KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK’İN GETİRDİKLERİ VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR

Kişisel veriler alanının önemli bir parçasını ve özel nitelikli halini oluşturan kişisel sağlık verileri ile ilgili düzenlemeleri içeren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” 29863 sayılı ve 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmişti. Kişisel veriler anlamında temel kanun olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarihinde yayımlanmış olması ve bu kanunda öngörülen Kişisel Verileri Koruma Kurulu oluşturulup görevine başlamadan Kişisel Sağlık Verileri yönetmeliğinin yayımlanması, söz konusu kurulun görüşü alınmadan hazırlandığı için henüz erken bir düzenleme olduğu yönünde eleştirilmekteydi.

Kanun henüz tam olarak anlaşılmamışken, içerisinde yer alan bazı kavram ve tanımlar henüz çok yeniyken ve en önemlisi sık sık atıf yapılan Kişisel Verilerin Korunması Kurulu henüz göreve başlamamış ve çalışma usul ve esaslarının belirlenmiş olmadan Kişisel Sağlık Verileri Yönetmeliğinin yayınlanmasına yönelik eleştirilere katılmaktayım.

Dolayısıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ne demek istediğinin zamanla daha iyi anlaşılması, Kişisel Verileri Koruma Kurulu için seçilen üyelerin 12 Ocak 2017 tarihinde yemin ederek göreve başlaması, 28 Ekim 2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in yayımlanması ve son olarak 16 Kasım 2017 tarihinde “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik” ’in yayımlanması gibi gelişmeler, söz konusu yönetmelikte birtakım değişiklikler yapmayı ve yayımlanan düzenlemelerle uyumlulaştırmayı zorunlu hale getirmiştir. İşte bu nedenle Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” 30250 sayılı Resmi Gazete’de 24 Kasım 2017 tarihinde yayımlandı ve yayımlandığı tarihte yürürlüğe girdi.

Aşağıda başlıklar halinde yönetmelikle getirilen yeni düzenlemelere, Kişisel Sağlık Verileri Yönetmeliğini 6698 sayılı Kanuna uyumlu hale getirmek amacıyla yapılan değişikliklere ve açıklanması gereken diğer hususlara değinip; detaylı bir inceleme ve değerlendirmede bulunacağım.

Yönetmeliğin “Amaç” başlıklı 1. maddesinde yapılan değişiklikler

İlk olarak yönetmeliğin Amaç başlıklı 1. maddesinde yer alan “kişisel sağlık verilerini toplama, işleme, aktarma” ibaresi “kişisel sağlık verilerinin işlenmesine” olarak değiştirilmiş, toplama ve aktarma kelimeleri maddeden çıkarılmıştır. Zira 6698 sayılı Kanunun Tanımlar başlıklı 3. maddesinin ‘e’ bendinde kişisel verilerin işlenmesi; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Öyleyse toplama ve aktarma eylemleri zaten işleme faaliyeti kapsamına girmektedir, ayrıca belirtilmesine gerek yoktur.

Yönetmeliğin “Tanımlar” başlıklı 4. maddesinde yapılan değişiklikler

Yönetmeliğin Tanımlar başlıklı 4. maddesinin ilk halinde:

“İlgili kurumun üst düzey yöneticisi tarafından bilgi güvenliği politikalarının uygulanması için yetki verilen kişi” olarak tanımlanan bilgi güvenliği yetkilisi;

“Bakanlık bünyesinde kurulan Kişisel Sağlık Verileri Komisyonu” olarak tanımlanan Komisyon;

“Sağlık Bakanlığı Müsteşarı” olarak tanımlanan Müsteşar;

“Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birim” olarak tanımlanan Siber Olaylarla Müdahale Ekibi;

“Bakanlıkça yayımlanan Ulusal Sağlık Veri Sözlüğü” olarak tanımlanan USVS;

terimleri değişiklik yapılmasına dair yönetmelik ile kaldırılmıştır. Çünkü bu kavramlar yönetmelik ile getirilmiş olup; uygulamada yer bulamamıştır.

Yine aynı maddenin ‘f’ bendinde değişiklikten sonra kişisel sağlık verisi; “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” olarak tanımlanmıştır. Önceki tanımdan farklı olarak “fiziksel ve ruhsal sağlığına ilişkin” ibaresi eklenmiş, böylece sağlık verilerinin yalnızca fiziksel olarak algılanmasının önüne geçilmek istenmiş; ruhsal sağlığa ilişkin verilerin de kişisel sağlık verileri kapsamında değerlendirildiği belirtilmiştir.

