Teknolojinin gelişmesine, kullanım alanının yaygınlaşmasına bağlı olarak kişilerin özel bilgilerine ulaşma imkanı kolaylaşmaktadır. Kişilerin ise kendilerine ait bilgilerin gizliliğini sağlama yönünde yeterli çaba sarf etmedikleri gerçeğinin yanında bireysel olarak yalnızca belirli düzeyde koruyabilecekleri de aşirkardır. Bu noktada kişilere ait bilgiler temek haklar kategorisinde, özel hayatın gizliliği kapsamında değerlendirilmekte, devlet otoritelerinin de bu verileri koruma yükümlülüğü doğmaktadır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu 24/03/2016 Tarihinde kabul edilmiştir. Kişisel Verilerin Korunması Kanunu’ nun 3/1-d bendinde kişisel verinin tanımına yer verilmektedir. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kanuna göre bir bilgi belirli bir gerçek kişiye aitse ya da o bilgi ile gerçek kişinin kim olduğu belirlenebiliyor ise kişisel veri olarak nitelendirilmektedir. Kişilerin ırkı, etnik kökeni, kılık kıyafeti, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, genetik verileri kişisel verilerdendir.
Kişisel sağlık verileri, kişisel verilerin bir alt başlığı olarak karşımıza çıkmaktadır. Kişisel sağlık verileri ise kimliği belirli veya belirlenebilir bir kişiye ait her türlü sağlık bilgisini ifade etmektedir. Kişisel sağlık hizmeti, sağlık hizmeti sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişileri tarafından sunulmaktadır. Sağlık hizmeti sunucuları, Sağlık Bakanlığı’ nın ve Kişisel Verileri Koruma Kurulu’nun belirlemiş olduğu standartlara uygun elektronik kayıt sisteminin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından ayrıca elektronik sağlık kayıtlarının merkezi sağlık sistemine aktarılmasından sorumludur. Sağlık hizmeti sunucularında veri işleyen kişiler, kişisel sağlık verilerini sağlık hizmeti sunucularının sistemleri ile Sağlık Bakanlığı’ nın ülke genelinde hizmet vermek amacıyla kurduğu sistemlere kopyalayabilir veya kaydedebilir. Sağlık hizmeti sunucuları bu sistemler dışında hiçbir yere kopyalayamaz ve kaydedemez. 30808 Sayılı Kişisel Sağlık Verileri Hakkında Yönetmelikte bahsedilen sistemlerden birisi e- Nabız’dır.
E-Nabız; Sağlık kuruluşlarından toplanan kişisel sağlık verilerinin gerek vatandaşlara gerekse de yetkili sağlık personeline sunulduğu platformdur. E-Nabız adlı sisteme vatandaşlar E-Devlet vasıtasıyla T.C kimlik numaraları ve E-Devlet şifresi ile erişim sağlayabilmektedir. E-Devlet Şifresi bulunmayan vatandaşlar ise Sağlık Bakanlığı’na kayıtlı Aile Hekimine cep telefon numarasının kaydını yaptırmakta ve cep telefonuna gelen tek kullanımlık kod ile sisteme giriş yapabilmektedir. E-Nabız’da yer alan kişisel sağlık verileri, sistemin aktif hale getirilmesinden sonra vatandaşa ait teşhislerin, tahlillerin, tıbbi görüntülerin, yazılan ilaçların vs. sağlık hizmeti veren sağlık kuruluşları tarafından sisteme gönderilmesi ile oluşturulmaktadır. Bu bilgilere yalnızca vatandaşlar, vatandaşların yetkilendirdiği hekimler ve sistemde yer alan paylaşma seçeneğiyle vatandaşın geçici ya da sürekli olarak kişisel sağlık verilerini paylaşmasına izin verdiği kişiler ulaşmaktadır. Yalnızca şifre ile girişin mümkün olduğu bu sistem ile Sağlık Bakanlığı kişisel sağlık verilerindeki gizliliği korumaktadır.
E-Nabız sistemi dışında Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğü tarafından sağlık kuruluşlarına gönderilen yazı ile de kişisel sağlık verilerinin gizliliği sağlamaya çalışılmaktadır. İlgili yazıda ‘ Hastanın açık rızası olmadan, hastalığı ve tedavi süreci ile ilgili herhangi bir bilginin paylaşılması, başkalarına verilmesi mümkün değildir. Bu itibarla, avukata verilen vekaletnamelerde bile bu hususta açıkça yetki verilmiş olunmalıdır. Yani, avukatın hastaneden hasta bilgilerini ve dolayısıyla hasta dosyasından suret alınabilmesi için özel yetki verilmiş olunmalıdır. Avukata verilen bu yetkinin avukattan başkası tarafından kullanılması, hukuken mümkün değildir.’ Denilmekte ve kişisel sağlık verilerini korumanın önemi bir kere daha tekrarlanmaktadır.
Kişisel sağlık verilerini işleyen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır. Kişisel sağlık verilerinin kanunda belirtilen şartlar dışında kullanılması, hukuka aykırı olarak işlenmesi yalnızca Kişisel Sağlık Verilerinin Korunması Kanununa muhalefeti oluşturmamakta; ayrıca anayasa ile düzenlenen özel hayatın gizliliğini ihlal sonucunu da doğurmaktadır.
Kişisel sağlık verilerinin hukuka aykırı olarak elde edilmesi ve işlenmesinin cezası ise Kişisel Sağlık Verilerinin Korunması Kanunu’ nun suçlar başlıklı 17. Maddesinin 1. Fıkrasında düzenlenmiştir. Maddeye göre 5237 Sayılı Türk Ceza Kanunu’ nun 135 ile 140. Maddelerinde belirtilen kişisel verilere ilişkin suçlar hükümlerinin uygulanacağı belirtilmektedir. Bu suçlar kişisel verilerin kaydedilmesi suçu, verileri hukuka aykırı olarak verme veya ele geçirme suçu, verileri yok etmeme suçudur. Kişisel sağlık verilerinin kaydedilmesi suçu ise kişisel verilerin kaydedilmesi suçundan daha ağır cezayı gerektiren bir suçtur. Ayrıca Kişisel Sağlık Verilerinin Korunması Kanunu’ nun 18. Maddesine göre kabahat oluşturan fiiller sonucunda idari para cezasına hükmedilmektedir. Kişisel Sağlık Verileri Hakkında Yönetmeliği göre yönetmeliğin gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılmakta ve varsa yetkileri iptal edilmektedir.
