Kişisel verilerin, veri sahibinin bilgisi veya rızası olmadan elde edilmesi, işlenmesi veya üçüncü kişilerle paylaşılması gibi eylemlerin oldukça yaygın olduğu özellikle konunun ilgilenenleri tarafından bilinen bir gerçektir. Bu durumun son örneğini, ilaç firmalarının hasta bilgilerini içeren reçetelerini eczanelerden talep ettikleri iddiası oluşturmaktadır. İddiaya göre, reçetede yazan ilacını satın almak üzere eczaneye gelen hastadan reçetesini alan eczacı, ilacı almak için depoyu aramakta, depo yetkilisi de bunun üzerine ilaç firmasından ilacı talep ettiğinde “Hasta reçetesi olmazsa ilacı göndermem.” gibi bir cevapla karşı karşıya kalmaktadır. Depo yetkilisi, aldığı talimat doğrultusunda ilacı alabilmek için eczaneden reçetenin kendilerine ulaştırılmasını talep etmekte ve bu talep karşısında eczane zorunlu olarak reçeteyi depoya göndermekte ve böylece ilaç firması hedeflediği reçeteye kavuşmuş olmaktadır. Sosyal medyada yer alan ciddi haber sitelerine de yansıyan iddia budur.
Söz konusu iddianın ciddiyetine daha iyi varılabilmesi açısından birtakım bilgiler ışığında; öncelikle hasta bilgilerini de içeren reçetelerin neden önemli olduğunun, ilaç firmalarının reçetelere ulaşmaktaki amacının ne olduğunun anlaşılması gerekir.
İlk olarak reçeteleri ele aldığımızda, üzerinde hasta adı, soyadı, TC kimlik numarası, hangi ilacı kullandığı, dolayısıyla hastalığının ne olduğu gibi verileri içermektedir. Yani aslında kişinin sağlık verileridir. Bu veriler 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında özel nitelikli, bir başka deyişle hassas verilerdir ve istisnalar haricinde veri sahibinin açık rızası olmadan işlenmesi kesin olarak yasaktır.
İlaç firmalarının reçetelere ulaşmak istemesindeki amaçları neler olabilir?
Hasta reçetelerine ulaşan ilaç firmaları temel olarak kendisine bir hasta veri tabanı oluşturmuş olmaktadır. Bu sayede kaç hastanın ne kadar süre, hangi ilaçtan ne miktarda kullandığını belirleyebilmekte buna paralel olarak da ilaç üretimini bu şekilde planlayabilmekte, pazarlamacı reklam stratejilerini buna göre oluşturabilmektedir. Ayrıca ürettiği ilaçları satmak için de o ilacı kullanan kitleye doğrudan ulaşabilmektedir.
İlaç firmaları, söz konusu bilgilere ürettikleri ilaçların satış performansı ve etkinliğini ölçmek için de ihtiyaç duyabilmektedir. Bununla birlikte satış ve rekabet durumlarının farkına varmak, yerli veya yabancı benzer ilaçların varlığı halinde rekabet durumlarının tespiti için de bu bilgiler faydalı olacaktır.
Hasta verilerinin yanında, reçeteye doktor açısından baktığımızda; hangi doktorun hangi ilaçları yazdığının tespiti söz konusu olmaktadır. Bu tespit neticesinde söz konusu ilaçların hangi firmalara ait olduğu da belirlenebilecek, hatta doktorun kendisine doğrudan pazarlama, reklam ve hatta baskı yapılabilecektir.
Bugün, kişisel veriler önemli birer satış konusu haline gelmiştir. Sağlık verileri ise medikal sektörün büyüklüğü de nazara alındığında birçok alanda satılabilir bir üründür. Örneğin, ilaç firmalarının elde ettiği hasta bilgilerini hastaneler, tıbbi cihaz satan firmalar, sigorta şirketleri gibi alanlarda satması söz konusu olabilir.
İddianın doğru olması halinde en büyük risk ise hastaların denenebileceği riskini oluşturmaktadır. Hangi hastanın hangi sağlık problemine sahip olduğunu reçete sayesinde anlayabilen ilaç firmalarının, yeni geliştirecekleri ilaçları belirledikleri hastalar üzerinde denemeleri mümkün hale gelmektedir. Bu ihtimal, durumun mahiyetini açıkça ortaya sermektedir.
Reçetelerin talep edilmesinin haklı bir gerekçesi olabilir mi?