Bunun yanında “kişiye sunulan sağlık hizmetiyle ilgili bilgiler”in de sağlık verisi olduğu tanıma eklenerek özellikle belirtilmiştir. Buna göre, kişinin sağlık durumu, kullandığı ilaçlar veya hastalığı gibi verilerin yanında yalnızca hizmet aldığı sağlık birimi veya uygulanan herhangi bir tedavi aşaması bilgisi de sağlık verisi olarak kabul edilmektedir. Verinin mutlaka kişinin hastalığına dair kesin bir bilgiyi veya kullandığı ilacın tam olarak ismini içermesi gerekmez; hastanın hangi hastanede, hastanenin hangi biriminde hizmet gördüğü de buna dahildir. Örneğin, kalp damar tıkanıklığı sebebiyle kardiyoloji bölümünde tedavi gören bir hastanın; hastalığı, tedavi süreci veya kullandığı kalp ilaçlarının yanında yalnızca hastanenin sunduğu kardiyoloji servisi hizmeti bilgisi dahi, o kişinin sağlık verisidir.

Maddenin ‘ı’ bendinde sağlık hizmeti sunucusunun; “Ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesisleri” anlamına geldiği belirtilmektedir. Kavramın anlamı itibariyle herhangi bir değişiklik olmamakla beraber daha doğru bir tanımlamanın yapıldığını düşünüyorum. Önceki tanımda bulunan “sağlık hizmeti sunan kişiler” ibaresi sağlık hizmeti sunucusu kavramının kapsamını çok net bir biçimde ifade edememekteydi. Bu şekilde sağlık hizmeti sunan tüm basamaklarda yer alan sağlık tesislerinin sağlık hizmeti sunucusu olduğu belirtilmiş ve kavramdan tam olarak ne anlaşılması gerektiği açıklığa kavuşturulmuştur.

Yönetmeliğin “Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar” başlıklı ikinci bölümünün “Genel İlke ve Esaslar” başlıklı 5. maddesinde yapılan değişiklikler

Maddenin 3. fıkrasında bulunan “işleyebilir ve erişebilir” ibaresindeki erişebilir kelimesi kaldırılmış ve yalnızca “işleyebilir” ifadesi bırakılmıştır. Bu değişiklik kelimenin uygulama anlamında herhangi bir karşılığı bulunmaması açısından mantıksal olarak yerindedir. Çünkü ilgili kişinin sağlık verilerini ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebileceği belirtilen sağlık hizmeti sunumunda görevli kişilerin, söz konusu verilere erişmesi gibi bir durum bulunmamakta; bu veriler zaten görevli kişilerde bulunmaktadır. Dolayısıyla önceki tanımda yer alan “erişebilir” ifadesine ihtiyaç bulunmamaktadır. Kaldı ki ifade, sanki bu verilerin sağlık hizmeti sunan görevli kişilerde bulunmadığı gibi yanlış bir algı oluşturabilecektir. Oysa ki düzenlenmek istenen, bu kişilerin ellerinde bulunan verileri belirtilen şartlar dahilinde işleyebilecekleridir. Öyleyse kaldırılan kelime ile beraber maddenin daha doğru bir hale getirildiğini söyleyebilirim.

Aynı maddenin 4. fıkrasında yer alan “Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.” düzenlemesi yürürlükten kaldırılmıştır. Zira bunun ayrıca yönetmelikle düzenlenmesine gerek bulunmamakta, hem kamu görevlileri açısından hem de sağlık hizmetleri çalışanları açısından zaten tabi oldukları ilgili yasalarda sır saklama yükümlülüğü getirilmektedir.

5. fıkrada ise iki farklı yenilik görülmektedir. İlk olarak sağlık hizmeti sunucularında veri işleyen kişilerin, kişisel sağlık verilerini, belirtilen sistemler dışında kopyalayamayıp, kaydedemeyeceğinin yanında “depolayamayacağına” ilişkin yeni bir düzenleme getirilmiştir. Veri depolama, bilginin saklanması, sınıflandırılması ve korunmasını sağlayan teknolojilerin uygulanması anlamına gelir. Böylece sağlık hizmeti sunucularında veri işleyen kişiler, maddede sayılan yerler haricinde kişilerin kişisel sağlık verilerini saklayacak, sınıflandıracak veya korunmasını sağlayacak teknolojileri uygulayamayacaktır.

