Kişisel verilerin korunması hukukunun en önemli alanlarından birini oluşturan ve kişisel verilerin özel nitelikli hali olan kişisel sağlık verileri 29863 sayılı ve 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” ile düzenlenmiştir. Böylece kişisel sağlık verilerinin işlenmesine ilişkin her aşamada verilerin korunması ve veri mahremiyetinin sağlanması amaçlanmıştır.

Her şeyden önce belirtmeliyim ki, Yönetmelik yayınlanmış olduğu tarihten bu yana tartışılmış, birçok farklı açıdan eleştirilmiş, değiştirilmiş ve nihayet Danıştay kararı ile yürütülmesi durdurulmuştur. Yönetmeliğin geçirdiği aşamalar ise şu şekilde daha net anlaşılacaktır:

- 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yayımlanmıştır.

- 20 Ekim 2016 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

- 12 Ocak 2017 tarihinde Kişisel Verileri Koruma Kurulu üyeleri yemin ederek göreve başlamıştır.

- 6 Temmuz 2017 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir[1].

- 24 Kasım 2017 tarihinde, belirtilen yürütmenin durdurulması kararı da göz önünde bulundurularak Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik, 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir[2].

- 9 Ekim 2018 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir[3].

Belirtilen tarih ve değişikliklere dikkat edildiğinde anlaşılacağı üzere Yönetmelik, birçok kez tartışma konusu olmuş ve deyim yerindeyse bir türlü yerine oturtulamamıştır. Yönetmeliğin ilk hali, 6698 sayılı Kanun henüz yayınlanmışken, içerisinde yer alan bazı kavram ve tanımlar tam anlaşılamamışken ve en önemlisi sık sık atıf yapılan Kişisel Verileri Koruma Kurulu henüz göreve başlamamışken, dolayısıyla da Kurulun bu konuda görüşleri alınmadan yayınlanmış olması sebebiyle erken bir düzenleme olduğu yönünde eleştirilmekteydi. Nitekim Yönetmeliğin yürütülmesi Danıştay tarafından durdurulmuş ancak bu doğrultuda bazı değişiklikler yapılarak Yönetmeliğin değişiklik yapıldığı haliyle tekrar yayınlanmıştır. Yapılan değişikliklerle kişisel verilerin korunması mevzuatına uyumlu ve paralel düzenlemeler yapılmaya çalışılması amacının net bir biçimde ortaya konduğunu düşünüyorum. Bununla birlikte, Yönetmeliğin değişiklik yapıldığı halinin bile kişisel verilerin korunmasının sağlanması hakkında birtakım ciddi tereddütler barındırdığını belirtmeliyim. Nitekim konuya ilişkin bir önceki değerlendirme yazımda da her bir değişiklik özelinde eleştirilerimi ifade etmiştim.

Yönetmelik, değişiklik yapıldığı haliyle de kişisel sağlık verilerinin korunması bakımından tatmin edici yenilikler getirememiş olması sebebiyle Türk Tabipleri Birliği ve Türk Dişhekimleri Birliği tarafından Danıştay’da dava konusu edilmiştir. Nihayet, Danıştay tarafından Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in yürütülmesinin durdurulmasına karar verilmiştir.

Buraya kadarki gelişmeler bu şekilde olmakla birlikte, aşağıda söz konusu Danıştay kararı hakkında, durdurulması istenen maddeler ve bu maddelerin kişisel verilerin korunması mevzuatına uygunluğu bakımından ele alarak değerlendirmede bulunacağım.

Danıştay Kararı ve Kararın Değerlendirmesi

1. Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamının durdurulması ve iptali talebine ilişkin

Davacılar tarafından anılan Yönetmeliğin tamamının yürütülmesinin durdurulması ve iptali talep edilmiştir. Bu talebin gerekçeleri şu şekildedir:

a. Asıl Yönetmeliğin Danıştay Kararı ile yürütülmesinin durdurulmuş olması

Davacı taraf, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, Danıştay tarafından yürütmesinin durdurulduğu ancak bu Karardan sonra Bakanlığın, dava konusu Yönetmelik ile asıl Yönetmeliğin birtakım maddelerinde değişiklikler yaptığı ve esasen yürütmesi durdurulmuş olan bir Yönetmelikte bazı değişiklikler yapılarak tekrar yürürlüğe konulması durumunun söz konusu olduğu dolayısıyla da belirtilen Yönetmeliğin tamamının hukuka aykırı olduğunu iddia etmiştir.

Daha önce de belirtildiği gibi, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, özellikle Kişisel Verileri Koruma Kurulunun konuya ilişkin görüşleri alınmadan çıkartılmış olması gerekçesiyle Danıştay tarafından yürütmesi durdurulmuştur[4].

