Diş Hekiminin Hastalara Tanıtım Mesajı Atması
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Sezgi Dental Ağız ve Diş Sağlığı Polikliniği (Sezgi Dental) tarafından Kurumumuza gönderilen yazıda özetle;
Sezgi Dental eski çalışanı diş hekiminin işten çıkartılması sonrasında poliklinik hastaları ile ilgili verileri yetkisiz olarak elde ettiği ve işten ayrıldığı,
İşten ayrılan diş hekiminin Sezgi Dental kliniği hastalarına yeni açmış olduğu iş yeri ile ilgili tanıtıcı reklam amaçlı mesaj gönderdiği,
Klinikte hasta kayıtlarının barındırıldığı bir otomasyon sisteminin kullanıldığı, bu otomasyon sisteme tüm diş hekimlerinin kendilerine özel olarak verilen kullanıcı adı ve şifre ile erişim sağlandığı,
Söz konusu diş hekiminin çalıştığı dönem içerisinde bu otomasyon sistemine erişim yetkisinin bulunduğu, kendisine işten çıkartılması ile ilgili bildirim yapılmasından sonra hasta verilerini kopyalamış olduğunun tahmin edildiği,
İhlalin 02.06.2020 tarihinde tespit edildiği,
İhlalden etkilenen kişisel verilerin, kimlik ve iletişim verileri olduğu,
İhlalden etkilenen kişi sayısının tahmini 2.500 olduğu, otomasyon sistemine kayıtlı bulunan tüm hastalara sms gitmemesi sebebiyle kişi ve kayıt sayısının tespit edilemediği
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/485 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.