Makale
Sağlık kurumlarının kişisel verileri hukuka aykırı işlemesi sonucunda ortaya çıkan ihlaller, özel hukuk kapsamında çeşitli sorumluluklar doğurur. Sözleşmeye aykırılık, haksız fiil, sebepsiz zenginleşme gibi hukuki temeller ışığında mağdurlar, maddi ve manevi tazminat dahil olmak üzere birçok dava yoluyla haklarını arayabilmektedir.
Veri İhlallerinde Özel Hukuk Sorumluluğu ve Hukuki Yollar
Günümüzde özel sağlık kurumlarına başvuran hastaların kişisel verilerinin korunması, sadece kanuni bir yükümlülük değil, aynı zamanda hasta ile sağlık kurumu arasındaki güven ilişkisinin temel bir parçasıdır. Kişisel verilerin hukuka aykırı olarak işlenmesi veya yetkisiz üçüncü kişilerle paylaşılması durumunda, özel hukuk alanında sorumluluk mekanizmaları devreye girmektedir. Bu sorumluluk, somut olayın niteliğine göre sözleşme görüşmelerindeki kusurdan (culpa in contrahendo), doğrudan sözleşmeye aykırılıktan veya haksız fiil hükümlerinden kaynaklanabilir. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, veri sorumlusu konumundaki özel hastane işleticileri ve hekimlerin, edimlerini ifa ederken kişilik haklarını ve veri mahremiyetini koruma altına alan emredici hukuk kurallarına sıkı sıkıya uyması gerektiği görülmektedir. Aksi takdirde, mağduriyet yaşayan bireylerin mahkemeler nezdinde etkin bir hukuki koruma talep etme hakkı doğacaktır.
Veri İhlallerinin Hukuki Dayanakları ve Sorumluluk Türleri
Özel sağlık kurumları ile hastalar arasında kurulan hastaneye kabul sözleşmesi veya hekimlik sözleşmesi, taraflara yalnızca teşhis ve tedavi yükümlülüğü getirmez; aynı zamanda kişisel verileri koruma yan yükümlülüğü de yükler. Veri mahremiyetinin ihlali, sözleşmenin yan edim yükümlülüklerinin ihlali anlamına gelir ve gereği gibi ifa etmeme sonucunu doğurur. Henüz bir sözleşme kurulmamış olsa dahi, müzakere aşamasında paylaşılan sağlık verilerinin sızdırılması veya kötüye kullanılması, dürüstlük kuralına aykırılık teşkil edeceğinden sözleşme görüşmelerindeki kusur (culpa in contrahendo) sorumluluğunu başlatır. Her iki durumda da zarara uğrayan veri sahibi, uğradığı fiili zararın veya yoksun kaldığı kârın tazminini isteyebilmektedir. Borçlar Kanunu çerçevesinde, veri sorumlusu olan sağlık kurumu, bu ihlallerde kendi kusuru olmadığını ispatlamadıkça tazminat yükümlülüğünden kurtulamaz.
Bir sözleşme ilişkisinin bulunmadığı veya sözleşme hükümleriyle birlikte yarışan durumlarda, veri ihlalleri haksız fiil sorumluluğu kapsamında değerlendirilir. Kişisel sağlık verilerinin kanuna aykırı olarak ifşa edilmesi, doğrudan bireyin kişilik haklarına yapılmış hukuka aykırı bir saldırı niteliğindedir. Uygulamada, özellikle dijital ortamlardaki veri sızıntılarında mağdurun kusuru ispat etmesinin zorluğu göz önüne alınarak, veri sorumlularının özen sorumluluğu (kusursuz sorumluluk) ilkelerine göre sorumlu tutulması gerektiği savunulmaktadır. Ayrıca, veri sorumlusunun mağdurun verilerini kullanarak ticari bir yarar elde etmesi durumunda, elde edilen bu menfaatin iadesi için sebepsiz zenginleşme veya mağdurun onayı dışında işin yürütülmesi sebebiyle gerçek olmayan vekaletsiz iş görme hükümleri doğrultusunda da hukuki yollara başvurulması mümkündür.
Kişisel Veri İhlallerinde Başvurulabilecek Dava Türleri
Veri ihlaline uğrayan ilgili kişiler, hukuka aykırı eylemin niteliğine, devam edip etmediğine ve oluşan maddi veya manevi zararın boyutuna göre çeşitli dava yollarına başvurma hakkına sahiptir. Hem Türk Medeni Kanunu'nda düzenlenen kişilik haklarını koruyucu davalar hem de Kişisel Verilerin Korunması Kanunu'nun ilgili maddeleri, mağdurlara hak ihlallerini etkin bir biçimde sonlandırma ve ortaya çıkan her türlü zararı eksiksiz olarak telafi etme imkânı sunmaktadır. Kişilik haklarına yönelik saldırının özelliklerine göre mağdur, sadece ihlalin durdurulmasını talep edebileceği gibi, ihlal nedeniyle şahıs varlığında veya mal varlığında meydana gelen eksilmelerin giderilmesini de mahkemeden isteyebilir. Bu hukuki süreçlerde görevli mahkemeler genellikle tüketici mahkemeleri veya asliye hukuk mahkemeleri olarak karşımıza çıkmaktadır. Bilişim hukuku pratiğinde en çok karşılaştığımız temel davalar ise şu şekildedir:
- Maddi ve Manevi Tazminat Davası: İhlal neticesinde uğranılan maddi kayıpların ve duyulan psikolojik acı veya ızdırabın nakden giderilmesi talebidir.
- Tespit Davası: Sona ermiş olmasına rağmen etkileri hâlâ devam eden hukuka aykırı veri ihlali eyleminin mahkemece hukuka aykırı olduğunun tespit edilmesidir.
- Önleme Davası: Kişisel verilerin ele geçirilmesi veya ifşa edilmesi tehlikesinin çok yakın olduğu durumlarda, henüz saldırı başlamadan engellenmesine yönelik açılan davadır.
- Durdurma Davası: Halihazırda başlamış ve devam etmekte olan bir veri ihlali saldırısına son verilmesi amacıyla mahkemeden alınan müdahale kararıdır.
Veri Sorumlusunun Tazminat Yükümlülüğü ve İspat Külfeti
Kişisel sağlık verilerinin sızdırılması veya usulsüz olarak paylaşılması vakalarında, mahkemeler maddi ve manevi tazminatın kapsamını belirlerken olayın şeklini, tarafların kusur oranlarını ve oluşan zararın ağırlığını dikkate alır. Hukuki uygulamalarımızda, sözleşmeye aykırılıktan doğan uyuşmazlıklarda ispat külfeti açısından mağdur daha avantajlı bir konumdadır. Çünkü kanun, borcunu gereği gibi ifa etmeyen veri sorumlusunun kusurlu olduğunu karine olarak kabul eder; veri sorumlusu tazminattan kurtulmak için tüm güvenlik ve gizlilik tedbirlerini eksiksiz aldığını ispatlamak zorundadır. Manevi tazminat taleplerinde ise zararın matematiksel olarak kesin ispatı zor olduğundan, hâkimin takdir yetkisi oldukça geniştir ve amaç, mağdurun yaşadığı psikolojik yıpranmayı ve manevi çöküntüyü bir miktar para ödenmesi yoluyla telafi ederek adalet duygusunu tesis etmektir.