Yürütmenin durdurulması kararı, iptal davasında mahkemenin nihai kararından önce tedbir niteliğinde olup; idari işlemin hukuka uygunluğunun askıya alınmış olduğunu ifade eder. Buna göre söz konusu idari işlemin dava sonlanana kadar uygulanmaması ve yürütmesinin durdurulması gerekir.

Anayasanın “Mahkemelerin bağımsızlığı” başlıklı 138. maddesi, mahkeme kararlarına gecikmeksizin uymanın zorunluluğunu ve bu kararların değiştirilemeyeceğini şu şekilde ifade etmiştir: “Yasama ve yürütme organları ile idare, mahkeme kararlarına uymak zorundadır; bu organlar ve idare, mahkeme kararlarını hiçbir suretle değiştirilemez ve bunların yerine getirilmesini geciktiremez.”

Bundan başka, 2577 sayılı İdari Yargılama Usulü Kanunu’nun “Kararların sonuçları” başlıklı 28. maddesi, yürütmenin durdurulması kararlarına karşılık gecikmeksizin işlem tesis edilmesini veya eylemde bulunulmasını hüküm altına almıştır: “Danıştay, bölge idare mahkemeleri, idare ve vergi mahkemelerinin esasa ve yürütmenin durdurulmasına ilişkin kararlarının icaplarına göre idare, gecikmeksizin işlem tesis etmeye veya eylemde bulunmaya mecburdur. Bu süre hiçbir şekilde kararın idareye tebliğinden başlayarak otuz günü geçemez.”

Dolayısıyla idare, genel ifadeyle mahkeme kararlarına, özel olarak ise mahkemelerin yürütmenin durdurulması kararlarına uymak ve bu kararlara karşı gecikmeksizin işlem tesis etmek veya eylemde bulunmak zorundadır. Konumuz açısından ise idarenin, yürütmesi durdurulan Yönetmeliğin dava sonuna kadar hiçbir şekilde uygulanmaması için gerekli bütün tedbirleri alması gerektiği anlaşılır.

Davalı idare, buna karşılık olarak, her ne kadar Kurul üyelerinin belirlenmesinden sonra Kurulun görüşlerinin alındığını ve yürütmenin durdurulması kararının verildiği 6 Temmuz 2017 tarihinden önce görüş alınarak işlem tesis edilmeye başlandığı, dolayısıyla da kararın gereklerinin yerine getirildiği yönünde savunma yapmış olsa da bu savunmanın hiçbir tarafı haklı görülecek nitelikte değildir.

Öncelikle yürütmenin durdurulması kararından önce zaten Kurulun görüşlerinin alındığına yönelik bir savunma bu davanın değil, ancak asıl Yönetmeliğin iptali davasına konu olan bir savunma olabilirdi. Zira burada yürütmesi durdurulan Yönetmelik değil; yürütmesi durdurulan bir Yönetmeliğin birtakım değişikliklerle tekrar yürürlüğe konulmaya çalışılmasıdır. Dolayısıyla yürütmenin durdurulmasından önce zaten Kurulun görüşünün alınmış olduğu gibi bir savunma ancak yürütmenin durdurulmaması gerektiğine ilişkin bir gerekçe olabilir. Oysaki burada Yönetmeliğin yürütmesinin durdurulduğu hakkında herhangi bir tereddüt yoktur.

Bundan başka Kurul üyeleri belirlendikten sonra Kurulun görüşleri alınarak kararın gereklerinin zaten yerine getirilmiş olduğu yönünde bir savunma idare hukuku kural ve ilkeleri ve yukarıda belirtilen kanun hükümleri ile çelişmektedir. Zira yürütmenin durdurulması kararının gereği, Mahkemenin yürütmeyi durdurmasındaki gerekçelerini ele alarak söz konusu idari işlemde birtakım değişiklikler yaparak işlemin uygulanmasına devam etmek değil; idari işlemi hiçbir şekilde uygulamama ve yürütmemektir. Bu noktada idarenin yalnızca yürütmesi durdurulan Yönetmeliğin değişiklik yapıldığı hükümlerinin hukuka uygun hale getirildiği yönünde bir savunması söz konusu olabileceğini düşünüyorum. Ancak böyle bir savunma da değiştirilmeyen hükümlerin hukuk aykırı bir şekilde tekrar yürürlüğe konulduğunun kapalı bir ikrarı anlamına gelecektir. Zira Danıştay tarafından Yönetmeliğin değiştirilen hükümleri değil, tamamının yürütmesi durdurulmuştur.

