Sign In
KPMG VERGİ / Blog / Blog Detay
5
Kasım
2018
GDPR'ın Şakası Yok

Portekiz Veri Koruma Otoritesi 27 Temmuz 2018 tarihinde, Portekiz'deki Barreiro Hastanesi'ne GDPR'a (Avrupa Veri Koruma Tüzüğü) aykırı eylemleri sebebiyle 400.000 Euro para cezası verdi. Karar, ilk etapta kamuoyu ile paylaşılmadıysa da, hastane yönetimi geçtiğimiz hafta​ cezaya itiraz edeceğini duyurdu.

Basına yansıyan haberlere göre, Portekiz Veri Koruma Otoritesi, Barreiro Hastanesi'nde  bir soruşturma yürüttü. Soruşturma sonucunda da, hastanede çalışan personelin sahte profiller aracılığıyla yetkisiz olarak hasta bilgilerine eriştiği ortaya çıktı. Hastane'nin kullanıcı yönetimi için kullandığı sistemine kayıtlı 985 doktor gözükmesine rağmen, hastanenin istihdam ettiği 296 doktor bulunuyor. Bununla beraber, doktorların limitsiz olarak hasta verilerine eriştikleri ve arşivlenen hasta verilerinin başka hastanelerle paylaşıldığı ortaya çıktı. Portekiz Veri Koruma Otoritesi, hastane yönetiminin hasta verilerini korumak için gerekli ve yeterli teknik ve idari tedbirleri almadığı kanaatine vardı.

Hastane yönetimi olaya ilişkin savunmasında, Portekiz Sağlık Bakanlığı'nın devlet hastanelerine sağladığı IT sistemlerini kullandığının üzerinde durdu. Ancak, Portekiz Veri Koruma Otoritesi, kullanılan IT sistemlerinin GDPR ile uyumluluğunu sağlamanın hastanenin sorumluluğunda olduğu kararına vardı.

Portekiz Veri Koruma Otoritesi, ceza verirken, GDPR'da belirtilen ilkeler ve cezalara bağlı kalarak yaptırım uyguladı. Bu ceza, Portekiz Veri Koruma Otoritesi'nin bugüne kadar vermiş olduğu en yüksek para cezası. Buna, rağmen hastane yönetimi Portekiz Veri Koruma Otoritesi'nin böyle bir ceza vermeye yetkili olup olmadığının araştırılmasını ve son kararın yargı kanalıyla verilmesi için hukuksal girişimlere başlayacağını duyurdu.​

Yazarlar: Seçil Kısakürek ​(Kıdemli Hukuk Danışmanı) & Kaan Balın (Hukuk Danışmanı)