Kişisel verilerin önemi bilişim ve iletişim teknolojilerinin gelişmesi ile artık daha ön plandadır. Özel nitelikli veri olarak nitelendirilen sağlık verilerinin hukuka aykırı olarak işlenmesi diğer verilere göre ilgili kişi bakımından daha ciddi zararlar ortaya çıkmasına neden olabilmektedir. Elektronik sağlık sistemlerinde yer alan hasta ve tedavi verileri, kayıtların elektronikleşme süreci içerisinde dijital ortama taşınmasıyla veri güvenliği riskleri, veri istismarları ve ekonomik tehditler de ortaya çıkmıştır.
Sağlık verileri, bireyin sağlıklı olduğuna ilişkin bilgileri içerdiği gibi bireyin ölümüne ilişkin bilgileri de içerebilir. Ancak, hastane, poliklinik, dispanser gibi sağlık verisi toplayan çeşitli bilgi sistemlerinde yer alan bu verilerin hangi amaçlarla, hangi durumlarda ve nasıl kullanılacakları konusunda yeterli denetim mekanizmalarının olmaması, kişinin kendi verisi üzerindeki erişimleri kontrol etmesini zorlaştırmakta ve veri mahremiyetinin korumasına yönelik endişelerin ortaya çıkmasına da neden olmaktadır. Zira özel hayatımızın bir parçasını oluşturan kişisel verilerimiz bu dijital ortamlarda toplanmakta, işlenmekte ve paylaşılmaktadır. Veri sahibi ise sağlık sistemindeki bir aktör olarak, kişisel verisinin mahremiyetini ve güvenlik önlemlerini tamamen diğer paydaşlara bırakmamalı ve sürecin hukuki doğrultuda ilerlediğinin takibini yapabilmelidir.
Kişisel Sağlık Verisi
Kişisel Verilerin Korunması Kanunu’nda “Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi.” olarak tanımlanan kişisel veri, bireyin şahsi, mesleki ve ailesine ilişkin özelliklerini gösteren, o bireyi diğer bireylerden ayırmayı ve niteliklerini ortaya koymayı sağlayan her türlü bilgiyi ifade eder.
Özel nitelikli veri ise uluslararası pek çok düzenlemede farklı bir veri türü olarak kabul edilmiş olup, kişisel verilerin daha fazla korunması gereken bir alt kümesidir. Kanun koyucu, veri sahibinin öğrenilmesini istemeyebileceği, öğrenilmesi halinde ise kişileri ayrımcılık ile karşı karşıya bırakabilecek ve mahrem alanlarını açığa çıkaracak verileri özel olarak korumuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Görüldüğü üzere kişisel sağlık verisi kavramı, kişisel veri kavramı içinde yer almaktadır. Kişisel sağlık verisi, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 1/j maddesinde; kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlanmıştır. Dünya Hekimler Birliği Hasta Hakları Bildirgesi ise kişisel sağlık verilerini kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgiler olarak ele almaktadır. Buna göre kişinin sağlık durumu, kullandığı ilaçlar veya hastalığı gibi sağlığına ilişkin bilgilerin yanı sıra, hizmet aldığı sağlık birimi ve uygulanan herhangi bir tedavi aşaması bilgisi de sağlık verisi olarak kabul edilir.
Sağlık Sektöründe Veri Sorumluları
Kişisel Verilerin Korunması Kanunu’na göre eczaneler, özel hastaneler, muayenehaneler, diş poliklinikleri, laboratuvarlar, psikologlar, diyetisyenler, rehabilitasyon ve fizik tedavi merkezleri, diyaliz merkezleri, reçete karşılığı medikal ürün satışı gerçekleştirenler ve optikler birer veri sorumlusudur ve bu kanuna göre yükümlülükleri bulunmaktadır. Bu gibi sağlık hizmeti sunucularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Örneğin, doktor kontrolünde ilaç kullanan kişinin sağlığıyla ilgili özel nitelikli kişisel verilerin, ilaçları temin ettiği eczane tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılması ilgili kanuna aykırılık teşkil edeceğinden veri sorumlusu eczane hakkında idari para cezası uygulanabilecektir.
Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz. Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır. Veri sorumluları tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygulamalı ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri almalıdır.
Kişisel Verilerinin İşlenmesi
Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesi “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmaktadır.
Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Kişisel sağlık verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Buna göre, sağlık ve cinsel hayata ilişkin verilerin işlenmesiyle ilgili olarak birincil koşul olan kamu sağlığının korunması koşulu gerçekleşmiş olduğunda, ilgili kişilerin sağlık verileri ancak sır saklama yükümlülüğü olan hekimler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir. Ancak yukarıda belirtildiği gibi kişinin açık rızası varsa bu iki şarta gerek olmaksızın kişisel sağlık verileri işlenebilmektedir.
Açık Rıza
Açık rıza KVKK 3. maddesi tanımlar kısmında; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” şeklinde açıklanmıştır. Madde gerekçesinde “Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.” diyerek tanımın yönergeye dayandığı belirtilmiştir.
Özellikle belirtmek gerekir ki açık rızanın geçerli olabilmesi için rızanın belirli bir konuya ilişkin olması gerekir. “Verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu bir rıza kanun anlamında açık rıza olarak kabul edilmeyecektir. Ayrıca kişinin rıza gösterdiği konu, işlemenin amacı ve süresi hakkında anlaşılır bir şekilde ve yeterli düzeyde bilgilendirilmesi gerekir. Ve rıza ilgilinin özgür iradesine dayanmalıdır. Özgür iradenin söz konusu olabilmesi için kişinin hiç kimsenin etkisinde olmaması, gerçek anlamda seçim hakkı olması gerekir. Örneğin hekim hasta ilişkisinde, hastanın beyanını alan hekim, hastanın verilerin işlenmesine rıza vermemesi durumunda tedavisinin bundan etkilenmeyeceğini belirtebilir.
Kanunlarda Açıkça Öngörülme
Buna şarta göre Kişisel Verileri Koruma Kanunu dışında olsa dahi kişisel verilerin işleneceğine ilişkin açık yasa hükmü olması halinde kişisel veriler işlenebilecektir. KVKK madde gerekçesinde de bu duruma örnek olarak “kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi ” örnekleri verilmiştir. Bu madde gereği ilgili kişinin rızası olması şartı aranmayacaktır.
Kurul’un yayınlamış olduğu bir başka metinde sağlık iletişim ve lokasyon verisinin salgının yayılımın önüne geçilmek ve kamu güvenliğinin sağlanması amacıyla işlenebileceğini açıklamıştır. Aynı şekilde kurulun 31.01.2018 tarihli 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Konulu kararı da bu olağanüstü dönemde veri işlenme aşamasında gözetilmelidir.
Bunların yanı sıra şirketlerde sağlık verisini işleyecek yeterli iş hekimin bulunmadığı veya işyeri hekimi bulunmayan işyerlerinde sağlık verisi teşkil eden ateş ölçünü veya termal kamera kullanımında özel güvenlik personelinin de yetkili olduğuna dair Emniyet Genel Müdürlüğü bir yazı yayınlamıştır. Yazı içeriğinde bu dönemle sınırlı olmak üzere özel güvenlik görevlilerinin bu verileri elde etmede yetkili olduklarını ve bu dönem için makul bir uygulama sayılması gerektiğine yer verilmiştir.
Kişisel Sağlık Verilerinin Toplanması
Kişisel Sağlık Verilerine Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, özel, devlet, eğitim ve araştırma veya üniversite hastaneleri, poliklinikler, eczaneler, sigorta firmaları, adli ve idari kolluk makamları, Milli İstihbarat Teşkilatı ve Emniyet Müdürlüğü erişebilmektedir.
Bu kapsamda hepsinin yasal dayanağı bulunmakta olup Kanun’a aykırı bir durum teşkil etmemektedir. Örneğin Sağlık Bakanlığı Bakımından 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun (3/f) maddesinin, “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” hükmü ve 1 No’lu Cumhurbaşkanlığı Kararnamesinin, “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 378 inci maddesinin birinci fıkrasının, “Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir” hükmü (10) gereğince, yine aynı maddenin ikinci fıkrasında öngörülen amaçlarla kişisel sağlık verileri Sağlık Bakanlığınca toplanmaktadır.