Burada hukuk devleti ilkesi ile bağdaşacak şekilde idare tarafından izlenmesi gereken tek yol, Mahkemenin gerekçeleri göz önünde bulundurarak yeni ve hukuka uygun bir idari işlemin tesis edilmesi ve böylece oluşan boşluğun giderilmesidir. Oysaki bu durumda, yürütmesi durdurulan bir Yönetmeliğin yapılan birkaç değişiklikle tekrar yürürlüğe konulması, adeta kararın arkasından dolanarak uygulanmaması gibi bir durum söz konusu olmuştur.

Nitekim Danıştay da yürütmesi durdurulan bir düzenlemede kısmi değişiklikler yapmak suretiyle hukuka aykırılığı saptanmış olan düzenlemenin canlandırılmasının hukuken mümkün olmadığını belirtmiştir. Mahkeme, kararın maddi ve hukuki koşullara göre uygulanabilir nitelikte olduğuna ancak idarenin emredici kurallar karşısında kararın gereklerini yerine getirmesi gerekirken, bir yargı kararını aynen ve gecikmeksizin uygulamaktan kaçındığına hükmetmiştir.

Açıklanan nedenlerle 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamı hakkında yürütmenin durdurulmasına karar verilmiştir.

b. Kurul tarafından kişisel sağlık verilerin işlenmesinde alınacak önlemlerin belirlenmemiş olması

Davacı taraf, Kurul tarafından özel nitelikli verilerin işlenmesinde alınacak önlemler belirlenmeden söz konusu Yönetmelik uyarınca gerçekleştirilecek olan kişisel verilerin işlenmesi faaliyetlerinin hukuka aykırı olacağını iddia etmiştir.

6698 sayılı Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin son fıkrası, özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından önlemlerin alınmasının şart olduğunu hüküm altına almıştır. Bu hüküm doğrultusunda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı, 7 Mart 2018 tarihinde yayınlanmıştır. Söz konusu Yönetmelik ise karardan önce, 24 Kasım 2017 tarihinde yürürlüğe girişmiştir. Dolayısıyla esas konusu sağlık verileri olan Yönetmelik,  özel nitelikli verilerin işlenmesinde alınması gereken önlemler henüz belirlenmemişken yürürlüğe girmiş ve bu önlemler göz önüne alınmayarak oluşturulmuştur.

6698 sayılı Kanun, kişisel verilerin korunması ve işlenmesi alanında temel ve çerçeve bir mevzuat niteliğindedir. Buna göre Kanun hükümleri kişisel verilerin işlenmesine ilişkin temel kuralları belirlemekte ve kişisel verilerin işlenmesine ilişkin her türlü faaliyet ve düzenlemede bu karalarla uyma zorunluluğu getirmektedir. Böylece kişisel verilerin işlenmesine ilişkin düzenlemelerin Kanun’a uyumlu olması gerektiği açıktır. Kaldı ki, konudan bağımsız olarak Yönetmelik hükümlerinin Kanun hükümlerine aykırı olmaması gerekir.

Sağlık verileri gibi kişisel veriler alanının en önemli parçasını oluşturan ve kişilerin sağlık yaşamlarına ilişkin en mahrem bilgileri içermesi bakımından üst düzey koruma gerektiren kişisel verilere ilişkin bir düzenlemenin, Kurul tarafından konuya ilişkin olarak belirlenen yeterli önlemlerin dikkatle göz önünde bulundurularak oluşturulması gerekir. Sağlık verilerine ilişkin bir düzenlemenin, henüz özel nitelikli verilere ilişkin önlemler belirlenmemişken, o an için hukuka uygun kabul edilebilecekse de, önlemlerin belirlendiği Kararın 7 Mart 2018 tarihinde yayınlanmasından bu yana hukuka aykırı hale geldiğini düşünmekteyim. Dolayısıyla dava konusu Yönetmelik, bu bakımdan da hukuka aykırıdır.

Ancak kararda Danıştay’ın bununla ilgili herhangi bir incelemesi görülmemektedir. Bunun, kararın verildiği tarihte Kurul tarafından yeterli önlemlerin belirlenmiş olmasından kaynaklandığını düşünmekteyim. Bununla birlikte 6 Temmuz 2017 tarihli, Yönetmeliğin asıl halinin yürütmesinin durdurulmasına ilişkin Danıştay kararında Kurul tarafından yeterli önlemlerin henüz belirlenmediği gerekçe olarak gösterilmiştir. Dolayısıyla aynı gerekçenin burada da söz konusu olmasında hiçbir engel olmadığını ve Danıştay’ın sağlık verilerine ilişkin bir düzenlemenin konuya ilişkin yeterli önlemlerin dikkate alınarak oluşturulması gerektiği düşüncesinde olduğunu söylemek mümkündür.

