SAĞLIK HİZMET SUNUCULARINDA KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ SIRASINDA GERÇEKLEŞEN HUKUKA AYKIRILIK HALLERİ

Son dönemlerde hem ulusal hem de uluslararası alanda kişisel verilerin korunması hukukuna ilişkin düzenlemeler sıklıkla karşımıza çıkmaktadır. Bu durum ise kişisel verinin korunması hukukunu önemli bir alan haline getirmiştir. Özellikle 24.03.2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu çalışmalara hız ve yoğunluk kazanmıştır.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verinin Kanundaki tanımı 'Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi' şeklindedir. Herhangi bir kişi ile ilişkilendirebildiğimiz her türlü bilgi, kişisel veridir. Ve Kanun'un yapılma amacı ve ruhu gereği kişisel verilerin korunması amacıyla Kanun'da koruyucu düzenlemeler yer almaktadır.

6698 sayılı KVKK 5. Maddesinde, kişisel verinin işlenme şartları düzenlenmiştir. İlgili kişinin, herhangi bir kişisel verisinin işlenmesi için kural olarak, ilgili kişinin açık rızası gerekmektedir. Rıza, kişisel verilerin işlenmesi konusunda kanunun aramış olduğu en önemli şarttır. Açık rızanın tanımı Kanunda 'Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza' şeklinde olup açık rıza kuralının istisnaları yine aynı madde 2. Fıkrada sayılmıştır. KVKK 5. Madde 2. Fıkrası, kişisel verinin işlenmesi için gerekli olan açık rıza halinin aranmadığı istisnai durumları düzenlemektedir.

a) Kanunlarda açıkça öngörülmesi halinde artık başkaca bir rıza şartı aranmaksızın kişisel veri işleme faaliyeti yasal sınırlar içerisinde gerçekleşecektir. 'Kanunda öngörülme' şartının en güncel örneği olan karar, Kişisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Kararıdır. Avukatların icra takip dosyalarındaki kişisel verilere vekâletname olmaksızın hukuka aykırı olarak erişim sağladığına ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılmasına ilişkin ihbarlar hakkında karar vermiştir. Kararda 2004 sayılı İcra ve İflas Kanunu ile 1136 sayılı Avukatlık Kanunu ilgili hükümlere atıf yapılmıştır. Bahse konu veri işleme faaliyetinin kanunda gösterildiği usul ve şekilde yapılıyor olması sebebi ile burada bir ihlal olmadığına hükmetti.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Elektronik ticaret sitesinden alışveriş yapan kişinin verilerinin 'ölçülülük' ilkesi doğrultusunda kargo firması ile paylaşılması durumudur.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. İşverenin, işçiye ait özlük dosyası düzenleme yükümlülüğü, bu istisnanın örneklerindendir.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. Veri sahibi ilgili kişi, herkesin erişebildiği kamuya açık mecralarda kişisel verilerini paylaştı ise artık bu verilerin işlenmesi için ayrıca bir açık rıza gerekmemektedir.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Halleri Kanunda, açık rızanın aranmadığı haller olarak düzenlenmiştir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Özeli nitelikli kişisel veri tanımı ve işleme şartları 6. Maddede düzenlenmiştir.

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Özel nitelikli verilerin işlenmesinde ilgilinin açık rızası kural olarak aranmaktadır. İlgili kişinin sağlık verileri ve cinsel hayat dışındaki bilgileri kanunda açıkça öngörülmesi halinde başka bir şeye ihtiyaç olmadan işlenebilmektedir. Sağlık ve cinsel hayata ilişkin veriler ise; kanunda sayılan şartlar dahilinde açık rıza olmadan işlenebilmektedir. 4. Fıkrada yer alan 'Kurul tarafından belirlenen yeterli önlemler' şartı Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı Resmi gazetede yayımlanmıştır. Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler ilgili karar ile düzenlenmiştir.

Kurul Kararında, özel nitelikli kişisel veri işleme faaliyeti için ayrı bir politika ve prosedürün oluşturulmasını aramaktadır. Bununla birlikte kararda, veri işleme faaliyeti sırasında veriye temas eden çalışanlara yönelik birtakım kıstaslar oluşturulmuştur. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamalar ilişkin önlemler belirlenmiştir. Kararda ayrıca veri aktarımı konusunda ne şekilde gerçekleştirilmesi gerektiği düzenlenmektedir.