Söz konusu iddialara karşılık, yabancı ilaç firmalarını temsil eden Araştırmacı İlaç Firmaları Derneği (AİFD), yaptığı açıklamada “Risk Yönetim Sistemi”ne tabi olan ilaçların, mevzuat kapsamında TİTCK’nın onayı ve kontrolünde olduğunu ve ilgili hastanın bu ilacı kullanıp kullanamayacağının denetlendiği, bu nedenle reçetelerin istendiğini ifade etmiştir. Aynı açıklamada bu ilaçların eczanelerde hazır bulundurulmayıp, ancak denetleme yapıldıktan ve hastanın bu ilacı kullanmasına bir engel olmayacağı saptandıktan sonra ilgili eczaneye yönlendirildiği belirtilmiştir.
Ancak bu açıklama durumu açıklığa kavuşturacak yeterlilikte değildir. Öncelikle açıklamada doktor tarafından verilen ilaç üzerinde nasıl bir denetimin yapıldığı, neyin denetiminin yapıldığına dair bir bilgi mevcut değildir. Zaten elektronik ortamda kaydedilen reçeteler üzerinde sonradan yapılan denetimin herhangi bir gerekçesi yoktur. Kaldı ki, gerçekten bir denetim yapılacak dahi olsa, eczacıya, reçetedeki ilacı vermek için hasta verilerini barındıran reçetenin verilmesi zorunluluğunun dayatılması mümkün değildir. Bunun hukuki alt yapısına, yani normatif düzenlemesine ilişkin de bir bilgi bulunmamaktadır.
Hasta verilerini içeren reçetelere denetim nedeni ile ihtiyaç duyulması veya firmalar tarafından satış ve üretim planlaması için hangi ilaçların, ne sıklıkta ve ne kadar süre ile kullanıldığının öğrenilmek istenmesi halinde de hastaya ait kişisel sağlık verilerinin anonimleştirilmesi gündeme gelmelidir. Zira firmaların pazarlama stratejisi ile hareket ettiği ve belli bir üretim planlamalarının olduğu unutulmamalıdır. Elbette ki, piyasada kullanılan ilaçları öğrenmek istemeleri doğaldır. Ancak bu firmaların elde edebilecekleri veriler, herhangi bir hastayı belirleyememeli ve sağlık verisinin hangi kişiye ait olduğu noktasında cevap verememelidir. Yalnızca ilaçların kullanılma oranı veya kullanılma sıklığı gibi herhangi bir kişiyle ilişkilendirilemeyen noktalarda bilgi içermelidir.
Bu kapsamda herhangi bir hukuki sorumluluk mevcut mudur?
İddiaların doğru olması halinde, kişilerin özel nitelikte verilerinin kendi rıza, istek ve denetimleri dışında üçüncü kişilerin eline geçmesi söz konusu olmaktadır. Üstelik kişi, bu verilerinin hangi amaçlar için ve ne şekilde kullanılacağını da bilmemektedir.
İlacı tedarik etmek için hasta verilerinin bulunduğu reçeteleri anonimleştirilmeden talep eden ilaç firmaları ve her ne kadar ilaç satın almak nedeniyle mecbur kaldığı için reçeteleri ilaç firmalarına vermiş olsalar da, eczaneler açık bir biçimde 6698 sayılı KVKK’nın düzenlediği hususlara aykırı hareket etmektedir. Zira Kanun’un getiriliş amacı kişilerin verilerinin hukuka aykırı olarak kullanımlarının önüne geçmektir. Bu aynı zamanda TCK’nın 135 ve 136. maddelerinde yer alan kişisel verilerin hukuka aykırı olarak kaydedilmesi ve verilmesi suçlarını da oluşturmaktadır.
Sonuç olarak, haber içeriğinin doğru olup olmadığı konusunda gerekli çalışmalar yapılmalı ve böyle bir durumun varlığının somut olarak tespit edilmesi halinde reçeteleri isteyen ilaç firmaları ve bilgiyi veren eczacılar hakkında hem 6698 Sayılı KVKK’ nın idari yaptırımları uygulanmalı, hem de TCK’nın 135 ve 136. maddelerinde yer alan kişisel verilerin hukuka aykırı kullanılmasına ilişkin suçlardan ötürü işlem yapılmalıdır. Eğer haber içeriği doğru değilse veya doğru olmakla beraber bu verilerin alınmasının ve paylaşılmasının hukuki bir dayanağı var ise bu bilgiler kamuoyu ile paylaşılmalı, söz konusu ilaç firmaları ve eczaneler hakkında oluşan şaibe ortadan kaldırılmalıdır.
Kaynak : 