2.  Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin ilgili hükümlerinin durdurulması talebine ilişkin

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin ilgili hükümlerinin yürütmesinin durdurulması ve iptali talep edilmiştir.

Ancak, iptali istenen hükümler ve iptal gerekçelerini ele almadan önce, davacı tarafça iptali istenen hüküm ile iptal gerekçeleri arasında ciddi bir farkın olduğunu belirtmeliyim. Danıştay kararından görülebildiği kadarıyla, davacı tarafın zaten yürütmesi durdurulmuş olan bir Yönetmeliğin çeşitli hükümlerini tekrar dava konusu etmesinde hukuki bir yararı olmadığı gibi, bunun herhangi bir anlamı ve hükmü yoktur. İptali istenen hükümlerin yürütmesi zaten durdurulmuştur, her ne kadar yürütmenin durdurulması kararı gereği gibi yerine getirilmemiş olsa da bu aynı konuda tekrar dava açılması bakımından haklı bir gerekçe değildir. Burada kararın gereği gibi yerine getirilmediğine ilişkin yargı yoluna başvurulmalı veya değişiklik yapıldığı haliyle yayınlanan Yönetmeliğin ilgili hükümlerinin iptali istenebilmelidir.

Davacı taraf ise iptal istenen değişiklik yapan yönetmeliğin tamamı ile asıl yönetmeliğin anılan değişiklik yönetmeliği ile değiştirilen dolayısıyla artık yeni bir kural olarak kabul ettikleri 5, 7 ve 8. maddelerinin bir kısım fıkralarını dava konusu yaptıklarını belirtmiştir.

Ancak zaten yürütmesi durdurulmuş bir yönetmelikte değişiklik yapılmasını öngören bir düzenleme yok hükmündedir. Dolayısıyla davacı tarafın başvurusu pratik anlamda doğru kabul edilebilir ise de olması gereken hukuk anlamında yeni değişiklikle değiştirilen yürütmesinin durdurulması değil, yok hükmünde olduğunun tespitinin talep edilmesi gerekir. Zira yürütmeyi durdurma istendiğinde ve mahkeme de bu yönde bir karar verdiğinde sanki yok hükmünde olan bir işleme hukuken varlık kazandırılıyormuş gibi bir anlam çıkmaktadır.

Yukarıda söylediklerim kuramsal anlamda olması gerekenin söylenmesi adınadır. Yoksa davacı taraf, açmış olduğu dava ve talebiyle hem pratik hukuk bakımından hem de toplumsal sorumluluğu açısından bana göre son derece olumlu ve yerinde bir iş yapmıştır.

İptal talebine konu olan hükümler şu şekildedir:

- m. 5/8: “Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde aktarılır.”

- m. 7/1:“Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

- m. 8/1:“Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.”

Söz konusu talebin gerekçeleri ise şunlardır:

a. Kişisel verilerin merkezi sağlık veri sistemine aktarılması kuralının özünde hukuka aykırılık olması

Yönetmeliğin asıl halinde sağlık hizmet sunucuları tarafından merkezi sağlık veri sistemine aktarım yapılırken Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde işleme yapılması gerektiği belirtilmiştir. Yönetmeliğin değiştirilen halinde ise söz konusu işleme faaliyetinde Bakanlıkça belirlenen usul ve esaslara ek olarak, Kanunun emredici hükümlerine ve Kurul tarafından belirlenen usul ve esaslara da uygun olarak davranılması gerektiği hüküm altına alınmıştır.

Davacı taraf, her ne kadar hükmün değiştirilen halinin önceki haline göre daha uygun olsa da kuralın özünde yer alan hukuka aykırılığın devam ettiğini iddia etmiştir. Gerçekten bu noktada ilk bakışta herhangi bir hukuka aykırılık göze çarpmamaktadır. Zira iptal konusu hüküm, aktarım faaliyetinin Kanunun emredici kurallarına ve Kurul ve Bakanlıkça belirlenen usul ve esaslara uygun olarak yapılmasını gerektirmektedir. Böylece bu hususlara uygun olarak yapılan bir aktarım faaliyeti, hukuka uygun bir işleme olarak kabul edilebilecektir. Ancak dikkat edilmesi gereken husus, yapılacak aktarımın hangi kurallara göre yapılacağı değil bizatihi aktarım faaliyetinin kendisidir. Hangi sağlık verilerinin, ne miktarda, ne şekilde ve neye göre aktarılacağına ilişkin hiçbir şekilde bir ayrıştırma veya filtreleme yöntemi söz konusu değildir.