Kararda detayları ile belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ

Kişisel sağlık verileri, nitelikleri itibariyle özel (hassas) nitelikli veri kategorisinde yer almakta olup bir önceki maddede sayılan istisnai haller, özel nitelikli verilerde bulunmamaktadır. Kanun, özel nitelikli kişisel verilerin işlenme şartları için daha sıkı koşullar belirlemiştir. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı burada belirleyicidir.

İlgili kişinin sağlık bilgisi, özel nitelikli veri olması yanında kişisel sağlık verisidir. Bu hali ile de ayrıca bir koruma mekanizmasına dahildir. Kişisel sağlık verilerinin işlenmesinde tüm bu kıstasların yanında 20 Ekim 2016 tarihli Resmi Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik uygulanır.

Sağlık hizmeti sunucularında görev yapan kişiler bakımından bu yönetmelik ile sınırlayıcı birçok hüküm getirilmiştir. Kişisel sağlık verisi işleme faaliyetinin hangi ilke ve esaslar altında gerçekleşeceğine ilişkin hüküm yönetmeliğin 5. Maddesi olup, genel ve toparlayıcı bir düzenleme niteliğindedir.

Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik 5. Madde sağlık mesleği mensubu kişilerin, kişisel sağlık verilerini işlenmesi sırasında uyması gereken ilke ve esasları tanzim eder. Nitekim genel ilkeler Yönetmelik 5. Madde 2. Fıkrasında düzenlenmiştir.

(2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme. şeklindedir.

Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik 5. Madde 3. Fıkrası 'Sağlık hizmet sunucularında görevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir.' şeklindedir. Yönetmelik ile getirilen düzenleme, kişisel veriler hukukunda aranan ölçülülük ilkesinin bir görünümüdür. Verilen sağlık hizmeti dışında ilgili kişiden veri alınarak işlenmesi hukuka aykırılık oluşturup sorumluluk doğuracaktır.

Aynı yönetmeliğin 5. Maddesinin 4. Fıkrası; sağlık hizmeti sunucularına sır saklama yükümlülüğü getirmektedir. Madde metni 'Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.' şeklindedir. Sağlık hizmeti sunulması sırasında görev yapan çalışanın, hastanın kişisel sağlık verilerini saklaması Türk Tabipler Birliği tarafından kabul edilen Hekimlik Meslek Etik Kuralları içinde hekimin sır saklama yükümlülüğünü ile birlikte değerlendirilir.

Madde 9: Sır Saklama Yükümlülüğü

“Hekim, hastasından mesleğini uygularken öğrendiği sırları açıklayamaz. Hastanın ölmesi ya da o hekimle ilişkisinin sona ermesi, hekimin bu yükümlülüğünü ortadan kaldırmaz.

Hastanın onam vermesi ya da sırrın saklanmasının hasta ya da öteki insanların yaşamını tehlikeye sokması durumunda, hastanın kişilik haklarının zedelenmemesi koşuluyla, hekim bu sırrı saklamakla yükümlü değildir.

Yasal zorunluluk durumlarında hekimin rapor düzenlemesi de, meslek sırrının açıklanması anlamına gelmez.

Hekim, tanık ya da bilirkişi olarak mahkemeye çağrıldığında olayın meslek sırrı olduğunu ileri sürerek bu görevlerinden çekilebilir”

Kişisel sağlık verisinin işlenmesi sırasında hekimin hem kişisel veri hukukundan hem de meslek etik kuralları gereği sır saklama yükümlülüğü vardır. Sır saklama yükümlülüğünü ihlal eden sağlık mesleği mensubu hasta mahremiyetini de ihlal etmiş olacaktır.

Yönetmeliğin 5. Maddesinin 5. Fıkrası sağlık mesleği mensubu kişiler için bir sınırlama getirmektedir. Sağlık hizmet sunucularında veri işleyen kişiler, kişisel sağlık verilerini sağlık hizmet sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri ile Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri dışında hiçbir yere kopyalayamaz veya kaydedemez. Kişisel sağlık verisi işleme faaliyeti her hali ile hukuka uygun olsa dahi, veriyi ülke genelinde hizmet vermek amaçlı kurulan sistem dışında kaydedemez. Sağlık hizmet sunumunda görev yapan personelin, kişinin verisini kendi defterine, telefonuna vs yönetmeliğin yasakladığı bir ortama kaydetmesi ya da aktarması sorumluluk doğuran bir fiildir. Nitekim Kurul tarafından sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” verilen bir kararda;

Sağlık hizmet sunumunda görev yapan personel bakımından işbu yönetmelikte yer almayıp KVKK 4. madde ile getirilen yükümlülükler de devam etmektedir. Yönetmelikle getirilen yükümlülüklerin ihlali halinde uygulanacak yaptırımlara ilişkin olarak Yaptırım kenar başlıklı 17. Madde düzenlenmiştir.

