA OTORİTESİNDEN HASTANEYE CEZA
25.11.2020
Avrupa Veri Koruma Kurulu (“EDPB”), yaptığı açıklama ile Norveç Veri Koruma Otoritesi’nin (“NDPA”) hastane kayıtlarının kişisel verilerin korunması ilkelerine uygun olmayan şekilde saklanmasından hareketle Østfold HF Hospital adlı hastane hakkında idari para cezasına hükmettiğini açıkladı.
NDPA tarafından yapılan inceleme neticesinde, taburcu edilen ya da taburcu edilmeye hazır hastalara ilişkin tutulan hastane kayıtlarının muhafaza edildiği alanın kontrol edilmediği, kayıtlara erişim loglarının kayıt altına alınmadığı ayrıca söz konusu kayıtlara ihtiyaç kalmadığı halde saklama faaliyetinin devam ettirildiği görülmüştür. Yürütülen faaliyet gereği özel nitelikli kişisel veri olan sağlık verisi de içeren bu kapsamlı kayıtların kontrolsüz şekilde uzun bir süre saklanmasının hastanenin iç yönetiminde idari tedbirler anlamında eksikliklere işaret ettiği kanaatine varılmıştır.
Bu kararı ile NDPA, özellikle sağlık verisi gibi hassas verileri içeren bilgi belgelerin saklanması konusunda önemli noktalara işaret etmiştir:
- Kayıtların saklandığı ve/veya geçici olarak depolandığı alanlara erişim sınırlamaları bulunmalıdır. Erişim sağlayan kişilerin de kaydı tutulmalıdır.
- Erişim sağlanacak kişiler için resmi ve haklı bir sebep bulunmalıdır. Yapılan incelemede 118 hastane çalışanın kayıtlara erişim bulunduğu tespit edilmiş ancak çoğu çalışan bakımından bu erişimi haklı ve resmi gösterecek bir sebep bulunamamıştır.
- Erişim konusunda gerekli kontrol sisteminin oluşturulmaması yönetimsel bir eksikliktir. Yönetim, kişisel verilerin işlenmesinde yalnızca güvenli sistemlerin kullanılmasını sağlamakla yükümlüdür.
İlgili açıklamanın İngilizce metnine buradan ulaşabilirsiniz.
Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.
Saygılarımızla,
Zümbül Hukuk ve Danışmanlık
info@zumbul.av.tr