Yönetmelik, 19 Subat 2022 tarihinde Resmî Gazete'de yayimlanmistir. Bu Yönetmeligin amaci; Sosyal Güvenlik Kurumu'nca (SGK) görev ve yetkileri kapsaminda elde edilen verilerin islenmesinde uyulacak usul ve esaslari belirlemektir. Yönetmelik, 5502 sayili Sosyal Güvenlik Kurumu'na Iliskin Bazi Düzenlemeler Hakkinda Kanun md. 35 hükmü ile 6698 Sayili KVKK'na dayanilarak hazirlanmistir.

Yönetmelik uyarinca, Sosyal Güvenlik Kurumu ("Kurum") kendisine verilen görevlerin yerine getirilmesi amaciyla kisisel verilerin, kisisel saglik verilerinin, ticari sir niteligindeki verilerin islenmesinde;

  • Hukuka ve dürüstlük kurallarina uygun olma,
  • Dogru ve gerektiginde güncel olma,
  • Belirli, açik ve mesru amaçlar için islenme,
  • Islendikleri amaçla baglantili, sinirli ve ölçülü olma,
  • Mevzuatta öngörülen süre veya islendikleri amaç için gerekli olan süre kadar muhafaza etme ilkelerine uymak zorundadir.
  • Kurumla sözlesmeli saglik hizmeti sunuculari, Kurum adina isledikleri kisisel saglik verilerini Kurum veri kayit sistemine aktarmakla yükümlüdür.
  • Saglik Hizmeti Sunuculari, sözlesme kapsaminda Kurum adina isledikleri kisisel saglik verilerini, Kurum veri kayit sistemi disinda hiçbir yere kopyalayamaz veya aktaramaz.
  • Kurum adina kisisel verileri, kisisel saglik verilerini ve ticari sir niteligindeki verileri isleyen veya görevi geregi bu verilere erisen herkes, sir saklama yükümlülügü altinda olup, veri gizliliginin saglanmasi amaciyla Kurum ve Kurul tarafindan belirlenen önlemlere uymakla yükümlüdür.
  • Kisisel verilerin, kisisel saglik verilerinin ve ticari sir niteligindeki verilerin islenmesinde ayrica Kurul tarafindan yapilan düzenlemelere uyulmasi zorunludur. Ancak veri aktariminda 5502 sayili Kanunun 35'inci maddesi hükmü saklidir.
  • Kisisel verilerin, kisisel saglik verilerinin ve ticari sir niteligindeki verilerin bulundugu Kurum veri kayit sistemine erisim izni verilebilmesi için, yetkilendirme dahilinde kullanici tanimlanmasi gerekir. Kullanici tanimlama ve yetkilendirmeye iliskin her türlü islem kayit altina alinir ve bu kayitlar muhafaza edilir. Yetkilendirme, kayit altina alma ve verilerin muhafazasina iliskin hususlar veri sorumlusu tarafindan belirlenir.
  • Kuruma verilen görevlerin yerine getirilebilmesi için kullanici tanimlamasi ve yetkilendirmesi yapilan Kurum personelinin kisisel verilere, kisisel saglik verilerine ve ticari sir niteligindeki verilere erisimleri; üçüncü kisilere verilmemek, açiklanmamak ve veri güvenligine iliskin Kurum ve Kurul tarafindan belirlenen yükümlülüklere uyulmak kaydiyla veri aktarimi olarak degerlendirilmez.

Bu Yönetmelik kapsamindaki kisisel verilere;

a) Saglik hizmetlerine iliskin fatura bedellerinin incelenmesi ve ödenmesi,
b) Kurumun alacaklarinin takip ve tahsili,
c)  Denetim, teftis ve kontrol,
ç)  Verilerin islenmesi,
d)  Kurum mevzuatinda yer alan saglik ve sosyal sigorta hizmetlerine iliskin kontrol parametrelerinin Kurum veri kayit sistemine aktarilmasi ve takibi,
e)  Saglik ve sosyal sigorta hizmetlerinin izlenmesi, degerlendirilmesi, istatistik üretilmesi ve risk analizi yapilmasi,
f)  Saglik ve sosyal sigorta politikalarinin belirlenmesi,
g)  HSGM'de yazilim gelistirilmesi, sistem isletimi ve verilerin hazirlanmasi,

amaciyla bu islemlerde görevlendirilen ve 5'inci maddenin altinci fikrasi kapsaminda kullanici tanimlamasi ve yetkilendirmesi yapilan Kurum personeli tarafindan erisilebilir.