Yaptırım

MADDE 17 – (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.

(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Özel hukuk kişileri hakkında ilgili mevzuata göre işlem yapılır.

Kişisel veri ihlalinin suça konu fiil oluşturması halinde 5237 sayılı TCK maddelerine gidilmektedir. TCK 135-140 maddelerinde; kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etme suçları düzenlenmiştir. Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesi halinde, TCK hükümleri ile suç olarak belirlenen fiillerden birinin maddi unsuru oluştu ise; çalışanın aynı zamanda TCK bağlamında sorumluluğu doğmaktadır. Veri ihlali yapan çalışan ya da veri sorumlusunun ceza hukukundan doğan sorumluluğu; kişinin kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapıyor olması sonucu etkilemeyecektir. Kişisel verinin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etme suçları halinde, fail yönünden kanunda bir ayrıma gidilmemiştir.

Sağlık hizmeti sunulması sırasında görevli çalışan, kişisel verilere ilişkin ihlali TCK 135-140 haricinde şartları oluşmuşsa görevi kötüye kullanma fiili oluşabilir. Ancak burada sağlık hizmeti veren çalışanın kamu görevlisi olup olmaması önem arz etmektedir. Nitekim TCK 138. Maddesinde nitelikli haller arasında kişisel verilere karşı suçun Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, işlenmesi nitelikli hal olarak sayılmıştır. O halde; kamu görevlisi olan ve sağlık hizmeti sunulması sırasında görevli olan personel kişisel sağlık verilerinin işlenmesinde hukuka aykırı fiillerde bulunursa; burada sadece kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etme suçlarının nitelikli halinden bahsedilir. Ve bu fail yönünden bu suç, görevi kötüye kullanma suçunun özel bir görünümü halini alacaktır.

6698 sayılı KVKK 18. Maddesinde kişisel veriler hukukunda kabahat olarak düzenlenen fiiller sıralanmıştır. Aydınlatma yükümlülüğünü yerine getirmemek, veri güvenliğini ilişkin yükümlülükleri yerine getirmemek, Kurul kararlarını yerine getirmemek, VERBİS'e kayıt yükümlülüğünü yerine getirmemek kabahat olarak düzenlenmiştir. Yükümlülüklerin ihlali halinde idari para cezaları yaptırım olarak belirlenmiş olup bu yaptırımların sadece gerçek kişiler ile özel hukuk tüzel kişilerine uygulanacağı düzenlenmiştir. KVKK'da düzenlenen kabahatlere ilişkin olarak fail yönünden bir ayrıma gidilmemiş olsa da yaptırım yönünden kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar ayrılmıştır. Bu durumda, kişisel sağlık verilerinin hukuka aykırı işlenmesi halinde meydana gelen bir kabahatte sadece gerçek kişiler ve özel hukuk tüzel kişileri yönünden idari para cezasına hükmedilecektir. Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesi sağlık hizmetini kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.

Sağlık hizmet sunumunda görev yapan personelin, kişisel sağlık verisini hukuka aykırı olarak işlemesi sırasında meydana gelen zarar bakımından ilgili kişinin tazminat haklı saklıdır. Aynı zamanda TCK'dan doğan sorumluluk devam etmektedir. Görevin ifası sırasında gerçekleşen ihlalde, veri işleme faaliyetini gerçekleştiren görevli kamu görevlisi ise, burada kişisel veri ihlalinin nitelikli halinden bahsedilir. Ve bu fiil görevi kötüye kullanmanın başka bir görünümü olarak karşımıza çıkar. Eğer veri işleme faaliyetini gerçekleştiren çalışan özel hukuk çalışanı ise ve şartlar oluştu ise ayrıca görevi kötüye kullanma suçundan da bahsedilebilir.

KVKK'da düzenlenen suçlar ve kabahatler yönünden, veri işleme faaliyetini gerçekleştiren kişinin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde çalışıyor olmasına göre ikili bir ayrıma gidilir. Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde görev yapan sağlık hizmeti sunucu çalışanı hakkında idari para cezası verilmez. İşbu durumda Kişisel Verilerin Korunması Kurulu'nun yapacağı bildirim üzerine görevli çalışanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. KVKK'da düzenlenen kabahat faili gerçek kişi ya da özel hukuk tüzel kişisi ise hakkında idari para cezası verilebilecektir.