Unutulmamalıdır ki, 6698 sayılı Kanun, kişisel verilerin işlenmesine ilişkin çerçeve bir mevzuat niteliğindedir ve her bir kişisel veri türüne ilişkin işleme faaliyetlerini detaylı bir biçimde açıklayabilmesi mümkün değildir. Olması gereken, özel düzenlemeler aracılığıyla Kanun hükümlerine ve özellikle de Kanun ile belirlenmiş olan kişisel verilerin işlenmesine ilişkin genel ilkelere uyumlu olarak söz konusu kişisel verilere ilişkin işleme faaliyetlerini belirlemektir. Dolayısıyla sağlık verilerine ilişkin özel bir düzenleme niteliğinde olan Yönetmelik, aktarım faaliyetlerinin hangi hususlara uygun olarak yapılacağını belirtmekle yetinmemeli ve hangi sağlık verilerinin, neye göre merkezi veri sistemine aktarılacağını da düzenlemelidir.

Bu noktada belirtilmelidir ki, Yönetmelik ile sağlık hizmet sunucularına, yalnızca verilen sağlık hizmetinin gereği ile ilgili olarak kişisel veri işlenebileceğine yönelik bir sınırlama getirilmiştir. Dolayısıyla merkezi veri aktarım sistemine aktarılacak verilerin yalnızca verilen sağlık hizmetinin gerekleri ile sınırlı olabileceği düşünülebilir. Ancak bu sınırlama merkezi veri aktarım sistemine yapılacak bir aktarım faaliyeti için yeterli midir, aktarım faaliyetini bütün detaylarıyla açıklayabilmekte midir, bunlar tartışılmalıdır. Bana göre “sağlık hizmetinin gerekleri” oldukça geniş ve muğlak bir ifade olup açıklığa kavuşturulmaya ihtiyaç duymaktadır.

Aksi takdirde hiçbir ayrım olmaksızın tüm sağlık verilerinin aktarımı söz konusu olacaktır. Bu da, özellikle kişisel verilerin “belirli, açık ve meşru amaçlarla işleme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleriyle çelişmektedir. Dolayısıyla iptali istenen hükmün özü itibariyle kişisel verilerin korunması amaç ve ilkeleriyle bağdaşmadığını düşünmekteyim.

b. Merkezi veri sistemine aktarım faaliyetinde anonimleştirmenin öngörülmemiş olması

Aktarım faaliyetine ilişkin herhangi bir anonimleştirme yönteminin öngörülmemiş olması yukarıda belirtilen gerekçeyle aynı doğrultudadır. Verilerin anonimleştirilmesi tek başına yeterli olmasa da, esasen yukarıda belirtilen eksiklikler bakımından çözümün bir ayağını oluşturur. Hangi sağlık verilerinin, neye göre ve ne şekilde aktarılacağının düzenlenmemiş olmasının kişisel verilerin korunması amaç ve ilkeleriyle bağdaşmadığını yukarıda belirttim. Kişisel verilerin korunması ve gizliliğinin sağlanabilmesi adına merkezi veri sistemine aktarılan sağlık verilerinin anonimleştirilerek aktarılması öngörülmesi faydalı ve gereklidir. Zira sisteme erişme yetkisi bulunanların dahi bilinmediği bir durumda, sistemde yer alan verilerin anonim halde bulunması kişisel verilerin korunması açısından en doğru yol olacaktır.

c. İdarenin erişimine herhangi bir sınırlama getirilmemiş olması

Yukarıda belirtildiği gibi, sağlık hizmet sunucularına aktarmaları gereken kişisel veriler bakımından, verilen sağlık hizmetinin gerekleri yönünde yeterli olmamakla birlikte bir sınırlama öngörülmüştür. Bununla birlikte merkezi veri sistemi tarafında idarenin erişimi bakımından herhangi bir sınırlama veya düzenleme bulunmamaktadır. Oysaki ülke çapındaki tüm sağlık verilerinin aktarıldığı böylesine bir sisteme kimlerin erişim yetkisinin olduğunun açıkça belirtilmesi gerekirdi. Özellikle de herhangi bir anonimleştirme yönteminin öngörülmemiş olduğu bir durumda, idarenin sınırsız ve mutlak bir erişimi son derece tehlikelidir.

d. Sağlık hizmeti sunucularının kullanmaları gereken yazılım standartlarının belirtilmemiş olması

Sağlık hizmeti sunucuları, Yönetmelik ile Bakanlıkça belirlenen standartlara uygun yazılımları kullanmak zorunluluğu altındadır. Bununla birlikte uyulması gereken standartların ne olduğu belirtilmediği gibi bunların kimler tarafından belirleneceği de hüküm altına alınmamıştır.

e. m. 7/1 ve m. 8/1 ile aktarım zorunluluğu getirilmiş olması

Davacı taraf, söz konusu hükümlerin hiçbir ayrım yapılmaksızın Sağlık Bakanlığı tarafından merkezi sağlık veri sistemine aktarılması zorunluluğu getirdiğini ve Bakanlığın da bu verileri diğer kamu kurum ve kuruluşlarına aktarabileceğini ifade ettiğini iddia etmektedir. Ancak sağlık hizmet sunucularına getirilen aktarım zorunluluğunun kapsamının belirlenmediği gibi sınırlandırılmadığına da dikkat çekilmiştir.

