Sosyal Güvenlik Kurumu tarafından, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemesi amacıyla, 19.02.2022 tarih ve 31755 sayılı Resmi Gazete’de Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına Ve İşlenmesine İlişkin Yönetmelik yayımlanmış ve aynı gün yürürlüğe girmiştir. Yönetmeliğin önemli kısımları aşağıda özetlenmiştir;
Kapsam; Bu Yönetmelik, Kurumun görev ve yetkileri kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esaslar doğrultusunda; Kurum personelini, Kişisel verileri işlenen gerçek kişileri, Kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri, Kurumun faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri, Kurum adına kişisel verileri işleyen gerçek veya tüzel kişileri, Veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini kapsar.
Kişisel Veriler, Kişisel Sağlık Verileri ile Ticari Sır Niteliğindeki Veriler Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilerin işlenmesi; Kurum; kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde Hukuka ve dürüstlük kurallarına uygun olma, Doğru ve gerektiğinde güncel olma, Belirli, açık ve meşru amaçlar için işlenme, İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelere uymak zorundadır. Kurumla sözleşmeli sağlık hizmeti sunucuları, Kurum adına işledikleri kişisel sağlık verilerini Kurum veri kayıt sistemine aktarmakla yükümlüdür. Sağlık hizmeti sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz. Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.
Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilere erişimler; Kuruma verilen görevlerin yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kurul tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.
Kurumun iş ve işlemlerinin yürütülmesine ilişkin hususlar; Veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorgular, veri aktarımı olarak değerlendirilmez.
Genel sağlık sigortası ile sosyal sigortalara yönelik iş ve işlemlerin paydaşlar ile yürütülmesi; Kuruma verilen görevlerin yerine getirilebilmesine yönelik iş ve işlemlerin diğer kamu kurum ve kuruluşları ile üniversite, enstitü, oda, dernek gibi paydaşlar ile birlikte gerçekleştirilmesi amacıyla; Kurumca imzalanan işbirliği protokolü, hizmet alım sözleşmesi/protokolü kapsamındaki çalışmalarda, Genel sağlık sigortası ile sosyal sigortalar uygulamalarına ilişkin iş ve işlemlerin yürütülmesine yönelik olarak oluşturulan komisyonlarda, kurum dışından görev alan kişilerin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerine izin verilmez. Bu kişilerin anonim verilere erişimleri, veri aktarımı olarak değerlendirilmez.
Kişinin kendisine ait kişisel veriler ile kişisel sağlık verilerine ilişkin talepleri; Herkes, Kuruma başvurarak kendisiyle ilgili kişisel verileri ile kişisel sağlık verilerinin; İşlenip işlenmediğini öğrenme, İşlenmişse buna ilişkin bilgi talep etme, Silinmesini, yok edilmesini isteme, İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, İşlenenlerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahiptir. Kurum, kişinin kişisel verileri ile kişisel sağlık verilerini; Kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere, Mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere, Müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına,aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.
Kurum veya kuruluşların kişisel veri ile ticari sır niteliğindeki veri talepleri; Kurum, işlediği kişisel veri ile ticari sır niteliğinde olan verileri, ilgili kişinin noter onaylı muvafakati veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izni ile ve kişiler adına vekâlet ile yetkilendirilenler tarafından, kişisel veri veya ticari sır niteliğindeki veriler hususunda yetkiyi içeren özel vekâletnamenin veya vasi atamaya ilişkin mahkeme kararının Kuruma ibraz edilmesi koşuluyla gerçek veya tüzel kişilere, ilgili mevzuat birim amirinin onayı ile aktarılabilir.
Sağlık Bakanlığının kişisel sağlık verisi talepleri; Kurum, kişisel sağlık verilerini; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.
Sözleşmeli sağlık hizmeti sunucularının sundukları hizmetlere ilişkin veri talepleri; Sağlık hizmetlerinin sağlanmasına yönelik olarak Kurumla sözleşme yapmış sağlık hizmeti sunucularınca, Kurum adına işledikleri kişisel sağlık verilerinden mücbir sebep dolayısıyla Kuruma faturalandırılamayan hizmetlere ilişkin verilerin talep edilmesi durumunda bu talepler hakkında yönetmeliğin 20’nci maddesinin bir ila dokuzuncu fıkrası hükümleri uygulanır.
Araştırma, planlama ve istatistik amaçlı anonim veri talepleri; Kamu idarelerinin, 11 inci maddenin ikinci fıkrası kapsamına girmeyen araştırma, planlama ve istatistik amaçlı anonim veri talepleri veya bilimsel araştırma yapan kamu personelinin, bilimsel derneklerin, kamu kurumu niteliğindeki meslek kuruluşlarının veya üniversitelerin araştırma, planlama ve istatistik amaçlı ihtiyaç duydukları anonim veriler aktarılabilir.
Tüzel kişilere ait olan anonim verilerin tüzel kişinin kendisine veya diğer kişilere aktarımı; Tüzel kişilerin, 5510 sayılı Kanunun 63’üncü maddesinin birinci fıkrasının (f) bendinde belirtilen sağlık hizmetlerinden ruhsat veya satış iznine sahip olduğu ürünlere ait veriler; Kurum tarafından uygun görülmesi halinde tüzel kişiyi temsile yetkili olanların noter onaylı muvafakatlerinin alınması kaydıyla yönetmeliğin 20’nci maddesinin bir ila yedinci fıkrası hükümlerine göre gerçek veya tüzel kişilere aktarılabilir.
Verilerin aktarıldığı kişi, kurum/kuruluşların sorumlulukları; Verilere erişen Kurum personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler; Veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar; verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar.
Uygulanacak müeyyideler; Kişisel verilerin korunması hususu ile ilgili hükümlere aykırı hareket edenler hakkında kabahatler bakımından, 6698 sayılı Kanunun 18 inci maddesi hükümlerinin uygulanmasını teminen durum Kurula bildirilir. Kurum tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında 5237 sayılı Kanunun ilgili maddeleri uyarınca suç duyurusunda bulunulur.
Verilerin korunmasına ilişkin Kurumca yürütülecek işlemler; Kurum, Kurum veri kayıt sisteminde tuttuğu verilerin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla güvenlik önlemlerinin hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür. Veri aktarım talebinde bulunan gerçek ve tüzel kişilerin Kurum veri kayıt sistemine doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.