Anılan fıkrada gerçekleştirilen ikinci değişiklikle, sağlık hizmeti sunucularında veri işleyen kişilerin, kişilerin sağlık verilerini kopyalayamayacağı, kaydedemeyeceği ve depolayamayacağı yerlerin dışında kalan sistemlere bir yenisi daha eklenmiştir. Buna göre veri işleyen kişiler, sayılan eylemleri önceki yönetmelikle belirlenen sistemlerin yanında “merkezi sağlık sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları” haricinde hiçbir yerde gerçekleştiremeyecektir. Böylece bu eylemlerin gerçekleştirilebileceği istisnai yerlere merkezi sağlık sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları eklenmiştir. Merkezi sağlık sistemi, Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemi anlamına gelmektedir. Genel Müdürlüğün onayladığı diğer veri kayıt ortamları açıklanmamış olsa da; buradan üçüncü kişilerin onaylanacağı anlamı çıkmaktadır. Bu onaylama, hizmet satın alınacağı anlamına geldiğinden ve bu süreç mevzuat gereği ihale veya pazarlık yöntemiyle gerçekleşeceğinden bu konuda dikkatli olunmalıdır. Onaylamanın yapılacağı şartnamenin konuya özgü olarak çok iyi düzenlenmesi gerekir. Zira kötü niyetli kullanımlara açık bir hüküm mevcuttur.

Maddenin 6. fıkrasında yer alan sağlık hizmeti sunucuları için “Ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.” ibaresi çıkarılmıştır. Madde metninden çıkarılan bu cümlede 6698 sayılı Kanun kapsamında bir veri aktarımından söz edilmektedir. Oysa zaten Bakanlık’ta bulunan verilerin, yeni bir sistemde işlenmesi söz konusudur ve dolayısıyla mevcut olanlara ek yeni bir sorumluluk yaratılmasının gereği yoktur.

7. fıkra olarak düzenlenen; “Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilir ve aktarılabilir.” ibaresi ise yürürlükten kaldırılmıştır. Bu şekilde yönetmelikte bulunması gerekli olmayan düzenlemenin kaldırılmış olması faydalı olmuştur. Çünkü zaten aynı husus 6698 sayılı Kanunda düzenlenmiştir. Kanunun “İstisnalar”ın düzenlendiği son bölümünün 28. maddesinde Kanunun uygulanmayacağı haller sayılmış ve 1. fıkrasının ‘b’ bendine göre; kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi halinde Kanunun uygulanmayacağı belirtilmiştir. Daha üst norm olan Kanunda var olan bir hükmün yönetmelikle düzenlenmesinin bir anlam ifade etmediğini, aksine karmaşaya yol açabileceğini söylemeliyim. Bu yüzden ilgili fıkranın kaldırılmış olmasını yerinde buluyorum.

8. fıkrada ise sağlık hizmeti sunucularının kişisel sağlık verilerini merkezi sağlık verisi sistemine aktarırken uymaları gereken usul ve esaslara; Bakanlıkça belirlenenlerin yanında, Kurul tarafından belirlenenler de eklenmiştir. Bu şekilde Kurul’un belirlediği usul ve esasların da dikkate alınması gerektiğine işaret edilmiştir. Kurul’un henüz göreve başlamadığı tarihte yayımlanmış olmasından dolayı yönetmelik ilk haliyle yalnızca Bakanlıkça belirlenen usul ve esaslara atıf yapmıştır. Oysaki Kişisel Verileri Koruma Kurulu’nun 6698 sayılı Kanunun uygulanmasında birçok görev ve yetkisi bulunmaktadır. 16 Kasım 2017 tarihinde yürürlüğe giren “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik” de bu durumu açık bir biçimde ortaya koymaktadır. Dolayısıyla ilgili fıkranın değişiklikle beraber mevcut bulunan mevzuata daha uyumlu hale geldiğini söyleyebilirim.

Maddenin 9. fıkrasında yer alan; “İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.” ifadesi yürürlükten kaldırılmıştır. Bunun nedeni aynı maddenin 7. fıkrasının kaldırılmış olma gerekçesi ile aynıdır.

6698 sayılı Kanunun 6. maddesinin 2. fıkrasına göre; “Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”

Kanunun 8. maddesine göre; “Kişisel verilerin açık rıza olmaksızın aktarılamaz.”

Aydınlatma zorunluluğu ise Kanunun 10. maddesinde karşımıza çıkmaktadır. Buna göre; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

- Veri sorumlusunun ve varsa temsilcisinin kimliği,

- Kişisel verilerin hangi amaçla işleneceği,

- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

- Kişisel veri toplamanın yöntemi ve hukuki sebebi,

- 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle” yükümlüdür.