Yönetmeliğin söz konusu hükümleriyle veri ilgilisinin açık rızası olmaksızın sağlık verilerinin işlenebileceği ve aktarılabileceği haller düzenlenmiştir. Buna göre belirlenen istisna koşullarının herhangi birinin varlığı halinde sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri ilgilisinin açık rızası olmaksızın, kişisel sağlık verileri işlenebilecektir. Ayrıca Kurul tarafından yeterli önlemlerin alınması ve gerekli koşulların sağlanması halinde söz konusu sağlık verilerinin ilgili kamu kurum ve kuruluşlarına aktarılması mümkündür.

Dolayısıyla ilgili hükümlerde belirtilen istisnai koşullar sağlansın veya sağlanmasın, bu koşullara dayanılarak bir işleme veya aktarma gerçekleştirilsin veya gerçekleştirilmesin, bu hak ve yetkinin tanınmış olması, sağlık hizmet sunucularına her halükârda aktarım yapma zorunluluğu getirmektedir. Zira böyle bir hakkın kullanılabilmesi için aktarımın gerçekleştirilmesi üstü kapalı bir şekilde zorunlu tutulmuştur. Ancak kapsam ve sınırlarının belirlenmediği böyle bir zorunluluk karşısında, anonim halde olmayan tüm sağlık verilerinin hiçbir ayrıma tabi olmaksızın aktarılmasının ciddi sakıncalar doğurması kaçınılmazdır.

f. Sağlık hizmet sunucuları tarafından yapılacak kayıt yükümlülüğünün belirsiz olması

Öte yandan sağlık hizmet sunucuları tarafından sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verilerin kaydı ve aktarımı faaliyetlerinin hangi düzenleyici işleme göre hangi standartlara uygun olarak yapılacağı da belirsizdir. Yönetmelik, yükümlülüğün ihlal edilmesi halinde uygulanacak yaptırıma yer vermiş olmasına rağmen uyulması gereken ölçü ve standartları belirtmemiştir.

g. İlgili hükümlerin temel hakkın özüne zarar veren müdahale niteliğinde olması

Davacı taraf, açıklanan tüm bu nedenlerle iptali istenen söz konusu hükümlerin kişisel verilerin korunması hakkının özüne zarar verdiğini ve amaçla uygun olmayan bir müdahale niteliğinde olduğunu iddia etmiştir.

Belirtilmelidir ki, Danıştay’ın iptali istenen hükümler hakkında herhangi bir incelemesi görünmemektedir. Bunun nedeninin, daha önce de belirtildiği gibi, iptali istenen hükümlerin yer aldığı Yönetmeliğin tamamı hakkında zaten daha önce yürütmenin durdurulması kararı verilmiş olduğundan kaynaklandığını düşünüyorum.

Söz konusu hükümler, kişisel sağlık verilerinin sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine aktarımına ilişkindir. Süreç kısa bir şekilde ifade edilecek olursa, sağlık hizmeti sunmak veya üretmekle sorumlu olan sağlık hizmet sunucusu sağlık hizmeti almak üzere kendisine başvuran kişilere ilişkin sağlık verilerini kaydeder. Kaydedilen bu veriler Sağlık Bakanlığı tarafından oluşturulan ve sağlık verilerinin toplandığı veri sistemini ifade eden merkezi sağlık veri sistemine aktarılır. Böylece ülke çapında gerek kamu gerekse özel sektördeki bütün sağlık verileri merkezi sağlık veri sisteminde toplanır. Sağlık verilerine ilişkin böylesine ciddi bir işlemenin her açıdan açık, net ve belirli olması gerektiğinde şüphe yoktur. Bunun yanı sıra belirlenen bütün düzenlemelerin açık olmasıyla yetinilmemeli, ayrıca kişisel verilerin korunmasına ilişkin mevzuata ve hakkın özüne uygun olup olmadığı noktasında önemle durulmalıdır. Söz konusu düzenlemede ise kişisel verilerin korunması mevzuatının tam aksine, kişisel verilerin işlenmesinin istisna değil, bir kural haline getirildiği anlaşılmaktadır.

