Hem Avrupa Birliği Genel Veri Koruma Yönetmeliği ("GDPR") hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu "(KVKK") kapsamında özel nitelikli kişisel veriler kategorisinde sayılan sağlık verilerinin toplanması ve işlenmesi, sağlık verilerinin niteliği gereği oldukça hassas bir süreç gerektirmektedir. Bu kapsamda, Sağlık Bakanlığı ("Bakanlık") tarafından 20.10.2016 tarihli Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik çıkarılmış ancak Danıştay tarafından söz konusu yönetmeliğin yürürlüğü durdurulmuştur. Yine aynı şekilde, Bakanlık tarafından çıkarılan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik de Danıştay tarafından aynı yaptırıma tabi tutulmuştur.

Bu gelişmelerin ardından uzun süredir beklenen Kişisel Sağlık Verileri Hakkında Yönetmelik ("Yönetmelik") 21.06.2018 tarihli ve 30808 sayılı Resmi Gazete'de yayınlanarak yürürlüğe girmiş ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yürürlükten kaldırılmıştır. Yönetmelik'in amacı KVKK hükümleri kapsamında, Bakanlığın merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektir.

Yönetmelik, kişisel sağlık verisi işleyen hem özel hukuk gerçek ve tüzel kişilerinin hem de kamu hukuku tüzel kişilerinin, Bakanlık tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerine uygulanacaktır.

Tanımlar

Öncelikle belirtmek gerekir ki, Yönetmelik ile beraber önceki ikincil mevzuatta bulunmayan bazı yeni tanımlara yer verilmiştir. Bu noktada, daha önce açıkça tanımlanmayan açık veri tanımına yer verilmiş ve ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş verilerin açık veri olduğu belirtilmiştir. Yine bu tanıma paralel olarak, açık veri haline getirilen sağlık verileri açık sağlık verisi olarak tanımlanmıştır.

Önceki yönetmelikte mevcut olan anonim hale getirme kavramına ek olarak yeni düzenleme ile; kişisel verilerin, kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi olarak ifade edilen kimliksizleştirme (pseudonymisation) tanımına yer verilmiştir.

Yönetmelik ile beraber getirilen bir diğer yeni tanım ise maskeleme kavramıdır. Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler maskeleme olarak adlandırılmıştır.

Son olarak belirtmek gerekir ki, önceki Yönetmelik'te olmayan ancak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'te yer alan; verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eden ilgili kullanıcı tanımına yer verilmiştir. 

Yine e-Nabız ve KamuNET gibi bakanlık projeleri de Yönetmelikte yer alan yeni tanımlar arasında sayılabilecektir.

Yönetmelik'te yer almayan tanımlar için KVKK ve ikincil mevzuatta yer alan tanımların geçerli olacağı da ayrıca düzenlenmiştir.

Genel İlke ve Esaslar

Yönetmelik'te ilk olarak KVKK kapsamındaki genel esaslara riayet edileceği belirtilmiştir.

Yönetmelik'in 5. maddesinin 4. fıkrasında Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı'na paralel olarak; sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınması gerektiği düzenlenmiştir.

KVKK'da yer alan prensiplerden biri olan veri işlemenin gerçekleştirilebilmesi için açık rıza olmadıkça veri işlemenin gerekli olması zorunluluğu hususu kendisini Yönetmelik'te göstermiş ve kimsenin sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağı düzenlenmiştir.

Yukarıda belirttiğimiz üzere bu Yönetmelik ile beraber tanımlanan kimliksizleştirme ve maskeleme yöntemlerine genel ilke ve esaslar başlığı altında yer verilmiş olup, bu kapsamda, sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulayacak ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alacaktır.

Öte yandan, mülga Yönetmelik'te yer alan sağlık hizmeti sunucularında veri işleyen kişilerin, kişisel sağlık verilerini, sağlık hizmeti sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamayacağı, kaydedemeyeceği ve depolayamayacağına ilişkin hükme yeni Yönetmelik'te yer verilmemiştir.

Kişisel Sağlık Verilerine Erişim

Yukarıda değindiğimiz prensibe uygun olarak, Yönetmelik'in 6. maddesinde sağlık hizmeti sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği belirtilmiştir.

Yine aynı maddenin 2. fıkrası uyarınca e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanacak olup, ilgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilecektir. Fıkranın devamında ise gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlığın sorumlu olmayacağı düzenlenmiştir. Bu noktada, kanaatimizce sağlık hizmeti sunumunda aksaklık veya zarar meydana gelmemesi hususunun bir gereklilik olarak değerlendirilip kişinin açık rızası olmasa da KVKK'nın 6. Maddesinde yer alan kamu sağlığının korunması ve koruyucu hekimlik gibi hususlar bakımından gerekli olduğu ölçüde söz konusu verilere erişimin sağlanıp sağlanamayacağı hususu tartışılabilecektir.

Öte yandan, her ne kadar enabiz.gov.tr internet sitesinde "sorumluluk sınırları" başlığı altında e-Nabız'ın kullanılması esnasında karşılaşılabilecek hata, eksiklik, bilgisayar sistemlerine zarar vermeye yönelik herhangi bir yazılım (virüs), kusur; yönetimsel, konuşlandırmadan kaynaklı gecikmelerden ve/veya sistem bağlantı arızası sonucu görülebilecek doğrudan ya da dolaylı ziyan, zarar veya masraflar da dahil hiçbir zarardan Bakanlığın ve/veya çalışanları, bu tip olasılıklardan haberdar olsun ya da olmasın sorumlu tutulamayacağı belirtilmişse de veri güvenliği kapsamında alınması gereken teknik ve idari tedbirlere ilişkin hususların bu kapsamda göz önünde bulundurulması gerekmektedir.

e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve;

  • Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
  • Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
  • Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
  • Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebilecektir.

