KİŞİSEL SAĞLIK VERİLERİ VE KORUNMASI

Genel Olarak

Kişisel Sağlık Verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri ifade eder[1].

Sağlık verileri, 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve Veri Koruma Yönergesinde “tıbbi veri” olarak nitelendirilmiş ve hassas veri olarak kabul edilen tıbbi verilerin ancak üye devletlerin iç hukukunda gerekli güvenceleri sağlamaları koşuluyla işlenebileceği düzenlenmiştir. Avrupa Konseyi Bakanlar Komitesi’nin 1997 yılında yayınlamış olduğu Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararı’nda, “tıbbi veri”nin, bireyin sağlığıyla ilgili olan bütün kişisel verileri ve genetik verilerle açık ve yakın bağlantısı olan verileri de ifade ettiği belirtilmiştir.[2]

Kişisel Sağlık Verileri açısından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esaslar 30808 sayılı 21 Haziran 2019 tarihli Resmi Gazetede yayınlanan ve yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik (“Yönetmelik”) ile düzenlenmiştir. Bu yönetmelik kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı (“Bakanlık”) tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerini kapsamaktadır.

Sağlık Personelinin Verilere Erişimi

Yönetmelik, sağlık hizmeti sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceğini belirtmiştir.

e-Nabız hesabı bulunan kişilerin ise sağlık verilerine, kendi oluşturdukları gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları bakımından ayrıntılı şekilde bilgilendirilir. Yönetmelik e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanun’un 6. maddesinin üçüncü fıkrasında belirtilen kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sınırlı olmak üzere ancak;

a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,

b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,

c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,

ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,

erişilebilir.[3]

Yukarıda maddede belirtilen erişim kuralları Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6. maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilmeye açık bırakılmıştır. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gerekliliklerin sağlanacağı Yönetmelikte belirtilmiştir.

Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini seçen kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişim sağlanır.

Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Sağlık Bakanlığınca belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.

Hasta Hakları Yönetmeliği’nin 21. maddesi ise şu şekildedir: “Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın mahremiyetine saygı gösterilmek suretiyle icra edilir. Mahremiyete saygı gösterilmesi ve bunu istemek hakkı;

a) Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini,

b) Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,

c) Tıbben sakınca olmayan hallerde yanında bir yakınının bulunmasına izin verilmesini,

d) Tedavisi ile doğrudan ilgili olmayan kimselerin, tıbbi müdahale sırasında bulunmamasını,

e) Hastalığın mahiyeti gerektirmedikçe hastanın şahsi ve ailevi hayatına müdahale edilmemesini,

f) Sağlık harcamalarının kaynağının gizli tutulmasını, kapsar. Ölüm olayı, mahremiyetin bozulması hakkını vermez. Eğitim verilen sağlık kurum ve kuruluşlarında, hastanın tedavisi ile doğrudan ilgili olmayanların tıbbi müdahale sırasında bulunması gerekli ise; önceden veya tedavi sırasında bunun için hastanın ayrıca rızası alınır.”[4]

Türk Tabipleri Birliği Hekimlik Meslek Etiği Kuralları’nın 9. maddesi şöyledir: “Hekim, hastasından mesleğini uygularken öğrendiği sırları açıklayamaz. Hastanın ölmesi ya da o hekimle ilişkisinin sona ermesi, hekimin bu yükümlülüğünü ortadan kaldırmaz. Hastanın onam vermesi ya da sırrın saklanmasının hasta ya da öteki insanların yaşamını tehlikeye sokması durumunda, hastanın kişilik haklarının zedelenmemesi koşuluyla, hekim bu sırrı saklamakla yükümlü değildir. Yasal zorunluluk durumlarında hekimin rapor düzenlemesi de, meslek sırrının açıklanması anlamına gelmez. Hekim, tanık ya da bilirkişi olarak mahkemeye çağrıldığında olayın meslek sırrı olduğunu ileri sürerek bu görevlerinden çekilebilir.” şeklinde, 31. maddesi, “Hasta dosyalarındaki bilgilerin geniş bir özeti ile bilgi ve belgelerin örnekleri, isteği durumunda hastaya verilir. Hekim, yasal zorunluluk olmadıkça, bu bilgileri başkasına veremez. Hekim, hastanın kimlik bilgilerini saklı tutmak koşuluyla, bu bilgileri dosya üzerinden yapacağı araştırmalarda kullanabilir.”[5]

Devlet hastanesinde AIDS şüphesiyle test yaptırmak isteyen bir hastanın durumu hakkında hastane görevlileri tarafından basının hastaneye çağrıldığı, basının başhekimliğe geldiği, başhekimin bazı doktorları çağırarak basına bilgiler verdiği, basının hastanın odasına kadar çıkıp fotoğraflarını çekmesi ve ertesi gün sonuçlanan testlerden böyle bir hastalığı bulunmadığı anlaşılmasının bildirilmesine rağmen hastanın isim ve resimlerinin belirtilerek hastanın AİDS olduğuna ait haberlerin yayınlanması sebebiyle hastanın Sağlık Bakanlığı aleyhine açmış olduğu maddi manevi tazminat davasını kazanması üzerine, ödenen tazminatın hastanenin başhekimine rücuen açılan tazminat talebine ilişkin Yargıtay Hukuk Genel Kurulu’nun 4.4.2011 tarihli 2011/4-333 E., 2011/335 K. sayılı kararında “Davalı başhekimin basın elemanlarına henüz AİDS teşhisinin doğrulanmadığını bildirmiş olması, ertesi tarih sonuçlanan testlerden böyle bir hastalığı bulunmadığı anlaşılan hastanın isim ve resimlerinin belirtilerek AİDS olduğu yönündeki haberler, basında yer alan davalı resimleri ve belirtilen inceleme raporundaki olgular itibariyle davalının, kimliği gizli tutulması gereken bir hastalık şüphesi taşıyan hastanın basına afişe edilmesiyle sonuçlanan bu süreçte kusurlu davrandığını göstermektedir. Basın elemanlarının kendilerine verilen bilgilerden fazlasını yazmış olmaları davalının bu sorumluluğunu ortadan kaldırmaz” [6] denmek suretiyle bu hususa dikkat çekilmiştir.