Veri Sorumlularının Yükümlülükleri
6698 sayılı Kanunla veri sorumlusuna kişisel verileri işlerken birtakım yükümlülükler getirilmiştir. Bu yükümlülükler başlıca; aydınlatma yükümlüğü, veri güvenliğine ilişkin yükümlükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması, Kurul kararlarının yerine getirilmesi yükümlülüğü, VERBİS’e kaydolma yükümlüğü ve veri ihlali durumunda Kurul’a bildirim yapma yükümlüğüdür.
Burada farklılık arz eden iki durum bulunmaktadır. Öncelikle dikkat edilmelidir ki VERBİS’e kayıt yükümlülüğü kapsamında yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 25 milyon TL'den fazla olan işletmelerin sorumlu olması sağlık hizmet sunucuları olan veri sorumlularını bağlamamaktadır. Çünkü bu kriter ana faaliyet konusu özel nitelikli kişisel veri olmayan işletmeler için geçerlidir. Dolayısıyla yukarıda veri sorumlusu olarak nitelendirilen tüm işletmelerin VERBİS’e kayıt yükümlülüğü bulunmaktadır. Ancak Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından 16.01.2020 tarihinde yapılan açıklama uyarınca kamu hastaneleri, aile hekimlikleri, halk sağlığı ve toplum sağlığı merkezleri bakımından Sağlık Bakanlığı’nın tek bir veri sorumlusu olarak kabul edileceği ve VERBİS’e kayıt yükümlülüğünün Bakanlık adına Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yerine getirileceği ifade edilmiştir. Yani bu kurumların ayrıca VERBİS’e kayıt yükümlülüğü bulunmamaktadır.
Kişisel Verileri Koruma Kurulu, 31.01.2018 tarihinde vermiş olduğu kararla özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemleri belirtmiştir. Kişisel sağlık verileri de bu kapsamında bulunduğundan aşağıdaki önlemler özellikle dikkate alınmalıdır:
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekir.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik düzenli eğitimler verilmesi, çalışanlar ile gizlilik sözleşmesi imzalanması, erişim yetkisi olan kullanıcıların yetki kapsam ve sürelerinin net olarak tanımlanması, yetki kontrolü ve gerekiyorsa yetki kaldırma işlemlerinin gerçekleştirilmesi gerekir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği, ve/veya erişildiği ortamlar elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise; verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekir.
- Özel nitelikli kişisel veriler aktarılacak ise; verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
Kişisel Sağlık Verilerinin İhlali Halinde Veri Sahibinin Hakları
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
İlgili kişi taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletebilir.
Başvuruda ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve talep konusunun bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır; başvuru ya gerekçesini açıklayarak reddedilir ya da talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.
Kişisel Verileri Koruma Kurumu’na Şikayet Usulü
Veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemesi hallerinde, veri sorumlusunun cevabı öğrenildiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunulabilir. KVKK 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurum’a intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır. Başvurular KVKK Şikayet Modülü üzerinden yapılmakta ve takip edilmekte olup e-devlet üzerinden erişim sağlanabilmektedir.