Söz konusu erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesi kapsamında Sağlık Bilgi Sistemleri Genel Müdürlüğü ("Genel Müdürlük") tarafından yeniden değerlendirilebilecek olup, böyle bir durumda aydınlatma yükümlülüğü kapsamındaki gereklilikler sağlanacaktır.

Geçmiş sağlık verilerine herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulacak ve bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilecektir.

Yine Yönetmelik uyarınca mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenecek ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilecektir. Kanaatimizce, mahremiyet düzeyinin daha yüksek olduğu veya bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileyebilecek sağlık verileri kavramı oldukça soyut bir kavram olup, Bakanlıkça çıkarılacak ikincil mevzuatta bunların hangi somut ölçütlere göre ayrıma tabi tutulacağı tartışılabilecektir.

Yönetmelik'in sağlık verilerine Bakanlığın erişimine ilişkin 7. maddesi uyarınca sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirleyecek ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eden birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabileceklerdir.

Hasta yakınlarının erişimi bakımından ise Hasta Hakları Yönetmeliği'ne atıf yapılmış olup, KVKK'ya aykırı olmayacak şekilde, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verilebilecektir.

Yönetmelik ile getirilen bir diğer düzenleme ile avukatların, müvekkillerinin sağlık verilerini talep edebilmesi için bu konuda özel yetki içeren vekaletnameye sahip olmaları gerektiği belirtilmiştir.

Son olarak, ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkili olduğu ve ölmüş bir kimsenin sağlık verilerinin, en az 20 yıl süre ile saklanacağı belirtilmiş ise de ölmüş bir kimseye ait verilerin kişisel veriler kapsamında değerlendirilmesi hususu tartışmaya açıktır.

Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması

Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereğinin yerine getirilmesinde yetkili merci il sağlık müdürlüğü olarak tayin edilmiştir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansıyacak ve gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınacaktır. Yine aynı şekilde sağlık verilerinin düzeltilmesi hususunda da ilgili kişinin başvurması gereken merci il sağlık müdürlüğü olarak belirlenmiştir. Düzeltme işlemini ise Genel Müdürlük gerçekleştirecektir.

Kişisel sağlık verilerinin imha edilmesi konusunda ise Yönetmelik'te, KVKK'ya ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e atıf yapılmıştır.

Yönetmelik'te, kişisel sağlık verilerinin aktarımı konusunda da KVKK'ya atıf yapılmakla birlikte, KVKK'nın istisnaları düzenleyen maddelerinden 6. ve 28. maddeleri kapsamında kamu kurum ve kuruluşlarına yapılacak aktarımlarda, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve hangi verilerin aktarılacağına yer verilen bir protokol düzenlenmesi gerektiği belirtilmiştir. Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından mevzuat kapsamında değerlendirilecek ve değerlendirme sonucuna göre Genel Müdürlükçe bir işlem tesis edilecektir. Son olarak, verilerin aktarımının, teknik altyapının uygun olması halinde KamuNET üzerinden gerçekleştirileceği düzenlenmiştir.

Bilimsel Amaçlarla İşleme ve Açık Sağlık Verisi

KVKK'nın 28. maddesinin 1. fıkrasının b bendi uyarınca kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda KVKK hükümleri uygulanmamakta idi. Yeni Yönetmelik ile beraber KVKK'nın ilgili hükmü kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabileceği açıkça düzenlenmiştir. Yine aynı şekilde, kişisel sağlık verilerinin, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebileceği de Yönetmelik kapsamına alınmıştır.

Dünyada uzun zamandır konuşulan ilaç ve sağlık sektörünün daha hızlı bir şekilde geliştirilebilmesi amacıyla sağlık verilerinin işlenebilmesi hususu da kendisini Yönetmelik'te göstermiştir. Yönetmelik ile ilk defa düzenlenen açık sağlık verisi hususunda; Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin bir internet sitesi üzerinden herkesin erişimine açılabileceği de mevzuat kapsamına alınmıştır. Bu konuya ilişkin usul ve esasları belirleme yetkisi Bakanlığa aittir. Bu noktada, söz konusu erişime açmanın gerçekleştirilebilmesi için veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurulması gerektiği unutulmamalıdır.

Veri Güvenliği

Veri Güvenliği kapsamında Yönetmelik genel olarak halihazırda yürürlükte olan mevzuata atıf yapmakla yetinmiştir. Bilgi güvenliğine ilişkin süreçler ise Genel Müdürlük tarafından hazırlanan Bilgi Güvenliği Politikaları Yönergesi ile belirlenecektir.

Yaptırımlar

Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından yapılacak işlemler noktasında yine KVKK'nın ilgili maddelerine atıf yapılmıştır.

Yönetmelik'e aykırı hareket eden kamu görevlileri bakımından bağlı oldukları disiplin amirliğine bildirim yapılacak ve varsa yetkileri iptal edilecektir.

Son olarak, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularının ise Sağlık Hizmetleri Temel Kanunu kapsamında iki defa uyarılacağı ve uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verileceği düzenlenmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.