Bir psikoloğun mesleki rolü, danışanın belki de hayatında kimse ile paylaşmadığı bilgileri dinlemektir. Bu güven ilişkisinin mevzuatsal karşılığı KVKK'dır — ve onun kapsamında sağlık verisi özel nitelikli kişisel veri sınıfında, en yüksek koruma seviyesinde değerlendirilir.
KVKK'nın Temel Çerçevesi
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016'da yürürlüğe girdi. Sağlık verisi açısından üç temel ilkesi vardır:
- Hukuka uygun işleme — açık rıza ya da yasal zorunluluk
- Belirli, açık ve meşru amaç — terapi süreci için işleniyorsa pazarlama amaçlı kullanılamaz
- Sınırlı süre — terapi sona erdikten sonra yasal saklama süresi (genellikle 10 yıl) geçince silinir
İhlal halinde KVKK Kurulu, 36.000 TL ile 5.766.000 TL arasında idari para cezası uygulayabilir (2026 oranları). Sağlık verisi söz konusu olduğunda cezalar üst sınıra yakın seyreder.
Psikolog Veri Sorumlusu mudur, Veri İşleyen mi?
Bu ayrım kritiktir. KVKK'ya göre:
- Veri Sorumlusu — kişisel verinin işlenme amaçlarını belirleyen kişi/kurum. Aydınlatma yükümlülüğü, açık rıza alımı, VERBİS kaydı ve veri ihlali bildirimi sorumluluğu buradadır.
- Veri İşleyen — veriyi yalnızca veri sorumlusunun talimatları doğrultusunda işleyen alt yüklenici (örneğin: yazılım sağlayıcı).
Bireysel pratikte çalışan psikolog Veri Sorumlusudur — hangi danışanın bilgisinin nereye ne süre saklanacağını kendisi belirler. Yazılım sağlayıcı (PsikoCRM gibi) Veri İşleyendir; teknik altyapıyı ve şifrelemeyi sağlar ama veri kullanım amacına karar veremez.
VERBİS Kayıt Yükümlülüğü
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Veri Sorumluları'nın kayıtlı olduğu KVKK Kurulu sistemidir. 2020 itibarıyla:
- Yıllık çalışan sayısı 50'den fazla VEYA yıllık ciro 25 milyon TL üzerinde olan veri sorumluları VERBİS'e kayıt yaptırmak zorundadır.
- Bireysel psikolog kural olarak VERBİS kaydından muaftır, ancak özel nitelikli kişisel veri işlediği için aydınlatma yükümlülüğü ve açık rıza alma yükümlülüğü her durumda sürer.
Klinik (5+ psikologlu yapı) VERBİS'e bakmalı; muafiyet kriterlerini aşan klinikler 30 gün içinde kayıt yaptırmalıdır.
Aydınlatma ve Açık Rıza
İlk seansta danışanın imzalaması gereken iki belge vardır:
- Aydınlatma Metni — verisinin neden, ne kadar süre, kim tarafından, hangi haklarla işleneceği yazılı olarak bildirilir. İmza zorunlu değildir, ancak okutulup teyit alınmalıdır.
- Açık Rıza Beyanı — özel nitelikli sağlık verisi için MUTLAKA açık, özgür iradeyle, bilgilendirilmiş şekilde alınır. İmza zorunludur.
Danışan açık rızasını dilediği zaman geri alabilir. Bu durumda terapist kayıtları silmek zorundadır (yasal saklama süresi olan kalemler hariç).
Teknik Tedbirler
KVKK Kurulu'nun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Güvenliğine İlişkin Yeterli Önlemler" tebliği şunları zorunlu kılar:
- Şifreleme — en az AES-256 düzeyinde, hem disk üzerinde hem aktarımda (HTTPS)
- Erişim kontrolü — yetkilendirilmemiş personel veriye erişemez (rol tabanlı)
- Audit log — verinin kim tarafından, ne zaman, ne amaçla görüldüğü izlenir
- Yedekleme ve kurtarma — düzenli, şifreli yedekler
- Personel eğitimi — yıllık KVKK eğitimi (klinikler için)
Bu tedbirleri bireysel terapistin kendi cihazında kurması neredeyse imkânsızdır. Bu yüzden KVKK uyumlu yazılımlar, bir psikoloğun yasal güvenliği için en pratik çözümdür.
Veri İhlali Halinde Bildirim
Bir laptop çalınırsa, e-posta hesabı hacklenirse, masaüstündeki dosyalara birisi izinsiz erişirse — Veri Sorumlusu (terapist) 72 saat içinde KVKK Kurulu'na ve etkilenen danışanlara bildirim yapmak zorundadır. Bildirim yapılmaması başlı başına ek ceza sebebidir.
Sonuç
KVKK uyumu, terapistin "yapması gereken bir formalite" değil; danışan güvenini somutlaştıran etik bir çerçevedir. Şifreleme, audit log, açık rıza belgesi — bunların hepsi danışana "bu odadaki konuşma burada kalır" sözünün dijital karşılığıdır. PsikoCRM KVKK uyumlu altyapı sağlar; aydınlatma metni şablonu, açık rıza belgesi yönetimi ve KVKK veri dışa aktarımı dahildir.