Av. Muhittin Ertuğrul ERTÜRK
20 Ekim 2016 tarih ve 29863 sayılı Resmi Gazetede “Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” yayınlanmıştır. Sağlık Hizmet sunucuları ve tıbbi malzeme tedarikçisi firmaları da yakından ilgilendiren bu yönetmeliğin 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak yayımlandığı düşünüldüğünde önemi bir kez daha artmaktadır. Amacı, kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemek olan Yönetmeliğin önemli kısımlarını sizlerle paylaşmayı uygun buldum.
Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar
Kişisel sağlık verileri, ancak bu Yönetmelikte ve Kanun’da öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Sağlık hizmet sunucularında görevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir.
Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.
Sağlık hizmet sunucularında veri işleyen kişiler, kişisel sağlık verilerini sağlık hizmet sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri ile Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri dışında hiçbir yere kopyalayamaz veya kaydedemez.
Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.
Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilir ve aktarılabilir.
Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde aktarılır.
İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.
Kişisel sağlık verilerinin korunması
Veri işleyen, bu görevinin gereği olarak öğrendiği verilerin mahremiyetini korumakla, veri işleme sürecine ilişkin olarak belirlenen kurallara ve standartlara uymakla yükümlüdür. Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır. Kişisel sağlık verilerinin ihlâlinden şüphe duyulması halinde Bakanlığa bildirim yapılır ve bu bildirimlerde, Genel Müdürlükçe hazırlanan ihlâl bildirim formu kullanılır. Bildirim, elektronik ortamda da yapılabilir. Bildirimi alan görevli; ihlâl edilen veri kategorileri, verileri ihlâl edilen kişi sayısı, ihlâlin muhtemel sonuçları ve alınması gereken önlemler hakkında en yakın yöneticiden başlamak üzere sıralı yöneticileri gecikmeksizin bilgilendirir. İhlâlin gerçekleştiği sistemin veri sorumlusu ve bilgi işlem görevlileri ile iletişime geçilir.
Kişisel sağlık verilerinin işlenmesi
Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel sağlık verilerinin, ilk fıkrada sayılan amaçlar dışında anonim hale getirilmeden işlenmesi için ilgili kişiye ait verilerin işlenme gerekçesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir.
İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz.
Kişisel sağlık verilerinin aktarılması
Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.
Kişisel sağlık verilerinin silinmesi
Bu Yönetmelik, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.
Veri sahibi
Veri sahibi, 4 üncü maddede tanımlanan ilgili kişidir. Veri sahibi, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel sağlık verisi işlenip işlenmediğini öğrenme, b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme, c) Kişisel sağlık verilerine erişim ve bu verileri isteme, ç) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, d) Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme, e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, f) 9 uncu maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini isteme, g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, ğ) İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri sahibinin, ikinci fıkranın (a), (b), (c), (ç) veya (d) bentlerinde sayılan haklarından biri veya birkaçını kullanması hâlinde ilgili bilgi kendisine, açık ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir.
Veri sorumlusu
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 10 uncu maddede sayılan diğer hakları, konularında bilgi vermekle yükümlüdür.
Veri sorumlusu; a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, c) Kişisel sağlık verilerinin muhafazasını sağlamak, ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının önüne geçmek, amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.
Veri sorumlusu, kişisel sağlık verilerinin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel sağlık verilerini, Kanun ve bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede Komisyona bildirir. Komisyon, gerekmesi hâlinde bu durumu Bakanlığın internet sitesinde ya da uygun göreceği başka bir yöntemle ilân edebilir.
Yaptırım
Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17’nci ve 18’inci maddelerine göre işlem yapılır. Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Özel hukuk kişileri hakkında ilgili mevzuata göre işlem yapılır.