Öyleyse yürürlükten kaldırılan 9. fıkra, zaten 6698 sayılı Kanunun yukarıda açıkladığım maddelerinden yola çıkılarak ulaşılabilen bir sonuçtur ve yönetmelikle düzenlenmesine gerek yoktur. Bu nedenle de yürürlükten kaldırılmış olması yerinde olmuştur.

Yönetmeliğin “Kişisel Sağlık Verilerinin Korunması, İşlenmesi, Aktarılması ve Silinmesi” başlıklı üçüncü bölümünün “Kişisel Sağlık Verilerinin Korunması” başlıklı 6. maddesinde yapılan değişiklikler

Yönetmeliğin bu maddesinde işlediği kişisel verilerin korunmasından sorumlu olan veri işleyenin yükümlülükleri belirlenmiştir.

Yönetmeliğin ilk yayımlanan haliyle yalnızca öğrendiği verilerin mahremiyetini korumakla, veri işleme sürecine ilişkin olarak belirlenen kurallara ve standartlara uymakla yükümlü olan veri işleyen; yapılan değişiklikle beraber daha geniş bir şekilde açıklanmış, yükümlülükleri net bir biçimde ortaya konmuştur. Maddeye göre veri işleyenin yapmak zorunda olduğu yükümlülükleri:

- Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek,

- Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek,

- Kişisel sağlık verilerinin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermektir.

Maddenin devamında; veri işleyenin görevi gereği öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanılamayacağı ayrıca bu yükümlülüğün veri işleyenin görevden ayrılmasından sonra da devam edeceği belirtilmiştir.

Söz konusu madde ile esas olarak 6698 sayılı Kanunun veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12. madde tekrar edilmiştir. Bununla beraber Kanundan farklı olarak söz konusu teknik ve idari tedbirleri alma yükümlülüğünü veri sorumlusuna değil; doğrudan veri işleyene yüklemiştir. Veri işleyen de tıpkı veri sorumlusu gibi kabul edilmiş, ayrıca aldığı tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermek ile yükümlü kılınmıştır.

Maddenin ikinci fıkrasında yapılan değişiklikle; kişisel sağlık verisi işleyenlerin, bu verilerin mahremiyetini sağlamak amacıyla yönetmeliğin ilk halinden farklı olarak yalnızca Bakanlıkça belirlenen önlemleri alması gerektiği değil; bununla birlikte Kanuna ve Kurul tarafından çıkartılan ikincil düzenlemelere uyacağı, kurul tarafından belirlenen önlemleri alacağı ve Bakanlıkça belirlenen diğer kurallara riayet edeceği belirtilmiştir.

İlk olarak bu değişiklikle beraber Kurul tarafından çıkarılacak ikincil düzenlemelere atıfta bulunulmuş olması oldukça yerinde olmuştur. Çünkü bahsedilen ikincil yönetmelikler Kurul’un 6698 sayılı Kanunun uygulanmasına yönelik düzenlemelerini içerir ve Kanunun uygulanması açısından önem arz eder. Zira genel kurallar Kanunda belirtilmiş olsa da; ikincil yönetmeliklerle beraber Kanun daha iyi anlaşılmış ve bu Kanuna uyum süreci gibi hususlar açıklığa kavuşturulmuştur. Dolayısıyla sağlık verisi işleyenlerin Kanun ile beraber bu yönetmeliklere de uymaları gerektiği ikincil yönetmeliklerin önemi bakımından haklı bir zorunluluk olmuştur.

Öte yandan ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek misyonuyla hareket eden Kurul’un belirlediği önlemlerin alınmasının belirtilmiş olması yönetmeliğin mevzuatla uyumlu hale gelmiş olmasını sağlamıştır.

Maddenin üçüncü fıkrasının ilk halinde kişisel sağlık verilerinin kanuni olmayan yollarla işlenmesi halinde veri sorumlusunun bu durumu Bakanlığa bildirmesi gerektiği düzenlenmişken; yapılan değişiklikle beraber bildirimin Kurula yapılacağı belirtilmiştir.

6698 sayılı Kanun ile bildirimlerin Kurula yapılacağı düzenlenmiş; son olarak Kişisel Verilerin Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik ile yapılan bildirim ve şikayetleri incelemek, geçici önlemler almak ve karara bağlamak Kurul’un görev ve yetkileri arasında sayılmıştır. Dolayısıyla yapılan bu değişiklik ile Kanuna ve son yönetmeliklere uyumlu hale gelinmiştir.