Hasta Hakları Birimine Başvuru
Hasta Hakları Yönetmeliği madde 42 vd. maddelerinde hakkı ihlal edilen hastanın ve hasta ile ilgili bulunanların mevzuat çerçevesinde her türlü müracaat, şikâyet ve dava hakkı olduğu belirtilmiştir. Mahremiyet hakkının ihlal edildiğini düşünen hasta, sağlık personeli hakkında hasta hakları birimine başvurabilecektir. Hasta Hakları Yönetmeliği’ne göre, il sağlık müdürlüğü; üniversite hastaneleri, özel sağlık kurum ve kuruluşları, kamu hastaneleri, ağız diş sağlığı merkezleri, aile sağlığı merkezleri ve toplum sağlığı merkezlerinde hasta hakları başvurularını yürütmek amacıyla hasta hakları birimlerinin oluşturulacağı düzenlenmiştir. Birim sorumlu kişi öncelikli olarak başvuruyu yerinde çözmeye çalışır, mağduriyetini giderir ve başvuran kişiye gerekli açıklamayı yapar. Yapılan işlem sonuca ulaşamadığında, ilgili sağlık biriminin başhekim/yöneticisinin de imzasıyla, şikâyet edilen personel/birimden 7 gün süre verilerek bilgi istenir. Başvurunun birime geldiği tarihten itibaren 10 gün için gerekli bilgi, belgeler HBBS’ye yüklenerek, il sağlık müdürlüğünce kurulan Hasta Hakları Kurulu’na gönderilir. Kurul başvurunun tarafına ulaştığı tarihten itibaren 30 gün içinde karar vermek zorundadır. Kurul yaptığı değerlendirmede hasta hakları uygulamalarına veya etik ilkelere aykırı durum belirlerse ihlal kararı verir.
Genel Hükümlere Göre Talep Hakları
Kişisel sağlık verilerinin ve hasta mahremiyetinin gizliliğinin ihlalinde Kişisel Verileri Koruma Kanunu ve Hasta Hakları Yönetmeliği ilgili genelge uyarınca idari başvuru yolları haricinde medeni hukuka özgü yargı yolları da söz konusudur. KVKK m.11/ğ’de; “Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme”, ve m.14/3’ te; “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır” diyerek genel hükümlere ait taleplere gönderme yapılmıştır. Böylelikle TMK’nın kişilik haklarına saldırı için önerdiği hukuki yollara müracaat edilebilir.
Buna göre öncelikle 3. kişiler tarafından gerçekleştirilen ihlal hali hala devam ediyorsa saldırının önlenmesi davası açılabilir. Saldırı sona ermiş ise saldırının varlığını belirlemek amacıyla tespit davası açılabilir. Tespit davası ile birlikte düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanmasını da istenebilmektedir.
Manevi tazminat davası da; TMK m.25’te öngörülen bir dava yolu olup veri ihlalinin zarar görende meydana gelen acı ve üzüntüleri azaltacağından tatmin fonksiyonuna da sahiptir. Belirtmek gerekir ki veri ihlali nedeniyle kişinin malvarlığında bir azalma söz konusu olup, rıza dışı bu azalma ile zarar verenin kusurlu eylemi arasında uygun illiyet bağı bulunuyorsa maddi tazminat davası da açılabilecektir.
Ayrıca kişisel veri ihlalinde bulunan kişi bu saldırısı nedeniyle bir takım kazançlar elde etmiş ise ve böylece malvarlığında bir artış meydana gelmiş ise vekaletsiz iş görme hükümleri uyarınca zarar gören kişi bu kazancın kendisine ödenmesini de isteyebilir.
Sağlık hizmeti sunucularının veri güvenliğini sağlayamamaları sebebiyle veri ihlallerinden zarar gören kişiler de; bu mercilere karşı maddi ve manevi tazminat davası açabilirler. İhlalde çalışanlarının kastı veya (ağır) ihmali varsa bu durumda cezai ve idari yaptırımlar da gündeme gelecektir.
Av. Nagihan Merve Akaslan
İstanbul Barosu
KAYNAKÇA
Kişisel Verileri Koruma Kanunu
Kişisel Sağlık Verileri Hakkında Yönetmelik
Dülger, Murat Volkan, “Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti” İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 1 (2), 2015; 43-80
Kandilli, Elif, “Sağlık Hukukunda Etik Açısından Kişisel Veriler Ve Mahremiyet Hakkı”, Yüksek Lisans Tezi, İstanbul 2019
Olca, Emre & Can, Ozgu. (2014). Ulusal ve Uluslararası Yönetmeliklerde Kişisel Sağlık Verisi Mahremiyetinin Korunması.
Orak, Beşir, “Kişisel Sağlık Verilerinin Korunması”, Yayımlanmamış Yüksek Lisans Tezi, Ankara 2019
Yüksel, Gürbüz. “Kişisel sağlık verilerinin hukuki korunması”. Sağlık Akademisyenleri Dergisi 6 (2019 ): 1-10