Sonuç

Yukarıda açıklanan 9 Ekim 2018 tarihli Danıştay Kararının değerlendirilmesi sonucunda varılan sonuçlar şu şekildedir:

- Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yayınlanmış olduğu tarihten bu yana birçok farklı açıdan eleştirilmiş ve tartışılmıştır.

- Anılan Yönetmelik, 6 Temmuz 2017 tarihinde verilen yürütmenin durdurulması kararının ardından, 24 Kasım 2017 tarihli hakkında değişiklik yapılmasına dair Yönetmelik ile çeşitli değişikliklere uğraşmış ve tekrar yürürlüğe konmuştur.

- Yönetmelik, değişiklik yapıldığı haliyle de kişisel sağlık verilerinin korunması bakımından tatmin edici yenilikler getirememiş olması sebebiyle Türk Tabipleri Birliği ve Türk Dişhekimleri Birliği tarafından Danıştay’da dava konusu edilmiştir.

- Danıştay kararının ardından yapılan değişiklikte esasen yürütmesi durdurulmuş olan bir Yönetmelikte bazı değişiklikler yapılarak tekrar yürürlüğe konulmaya çalışılmasının söz konusu olduğu, dolayısıyla da 24 Kasım 2017 tarihli sağlık verileri Yönetmeliğinin tamamının hukuka aykırı olduğu iddia edilmiştir.

- Yürütmenin durdurulması kararının gereği, Mahkemenin yürütmeyi durdurmasındaki gerekçelerini ele alarak söz konusu idari işlemde birtakım değişiklikler yaparak işlemin uygulanmasına devam etmek değil; idari işlemi hiçbir şekilde uygulamama ve yürütmemektir.

- Bu nedenle hukuk devleti ilkesi ile bağdaşacak şekilde idare tarafından izlenmesi gereken tek yol, Mahkemenin gerekçeleri göz önünde bulundurarak yeni ve hukuka uygun bir idari işlemin tesis edilmesi ve böylece oluşan boşluğun giderilmesidir.

- Nitekim Danıştay da yürütmesi durdurulan bir düzenlemede kısmi değişiklikler yapmak suretiyle hukuka aykırılığı saptanmış olan düzenlemenin canlandırılmasının hukuken mümkün olmadığını belirtmiştir.

- Ayrıca Yönetmelik, Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemler belirlenmeden düzenlenmiştir. Oysaki, sağlık verileri gibi kişisel veriler alanının en önemli parçasını oluşturan ve kişilerin sağlık yaşamlarına ilişkin en mahrem bilgileri içermesi bakımından üst düzey koruma gerektiren kişisel verilere ilişkin bir düzenlemenin, Kurul tarafından konuya ilişkin olarak belirlenen yeterli önlemlerin dikkatle göz önünde bulundurularak oluşturulması gerekir.

- Bu nedenlerle 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamı hakkında yürütmenin durdurulmasına karar verilmiştir.

- Bundan başka Yönetmeliğin ilk halinin çeşitli hükümleri dava konusu edilmiştir. Ancak davacı tarafın zaten yürütmesi durdurulmuş olan bir Yönetmeliğin hükümlerini tekrar dava konusu etmesinde hukuki bir yararı olmadığı gibi, bunun herhangi bir anlamı ve hükmü yoktur.

- Söz konusu hükümler, kişisel sağlık verilerinin sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine aktarımına ilişkindir.

- Davacı taraf, kişisel verilerin merkezi sağlık veri sistemine aktarılması kuralının özünde hukuka aykırılık olduğunu, aktarım faaliyetinde anonimleştirmenin öngörülmesi, idarenin sisteme erişimine sınırlama getirilmesi, sağlık hizmeti sunucularının kullanmaları gereken yazılım standartlarının belirli olması ve kayıt yükümlülüğünün düzenlenmesi gerektiğini belirtmiştir. Ayrıca hükümlerin sağlık hizmeti sunucularına aktarım zorunluluğu getirdiği ve böylece kişisel verilerin işlenmesinin istisna değil, kural haline getirildiği iddia edilmiştir.

- Bütün bu nedenlerle söz konusu hükümlerin hakkın özüne zarar verdiği ve amaca aykırı bir müdahale niteliğinde olduğu iddia edilmiştir.

- Danıştay’ın iptali istenen hükümler hakkında herhangi bir incelemesi görünmemektedir. Bunun, söz konusu hükümler hakkında zaten daha önce yürütmenin durdurulması kararı verilmiş olmasından kaynaklandığını düşünüyorum.

Danıştay’ın yürütmeyi durdurma kararındaki gerekçelerinin son derece iyi hazırlandığını ve son zamanlarda ülkemizde büyük bir erozyona uğrayan “hukuk devleti ilkesi” bakımından ders niteliğinde olduğunu belirtmeliyim.

