1-Hak Sujesi: İlgili Kişi
Kişisel verilerin korunmasının hak süjesi için KVKK’da ilgili kişi ifadesi kullanılmakta ve mezkur kanun md.3/1-ç’de ilgili kişi “kişisel verileri işlenen gerçek kişi” olarak tanımlanmaktadır.
Özel sağlık kurumları açısından bakıldığında, tedavi amacıyla başvurdukları özel sağlık kurumunca kişisel verileri işlenen hasta, hak sujesidir.
2-Sorumluluk Sujeleri
- Veri Sorumlusu
Kişisel verilerin korunması hukukunun sorumluluk sujelerinden ilki veri sorumlusudur. Veri sorumlusu KVKK md.3-ı’da “ kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmaktadır.
Veri sorumlusu olmak için bu tanım kapsamında aranan şartlardan biri olan işleme amaç ve kapsamını belirlemede veri sorumlusu, sırasıyla, işleme faaliyetinin neden ve nasıl gerçekleştirileceği sorularına yanıt verecektir. İşlemenin nasıl gerçekleştirileceği tespit edilirken işlemenin teknik şeklinin ne olacağı, hangi verilen işleneceği, hangi kişilerin verilere erişebileceği, verilerin ne zaman silineceği gibi teknik ve organizasyonel sorulara cevap verilmesi gerekecektir. Veri sorumlusu olmak için islemenin tüm araçlarını belirlemek gerekmeyip yalnızca araçların temel unsurlarını belirlemek yeterlidir.
Yukarıdaki bilgiler ışığında özel sağlık kurumları kapsamında veri sorumlularını tespit etmek için bu kurumları, gerçek veya tüzel kişiler tarafından işletilmelerine göre ikiye ayırarak incelemek yerinde olur.
Tüzel kişilerce işletilen özel sağlık kurumları açısından bakıldığında iki farklı veri sorumlusu bulunmaktadır. Veri sorumlularından ilki özel sağlık kurumunu işleten tüzel kişidir. Zira VSSHY md.11/b.1/c.1’de veri sorumlusunun tüzel kişilerde tüzel kişiliğin kendisi olduğu belirtilmektedir. Veri sorumlularından ikincisi ise özel sağlık kurumunda çalışan ve bağlı oldukları mevzuat bakımından kişisel verilerin işlenmesi ile ilgili yükümlülükleri bulunan personellerdir. Örneğin; doktorlar “Tababet ve Şuabatı San'atlarının Tarzı İcrasına Daı̇r Kanun” md.72 uyarınca hastaların isim ve kimlik bilgilerini içeren bir protokol defteri tutmak., “Tıbbi Deontoloji Nizamnamesi”138 md.4/f.1, HHY md.23/f.1 ve Hekimlik Meslek Etiği Kuralları md. 9/f.1 uyarınca istisnai haller dışında meslek ve sanatın icrası sebebiyle öğrendiği sırları açıklamamak gibi kişisel verilerin işlenmesi ile ilgili yükümlülükleri haiz olduğundan işledikleri veriler bakımından veri sorumlusudur.
Gerçek kişilerce işletilen özel sağlık kurumları açısından da yine tüzel kişilerce işletilenlerde olduğu gibi iki farklı veri sorumlusu bulunmaktadır. Veri sorumlularından ilki gerçek kişi özel hastane işleticisidir. Zira, hasta ile özel hastane işleticisi arasında- ileride detaylı olarak ele alacağımız- sözleşmesel bir ilişki bulunmaktadır ve bu ilişki çerçevesinde özel hastane işleticisinin yükümlülüklerinden birisi de hastanın kişisel verilerini işlemek ve korumaktır.. Veri sorumlularından ikincisi ise tüzel kişilerce işletilen özel sağlık kurumlarında olduğu gibi özel sağlık kurumunda çalışan ve bağlı oldukları mevzuat bakımından kişisel verilerin işlenmesi ile ilgili yükümlülükleri bulunan personellerdir.
2.Veri İşleyen
Kişisel verilerin korunması hukukunun sorumluluk sujelerinden ikincisi veri işleyendir. Veri işleyen KVKK md.3/ğ’de “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmaktadır.
Veri işleyen olarak nitelendirilmek için iki şartın varlığı gerekir. Bu şartlardan ilki veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel bir kişi olmak, ikincisi ise kişisel verileri veri sorumlusu adına işlemektir. Burada veri sorumlusu adına işleme, veri işleyenin en azından işlemenin amacı ve işleme araçlarının temel unsurları hususunda veri sorumlusunca verilecek talimatlara göre kişisel verileri işlemesini ifade eder.
Özel sağlık kurumlarınca örneğin hasta verilerinin depolanması için bir bilişim firması ile anlaşılmışsa bu bilişim firması veri işleyen konumundadır. Son olarak belirtmek gerekir ki özel sağlık kurumunda çalışan hasta kayıt personeli gibi görevliler her ne kadar veri sorumlusu adına veri işleme yapıyor olsa da veri sorumlusunun organizasyonu içinde yer aldığından veri işleyen sıfatını haiz değildir.