Maddenin dördüncü, beşinci ve altıncı fıkraları yürürlükten kaldırılmıştır. Çünkü söz konusu fıkralarda; önceki haliyle Bakanlığa bildirim yapılacağını ve bu bildirimlerde Genel Müdürlükçe hazırlanan ihlal bildirim formunun kullanılacağını düzenleyen üçüncü fıkraya göre bildirimden sonraki aşamalar belirtilmiştir. Üçüncü fıkranın değiştirilmesiyle Bakanlığa yapılacak bildirim söz konusu olmayınca dördüncü, beşinci ve altınca fıkralara da dolayısıyla gerek kalmamıştır.

Maddenin kişisel sağlık verilerinin bulunduğu bilgi sistemlerinin kullanılması ve Genel Müdürlükçe belirlenecek olan hususları düzenleyen 7. fıkrası ile kişisel sağlık verilerinin bulunduğu bilgi sitemlerine erişen kullanıcıların erişim kaydının Bakanlıkça belirlenen standartlara uygun olarak tutulacağını belirten 8. fıkrası aynen bırakılmıştır.

Yönetmeliğin “Kişisel Sağlık Verilerinin İşlenmesi” başlıklı 7. maddesinde yapılan değişiklikler

Yönetmeliğin değiştirilen 7. maddesinin 1. fıkrasına göre; “Kişisel sağlık verilerinin, Kanunun 6’ncı maddesinin üçüncü fıkrasında yer alan istisnai amaç ve koşullar kapsamında işlenebilmesi için ilgili kişinin açık rızası aranmaz.”

Fıkranın değişiklikten önceki halinde Kanunun özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6. maddesinin 3. fıkrasında yer alan açık rıza aranmaksızın verilerin işlenebileceği istisnai haller, tek tek belirtilerek tekrar edilmiştir. Ancak söz konusu istisnalar zaten Kanun hükmünde yer aldığından ayrıca yönetmelikte yer almasına gerek yoktur. Bu yüzden söz konusu istisna hallerinin tekrar sayılmayıp; yalnızca Kanunun ilgili maddesine atıf yapılmasını kanun yapımı sistematiği açısından daha doğru ve pratik bulmaktayım.

Maddenin 2. fıkrasında ise; “Bunların dışında kalan amaçlar kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanunun 10 uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca bilgilendirilmesi ve açık rızasının alınması gerekir.” denmiştir. İlk halinden farklı olarak yalnızca ayrıntılı olarak bilgilendirmeyi yeterli görmemiş; Kanun’un 10. maddesine atıf yapılarak bu maddede öngörülen yükümlülük uyarınca aydınlatma yapılmasını aramıştır.

Görüldüğü üzere yönetmeliğin 7. maddesinin birinci ve ikinci fıkralarında yapılan değişikliklerle her ne kadar içerik olarak çok büyük bir farklılık olmasa da; yeni hallerinde Kanuna gönderme yapılması bakımından önemli bulmaktayım. Zira yönetmeliklerin kişisel verileri koruma hukukunun temelini oluşturulan 6698 sayılı Kanuna uyumlu bir biçimde oluşturulması ve oluşturulan yönetmeliklerde Kanuna atıf yapılması bu mevzuatın doğru oluşturulması ve uygulanması açısından önemlidir. Bu nedenle söz konusu fıkralarda aynı şeylerin tekrar edilmemiş olması ilgili Kanun hükmünden bahsedilmiş olmasını olumlu bir gelişme olarak görüyorum.

Bununla birlikte maddenin 4. fıkrasında yer alan “kişisel sağlık verilerinin işlenmesinde” ibaresi “özel nitelikli kişisel verilerin işlenmesinde” olarak değiştirilmiştir. Kişinin sağlık verilerinin özel nitelikli veri olduğu konusunda bir şüphe bulunmamaktadır. Bununla beraber özel nitelikli veriler yalnızca sağlık verilerinden oluşmamaktadır. Kişinin ırkı, siyasi düşüncesi, cinsel yaşamı, ceza mahkumiyeti gibi verileri de özel nitelikli veri kapsamındadır. Değişiklikle beraber sağlık verileri ibaresi özel nitelikli veriye dönüştürülerek bu kapsam genişletilmiştir. Ancak yönetmeliğin konusunu sağlık verileri oluşturduğundan söz konusu değişikliğin bu şekilde anlaşılması gerektiğini ifade etmeliyim.