Bu konuda Türk Tabipleri Birliği ve Türk Dişhekimleri Birliğine ve bu kurumların hukukçularına konu hakkındaki azimleri, ısrarları ve hassasiyetleri nedeniyle tüm toplumun teşekkür borçlu olduğunu düşünmekteyim.

Sağlık Bakanlığı’nın, bu konudaki yargı kararlarına rağmen, “insanların verilerini bir veri bankasında toplamaya yönelik isteklerinin olup olmadığını sormama konusunda”, bu denli kararlı olması ve bireylerin verisini kaydetmeyi ve işlemeyi kendi hakkı olarak görme konusundaki ısrarcı tavrı ise bir başka sorunsalı işaret etmekte. Acaba bu, halka rağmen halk için iyi bir şeyler yapma arzunun mu, yoksa mahkeme kararlarını yok sayacak kadar hukuk tanımazlığın verdiği cesaretin bir sonucu mu? Umudum ve dileğim bunlardan ilkinin olması ve bu yanlıştaki ısrardan bir an önce vazgeçilmesi. Veri ilgililerine sorulduğu takdirde, zaten büyük bir çoğunluğun açık rıza vermesinin olası olduğu bir konuda, hukuka aykırı bir sağlık ve kişisel veri koruma politikasının dayatılmaya çalışmasını genel bir zihniyetin yansıması olarak değerlendirmekteyim.

Zaten en büyük sorunu da bu oluşturmakta. Sağlık Bakanlığı’nın topladığı bu kişisel sağlık verilerini kötü amaçla kullanacaklarını düşünmüyorum, aksine bu verileri, birtakım aksamalar ve hatalar olsa da bireylerin ve halkın sağlığı için kullanacakları düşüncesindeyim. Ancak başta Sağlık Bakanlığı olmak üzere tüm kamu kurum ve kuruluşları, özel sektörün hali hazırda başlamış olduğu kişisel verilere uyum ve dönüşüm sürecine bir an önce başlamalı ve bu konudaki paradigmanın artık değiştiği gerçeğinin farkına varmalıdır. Veri ilgilisi bir hiç yerine konulup “sen zaten benim malımsın, niye soracağım ki” zihniyetine  maruz bırakılmamalı, veri ilgilisinin kanundan kaynaklanan hakları uygulamada da kendisine tanınmalı ve kullandırılmalıdır. Nitekim yönetmelik iptalleri ile bu paradigma değişikliği vurgulanmaktadır.

Bu söylediklerime karşın üzülerek ifade etmeliyim ki, Sağlık Bakanlığı’nın Kararda belirtilen hususları dikkate alarak yeniden bir yönetmelik yayınlayacağını ve yola devam etmeye çalışacağını düşünmekteyim. Dolayısıyla ilgili kurum, kuruluş ve bireylerin 6698 sayılı Kanun’nun 4. maddesindeki genel ilkelere uyulması talebinde ısrarcı olmaya devam etmeleri ve kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma zorunluluğuna uygun davranılması gerektiğini her fırsatta vurgulamaları gerektiğini düşünmekteyim.

Kişisel sağlık verileri, veri koruma hukukunun en önemli alanlarından birini oluşturmakla birlikte kişilerin en mahrem bilgilerini içerir ve bu nedenle de en üst seviye korumaya muhtaç bir veri kategorisini oluşturur. Dolayısıyla sağlık verilerine ilişkin düzenlemelerin kişisel verilerin işlenmesine ilişkin ilkelerle bağdaşacak biçimde açık ve belirli olmasına özen gösterilmelidir. Bunun için tekrardan kaçınmak adına yukarıda her bir neden özelinde yaptığım eleştirilere atıf yapmakla yetinerek ve söz konusu noktalarda önemle durulması gerektiğini belirtmeliyim.

Doç. Dr. Murat Volkan Dülger*

---------------------------------

* Akademisyen / Avukat.

[1]  15. D. 2016/10488, 2016/10500 YD. T. 06.07.2017

[2]  Yönetmelik hakkında değerlendirme yazısı için bkz: Murat Volkan Dülger, “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in Getirdikleri ve Dikkat Edilmesi Gereken Hususlar”; www.academia.edu.tr.

[3] 15. D. 2018/1490 YD. T. 09.10.2018

[4]"…dava konusu Yönetmeliğin Resmî Gazete'de yayımlandığı tarih olan 20/10/2016'da Kişisel Verileri Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun'un 6. maddesinin dördüncü fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun'un 22. maddesinin birinci fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edildiği, Kanun'un genel gerekçesi ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu'ndan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmî Gazete'de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı…"