– Veri isleyenler tarafindan hizmet ifasi niteligindeki veri kayit sistemi sorgulamalari, Yönetmeligin md. 8 hükmünde belirtildigi üzere veri aktarimi olarak nitelendirilmemektedir.

– Kuruma verilen görevlerin yerine getirilebilmesine yönelik is ve islemlerin diger kamu kurum ve kuruluslari ile üniversite, enstitü, oda, dernek gibi paydaslar ile birlikte gerçeklestirilmesi amaciyla;

a) Kurumca imzalanan isbirligi protokolü, hizmet alim sözlesmesi/protokolü kapsamindaki çalismalarda,
b) Genel Saglik Sigortasi ile Sosyal Sigortalar uygulamalarina iliskin is ve islemlerin yürütülmesine yönelik olarak olusturulan komisyonlarda,

Kurum disindan görev alan kisilerin kisisel verilere, kisisel saglik verilerine ve ticari sir niteligindeki verilere erisimlerine izin verilmemekle beraber bu kisilerin anonim verilere erisimleri, veri aktarimi olarak degerlendirilmez.

Yönetmeligin md. 10'da yer alan düzenlemesi uyarinca herkes, Kuruma basvurarak kendisiyle alakali kisisel verilerle kisisel saglik verileri hakkinda;

  1. Bu verilen Islenip islenmedigini ögrenme,
  2. Islenmisse buna iliskin bilgi talep etme,
  3. Silinmesini, yok edilmesini isteme, -(c)
  4. Islenme amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ögrenme,
  5. Yurt içinde veya yurt disinda aktarildigi üçüncü kisileri bilme, -(e)
  6. Eksik veya yanlis islenmis olmasi hâlinde bunlarin düzeltilmesini isteme,
  7. Islenenlerinin münhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çikmasina itiraz etme,
  8. Mevzuata aykiri olarak islenmesi sebebiyle zarara ugramasi hâlinde zararin giderilmesini talep etme,
  9. (c) ve (e) bentleri uyarinca yapilan islemlerin, kisisel verilerin aktarildigi üçüncü kisilere bildirilmesini isteme,

haklarina sahiptir.

Yukarida c bendinde belirtilen silme ve yok etme talebiyle kuruma basvuruldugu takdirde, islenme sartlarinin tamamen ortadan kalkip kalkmadigina iliskin mevzuat birimi tarafindan degerlendirme yapilir. Silme, yok etme veya anonim hale getirme islemlerinden hangisinin uygulanacagina karar verilir, akabinde ise; uygulanacak yöntem gerekçesiyle birlikte 30 gün içerisinde ilgili kisiye yazili olarak veya e-teblig adresine bildirilir.

Kurum, bu madde kapsaminda görevlendirilen kisiler ile ilgili olarak, bu Yönetmelik ve 6698 sayili Kanunun md. 12 kapsaminda veri güvenligine iliskin teknik ve idari tedbirleri almak, ilgili mevzuat hükümlerine uygun hareket edilmesini saglamak zorundadir.

– Kurum, kisisel saglik verilerini; kamu sagliginin korunmasi, koruyucu hekimlik, tibbi teshis, tedavi ve bakim hizmetlerinin yürütülmesi, verilen saglik hizmetlerinin uygunlugunun ve yerindeliginin takibi ve finansmaninin planlanmasi amaciyla talebi hâlinde Saglik Bakanligi ile paylasir.

– Kurum, Kurum veri kayit sisteminde tuttugu verilerin her türlü tehlikeye karsi güvenliginin saglanmasi amaciyla güvenlik önlemlerinin hazirlanmasini, uygulamaya konulmasini, güncellenmesini ve denetlenmesini saglamakla yükümlüdür.

Veri aktarim talebinde bulunan gerçek ve tüzel kisilerin Kurum veri kayit sistemine dogrudan erisimine izin verilmez. Talep edilen verinin aktarimi saglanir.

HSGM, veri taleplerini karsilarken gerekli güvenlik önlemlerini alir. Kurum veri kayit sistemine sifre ile erisimler, gerçek kisi (ad-soyad veya domain kullanici adi) kullanici sifreleri kullanilarak Kurumun belirledigi güvenlik önlem ve uygulamalari çerçevesinde yapilir. Erisimler, HSGM tarafindan güvenlik önlemleri çerçevesinde kayit altina alinir.

Yönetmeligin tam metnine buradan ulasabilirsiniz.

Ilginizi Çekebilir:

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.