Yönetmeliğin “Kişisel Sağlık Verilerinin Aktarılması” başlıklı 8. maddesinde yapılan değişiklikler

Maddenin değişikliğe uğrayan 1. fıkrasına göre; “Kişisel sağlık verileri, ancak Kanunun 8 inci ve 9 uncu madde hükümleri uyarınca aktarılabilir.”

2. fıkrasına göre ise; “Kişisel sağlık verileri, Kanunun 8 inci ve 9 uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak anonim hâle getirilmek suretiyle aktarılabilir.”

Her iki fıkrada da gerçekleştirilen değişiklikler anlam olarak bir farklılığa yol açmamıştır. Bu değişikliklerde hedeflenen 6698 sayılı Kanunda belirtilen hususları tekrarlamayıp; yalnızca Kanunun ilgili hükümlerini belirtmektir. Kişisel sağlık verilerinin hangi şartlarda aktarılabileceği ve hangi halde anonim hale getirmek gerektiği tekrar edilmemiş, bu konularda Kanunun esas alınacağını söylemekle yetinilmiştir.

Aynı maddenin, Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımının; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılacağına ilişkin 3. fıkrası yürürlükten kaldırılmıştır. Bu hususun kaldırılmasını 6698 sayılı Kanunun herhangi bir protokol öngörmemesiyle açıklıyorum. Zira daha üst bir norm olan Kanunda öngörülmeyen zorunlulukların yönetmelikle getirilmesi gerekli değildir. Kanun’da söz konusu aktarım için herhangi bir şekil şartı öngörülmemiş ve protokol şartı getirilmemişken; yönetmelik ile böyle bir zorunluluğun düzenlenmesi mevzuat açısından gerekli değildir. Ancak uygulama açısından bu işlemin yapılabilmesi için ayrıntılı bir protokol yapılmasının bir gereklilik olduğunu belirtmeliyim.

Maddenin 4. fıkrasında ise yönetmeliğin ilk halinde öngörülen Komisyon’un değerlendirme yapacağı durumlar belirtilmiştir. Ancak böyle bir komisyonun söz konusu olmaması nedeniyle yönetmeliğin tanımlar başlıklı maddesinden komisyon kavramı çıkarılmıştır. Dolayısıyla her ne kadar ilk halinde öngörülse de daha sonradan kaldırılan bu kavramın herhangi bir geçerliliği kalmadığından söz konusu fıkra da işlevsiz hale gelmiştir. Bu nedenle yürürlükten kaldırılması zorunluluğu doğmuştur. Her ne kadar Kişisel Verileri Koruma Kurulu varken böyle bir komisyona gerek olmadığı ifade edilebilecekse de, nasıl ki uyum süreci için özel tüzel kişilerde çeşitli adlar altında kurul ya da komisyonlar oluşturuluyorsa, Bakanlıkta da böyle bir komisyonun bulunmasının yerinde olacağını düşünmekteyim.

Yönetmeliğin “Kişisel Sağlık Verilerinin Silinmesi” başlıklı 9. maddesinde yapılan değişiklikler

Yönetmeliğin değişikliğe uğrayan 9. maddesinin 1. fıkrasına göre; “Kanun, bu Yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”

Fıkraya eski halinden farklı olarak “yok edilir” hareketi de eklenmiştir. Öncelikle bu fıkrada belirtilen silme, yok etme ve anonim hale getirme hareketlerinin birbirinden farklı olduğunu söylemek gerekir. Zira kavramlar benzerlik teşkil etmesi itibariyle karıştırılmakta ve akıllarda soru işareti bırakmaktadır. Bu karışıklık Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik ile büyük ölçüde giderilmiştir. Yönetmelikte kavramlar tek tek açıklanmış olup; farkları belirtilmiştir.

Fıkraya eklenen “yok edilir” ibaresiyle; silme, yok etme ve anonim hale getirmenin ne anlama geldiğini sırasıyla açıklayan kısaca imha yönetmeliği olarak adlandırdığımız yönetmeliğin 8, 9 ve 10. maddeleri; ayrıca kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişinin talebi üzerine kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğine ilişkin 6698 sayılı Kanunun 7. maddesiyle paralellik sağlanmıştır.

Maddenin 2. fıkrasında yer alan; “Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde veri bütünlüğü bozulmadan arşivlenir. Arşivlenen verilere bu amaçlar dışında erişim engellenir.” düzenlemesi yürürlükten kaldırılmıştır.

