Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülükleri kapsamında VERBİS kayıt yükümlülüğünün yerine getirilmesi için son gün 31 Mart 2021 tarihidir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişilerin başında özel muayenehaneleri bulunan Hekimler ve Diş Hekimleri, Hastaneler, Eczacılar, Tıp Merkezleri, Poliklinikler, Diyaliz Merkezleri, Röntgen ve Görüntüleme Merkezleri, Klinikler gibi sağlık faaliyetlerinde bulunan tüm gerçek ve tüzel kişiler olmaktadır. Bu anlamda yasanın kapsayıcılığı ile birlikte VERBİS kayıt yükümlülüğü sağlık sektöründe faaliyet gösteren tüm gerçek ve tüzel kişileri kapsamaktadır.
Yasal zorunluluk sadece VERBİS kayıt yükümlülüğü ile sınırlı olmamaktadır. Yasa gereği ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişilerin, tüm işlemlerine ilişkin veri envanteri çıkarmak, bu veri envanterine göre kişi veri gruplarına ilişkin aydınlatma ve hukuki neden varsa açık rıza formlarının oluşturulması, tüm işleme, imha ve acil durumlara yönelik iş yeri politikalarının oluşturulması gerekmektedir. En önemli yükümlülük ise çalışanların farkındalığına yönelik eğitimlerin düzenli olarak yapılması sağlanmalıdır.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Yasa uyarınca anılan yükümlülüklerin yerine getirilmemesi hakkında para cezaları öngörülmüştür. 2021 yılı için güncellenen para cezaları aşağıdaki gibi güncellenmiştir;
Aydınlatma Yükümlülüğüne Aykırılık Halinde: 9.834,00 TL – 196.686,00 TL
Veri Güvenliğine İlişkin Aykırılık Halinde: 29.503,00 TL – 1.966.862,00 TL
Kurul Tarafından Verilen Kararlara Aykırılık Halinde: 49.172,00 TL – 1.966.862,00 TL
VERBİS'e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Hâlinde: 39.337,00 – 1.966.862,00 TL
Kişisel Verileri Koruma Kurumu tarafından verilen 05.12.2018 tarihli 2018/143 sayılı karar ile; doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılması nedeniyle idari para cezası uygulanmasına karar verilmiştir.
Kişisel Verileri Koruma Kurumu tarafından verilen 07.11.2019 tarihli 2019/332 sayılı karar ile, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.
Kişisel Verileri Koruma Kurumu tarafından verilen 07.05.2020 tarihli 2020/355 sayılı karar ile, Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı nedeniyle 60.000,00 TL idari para cezası uygulanmasına ve İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına karar verilmiştir.