Bakanlık Birimlerinin Verilere Erişimi

Sağlık verileri, sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilir. İlişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Sağlık Bilgi Sistemleri Genel Müdürlüğünden (“Genel Müdürlük”) bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.[7]

Genel Müdürlüğü tarafından yetkilendirilenler bu yetkiyi ancak, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.

Çocukların Sağlık Verilerine Erişim

Birleşmiş Milletler Çocuk Haklarına Dair Sözleşmeye göre çocuk verileri, çocuk sıfatını haiz, 18 yaşını doldurmamış kişilerin verileri anlamına gelmektedir.

Ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya gerek kalmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.

Anne ve babanın boşanması durumunda velâyet hakkı olmayan taraf, çocuk ile velinin faydası göz önünde bulundurulmak şartıyla kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişim sağlayabilir.

Sağlık Verilerine Hasta Yakınlarının Erişimi

Yönetmelikte konu ile ilgili şu şekilde bir hüküm bulunmaktadır ; “Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, 1/8/1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18. maddesinin üçüncü fıkrasına uygun hareket edilir.”[8]

Hükümde bahsedilen ilgili madde ise hastanın kendisinin bilgilendirilmesi esas olmasına rağmen hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi durumunda, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak şartıyla sadece bilgilendirilmesi istenilen kişilere bilgi verilir diyerek konuya açıklık getirmiştir.

Sağlık Verilerine Avukatların Erişimi

Yönetmelik uyarınca avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.

Ölünün Sağlık Verilerine Erişim

Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları her biri ayrı olarak yetkilidir. Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.

Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması

Gizlenmesi

Hakkında gizlilik kararı olan kişilere ait verilerin gizlenmesi için yargı makamları tarafından il sağlık müdürlüğüne müzekkere gönderilir ve gereği yerine getirilir. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır.

Düzeltilmesi

İlgili kişi, kendisi hakkında yanlışlıkla oluşturulan sağlık verilerinin düzeltilmesi amacıyla sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvuru yapar. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin yanlışlıkla oluşturulduğu bilgisine ulaşırsa resmi bir yazı ile Genel Müdürlüğe başvurur ve yanlışlıkla oluşturulan sağlık verisinin düzeltilmesini talep eder.

İmha Edilmesi

Yönetmelikte kişisel verilerin imha edilmesinde, Kanunun 7. maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edileceği belirtilmiştir.

Kanunun 7. Maddesi kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceğini, yok edileceğini veya anonim hâle getirileceğini hüküm altına almıştır.[9]

Yukarıda bahsedilen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine göre; “Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.”[10] İlgili yönetmeliğin 6. Maddesinde imha politikasının kapsamı şu şekilde belirtilmiştir:

“a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,

b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,

ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,

d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,

f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,

g) Saklama ve imha sürelerini gösteren tabloya,

ğ) Periyodik imha sürelerine,

h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.”[11]

Aktarılması

Yönetmelikte, kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8. maddesine, yurtdışına aktarımında ise Kanunun 9. maddesine riayet edileceği belirtilmiştir. Kanuna göre özel nitelikli veri sayılan kişisel sağlık verilerinin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Yönetmelikteki hüküm uyarınca “Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28. maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir. Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir.”[12]

Bilimsel Amaçlarla İşleme

Yönetmeliğin belirttiği üzere Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir. Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.

Veri Güvenliği

Veri güvenliğine ilişkin yükümlülükler konusunda Kanunda belirtilen genel hükümlere göre hareket edilir ve Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınır.

Kanuna göre “Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir”[13]

Özel nitelikli kişisel veri sayılan Kişisel Sağlık Verilerinin işlenmesinde ayrıca, Kanunun 6. maddesinin dördüncü fıkrası ile 22. maddesinin birinci fıkrasının (ç) bendi uyarınca Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edilir.

YAPTIRIM

Yönetmelikte korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17. ve 18. maddelerine göre işlem yapılacağı belirtilmiş olup bu maddelere göre 5237 sayılı Türk Ceza Kanununun Kişisel Verilerin Kaydedilmesi başlıklı 135. maddesi ve kişisel verileri silmeyen veya anonim hâle getirmeyenler için Verileri Yok Etmeme başlıklı 138. maddesine göre cezalandırılacaktır.

Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11. maddesinin üçüncü fıkrasına göre işlem tesis edilir.

Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde; Kanun ve ilgili ikincil düzenlemeler uygulanır. ^[14]

Av. Aslı TURHAN