Söz konusu fıkranın kaldırılması gerekçesi olarak 6698 sayılı Kanunun, Genel İlkeler başlıklı 4. maddesinin 2. fıkrasının ‘d’ bendini göstermek gerekir. Buna göre; İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” kişisel verilerin işlenmesinde uyulması zorunlu ilkelerdendir. Bu bende göre; kişisel veriler zaten ilgili mevzuatta öngörülen veya gerekli olan süre kadar muhafaza edilebilmektedir. Dolayısıyla verinin saklanması gereken süre her bir verinin ve somut olayın şartlarına göre ilgili Kanunlarda belirtilmiştir.

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 10. maddesi ile getirilen değişiklikler

Yönetmeliğin 10. maddesiyle yönetmeliğin dördüncü bölümünün ilk halinde “Veri sahibi ve sorumlusu” olan başlık “İlgili kişi ve veri sorumlusu” olarak; beşinci bölümünün ilk halinde “Kişisel Sağlık Verileri Komisyonu ve Genel Müdürlük” olan başlık “Genel Müdürlüğün görevleri” şeklinde değiştirilmiştir. Bunlar da Kanuna uyumluluk çerçevesinde yapılan değişikliklerdir.

Yönetmeliğin “İlgili Kişi ve Veri Sorumlusu” başlıklı dördüncü bölümünün “İlgili Kişi” başlıklı 10. maddesinde yapılan değişiklikler

Maddenin “veri sahibi” şeklindeki başlığı “ilgili kişi” olarak değiştirilmiştir. İlgili kişi, verisi işlenen gerçek kişiyi ifade etmektedir. 6698 sayılı Kanun ile İmha Yönetmeliğinde bu şekilde kullanılan ifadenin Kişisel Sağlık Verileri Yönetmeliğinde de mevzuata uygun olarak değiştirilmesi kavram kargaşası yaşanmaması açısından yerinde bir değişiklik olmuştur. Buna paralel olarak madde metninde yer alan veri sahibi ibareleri kaldırılıp; yerine ilgili kişi ifadesi konulmuştur.

Yönetmeliğin “Veri Sorumlusu” başlıklı 11. maddesinde yapılan değişiklikler

Yönetmeliğin 11. maddesinin değişikliğe uğrayan kısmı 6. fıkrasıdır. Bu fıkrada yer alan “komisyon” yerine “kurul” kelimesi getirilmiştir. Komisyon’un yönetmeliğin ilk halinde öngörüldüğünü, bu sırada henüz Kurul’un göreve başlamadığını ancak daha sonra öngörülen Komisyonun uygulamada olmaması nedeniyle kaldırıldığını yukarıda ilgili bölümlerde açıkladım. Aynı açıklamalar bu fıkra açısından da geçerli olup; 11. maddedeki komisyon ifadesi kaldırılmıştır. Bunun yerine işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusunun bu durumu Kurula bildireceği, Kurula bildirimin düzenlendiği ilgili diğer hükümlerle uyumlu olarak belirtilmiştir.

Bunun yanında 6. fıkranın devamında bahsedilen, komisyonun gerekmesi halinde bu bildirimi Bakanlığın internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edeceğine ilişkin cümle kaldırılmıştır. Zira ilana ilişkin hüküm zaten 6698 sayılı Kanunun 12. maddesinin 5. fıkrasında yer almaktadır.

Yönetmeliğin “Kişisel Sağlık Verileri Komisyonu” başlıklı 12. maddesinde yapılan değişiklikler

Yönetmeliğin 12. maddesi bütün halinde yürürlükten kaldırılmıştır. Zira Komisyonun yönetmeliğin ilk halinde düzenlendiğini ancak yapılan değişiklik ile kaldırıldığını gerekçesiyle beraber yukarıda açıkladım. Buna paralel olarak da Komisyonun görevleri ve çalışma esasları gibi hususları düzenleyen 12. maddeye gerek kalmadığından madde haklı olarak tümüyle kaldırılmıştır.

Yönetmeliğin “Genel Müdürlüğün Görevi” başlıklı 13. maddesinde yapılan değişiklikler

Maddenin 1. fıkrasının ‘d’ bendinde yer alan “yetki” ibaresi “açık rıza” şeklinde değiştirilmiştir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Kanun ve ilgili düzenlemeler kişisel verilerin işlenmesinde veya aktarılmasında esas olarak ilgili kişinin açık rızasının varlığını aramıştır. Maddenin önceki halinde yer alan yetki ifadesi doğru bir kullanım olmadığı gibi; konuyla ilgili diğer düzenlemelere de uygun bulunmadığından paralel bir değiştirilmeye gidilmesi doğru olmuştur.

Yönetmeliğin “Merkezi sağlık veri sistemi” başlıklı 14. maddesinde yapılan değişiklikler

Bakanlıkça verilen yetki belgesine sahip, Bakanlıkça yayımlanan yazılım sürüm notlarına, yeni standartlara ve geliştirmelere uyumlu ve Bakanlık tarafından kullanılan sistemlere uyumlu yazılımların kullanılacağına ilişkin düzenlemenin yer aldığı maddenin üçüncü fıkrasında, bu yazılımları kullanacak kişi açısından değişiklik yapılmıştır.

Önceki halinde “Bu Yönetmelik kapsamındaki kişi ve kurumlar” olarak belirtilmesine karşın; yapılan değişiklikle “sağlık hizmeti sunucuları”nın bahsedilen yazılımları kullanacağı ifade edilmiştir. Yönetmeliğin kapsamındaki kişi ve kurumlardan ne anlaşılması gerektiği sorusunun kafaları karıştırmaması adına bu kişi ve kurumların somut olarak belirtilmiş olmasını olumlu bir değişiklik olarak görüyorum.

Yönetmeliğin “Kişisel sağlık kaydı sistemi” başlıklı 15. maddesinde yapılan değişiklikler

Maddenin ilk fıkrasında; isteyen her vatandaşın kendisine sunulan sağlık hizmetlerini takip edip bu sağlık kayıtlarını görüntüleyebileceğinden bahsedilmiştir. Önceki halinde bulunan “yönetebilir” ifadesi “görüntüleyebilir” şeklinde değiştirilmiştir.

Vatandaşın kendisine sunulan sağlık hizmetleri ile ilgili kayıtları yönetmesinden; o kayıtları görebileceği, değiştirebileceği, düzeltebileceği veya kendi kendine silebileceği gibi bir anlam çıkmaktaydı. Oysa ki, kişi bu kayıtlar üzerinde böyle bir yetkiye sahip değildir. Kullanıcı, eksik bilgi görmesi halinde bu bilgilerin eklenmesini, hataların düzeltilmesini veya kayıtların silinmesini istediği takdirde; bu taleplerini maddenin 5. fıkrasında da belirtildiği gibi talep yoluyla ilgili sorumludan yerine getirilmesini isteyebilir. Değişiklikten önce, anlaşılabileceği gibi söz konusu eylemleri kendisinin gerçekleştirmesi mümkün değildi. Böylece olası anlam kargaşasının yaşanması önlenmek istenmiş ve kullanıcının yalnızca kendisiyle ilgili tutulan kayıtları görüntüleyebileceği özellikle belirtilmiştir.

Maddenin 1. ve 3. fıkrasında geçen “yetki” ifadesi “açık rıza” olacak biçimde yönetmeliğin 13. maddesiyle paralel olarak değiştirmiştir. Yukarıda 13. madde için yaptığım açıklamalar bu fıkralar yönünden de geçerlidir.

Bu değişikliklerin yanında, maddenin ilgili kişinin kayıtlar üzerinde talep edebileceği hususları belirten 5. fıkrasında da değişiklik yapılmıştır. Fıkrada geçen “bu verileri silebilir” ibaresi yeni halinde yönetmelikten çıkarılmıştır. Kişinin kayıtları kendisinin silemeyeceğini, ancak silinmesini istediği takdirde bu talebinin sorumlu tarafından yerine getirilebileceğini aynı maddenin 1. fıkrası için yaptığım açıklamalarda belirttim. Kullanıcının böyle bir yetkisinin olmaması itibariyle söz konusu ibarenin çıkartılması yerinde olmuştur.

Yönetmeliğin “Yaptırım” başlıklı 17. maddesinde yapılan değişiklikler

Maddenin değişikliğe uğrayan 1. fıkrasına göre; “Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar bakımından Kanunun 17’nci maddesine göre işlem yapılır.”

İkinci fıkrasına göre ise; “Bu Yönetmelik gereklerinin, kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar tarafından yerine getirilmemesi hâlinde, Kurulun yapacağı bildirim üzerine disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. Özel hukuk gerçek ve tüzel kişileri hakkında Kanunun 18 inci maddesi uyarınca işlem yapılır.”

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)