Öncelikle burada konuyu en öz şekilde sizlere aktarmak zorunda olduğum hatırlatmasını yaparak bugün çok önemli hale gelmiş kişisel verilerin korunması konusunu bu konuda yer alan tezimde de anlattığım gibi “Tıp Alanında Kişisel Verilerin Korunması” olarak ele alacağım.

Daha bugünlere gelmeden önce herkes Hipokrat derken bir akademisyen olan İngiltereli Mark Siegler (Mark Siegler, 1982 yılında New EnglandJournal of Medicineda “Confidentiality in Medicine: A DecrepitConcept” )(Tıpta Mahremiyet / Sır Saklama Yükümlülüğü: Yıpranmıs/Zayıflamıs bir Kavram) baslığı ile yer alan makalesinde, sır saklama kavramının hekimler ve hastalar tarafından geleneksel olarak anlaşıldığı anlamı ile artık var olmadığını savunmaktadır: “Hipokrattan bu yana, hekimle ilgili tüm and ve yasalarda yer alan bu tarihi etik ilke artık eskimiş, yıpranmış ve yararsız hale gelmiştir.” demiştir. Ünlü akademisyenin bu çıkışı artık sır saklama ve kişisel verilerin saklanması konusunda daha farklı bir koruma sağlamak gerekliliğini ortaya koymuştur. 

Kişisel Verilerin Korunması hususu ilk defa İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından ele alınmıştır. OECD tarafından gündeme gelen konular arasında kişisel verilerin korunması ile ilgili çerçeve kurallar da belirlenmiştir.  28 Ocak 1981 tarihinde Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme imzaya açılmış, Türkiye sözleşmeyi imzalamış ancak henüz onaylamamıştır. 

Mevzuatımızda ilgili alanlarda özel bir kanunla olmasa da kişisel verilerin korunması ile ilgili düzenlemeler mevcut olup, kişisel verilerin korunması kanunu tasarı halindedir. Ancak henüz özel kanunu çıkmadan, sağlık verilerinin otomatik olarak sisteme işlenmesi ile ilgili kararlar alınmakta ve sağlık çalışanları verileri işlemekle ilgili zorunlu tutulmaktadır. 

1 Aralık 2013 tarihinde özel hastanelerde uygulanmaya başlanılan “Biyometrik Kimlik Doğrulama Sistemi “ ile özel hastanelerde sağlık hizmeti almak için başvuran hastaların avuç içi, damar izinin alınması yöntemi gibi Kişisel Verilerin Korunması hakkının özünü ortadan kaldırmaya yönelik düzenlemeler gündeme tartışılması gereken yeni başlıklar açmış ve tıp alanında çalışan tüm STK’ları yasal yolları aramak üzere harekete geçirmiştir.

TBMM cephesine baktığımızda Kişisel Verilerin Korunması Kanunu Tasarısı 34 yıldan sonra 2.12.2015 tarihinde Başkanlığa gelmiştir. Son zamanlarda özellikle Sağlık sisteminde genelgelerle, kişisel verilere karşı hoyratça yürütülen uygulamalardan sonra kaygılı bir şekilde kanun beklenmektedir.

Özellikle e-Nabız sisteminde, kişisel verilerin dijital olarak işleme tabi tutulması ve kişinin sağlığı ile ilgili her verinin sisteminde yer alacak olması / kişinin e-devlet şifresi ya da aile hekiminden alacağı geçici şifre ile sistemine ulaşabileceği yolunda getirilen düzenlemede oldukça hassas davranılması gerekmektedir ve özellikle bilinmelidir ki kişinin sağlığına ilişkin bilgileri hassas kişisel veridir. Yani bu şu demektir: “Korunması en elzem olan  ve ihlali durumunda da telafisi mümkün olmayacak derecede olan veridir.”
Tıp dünyasında mevcut gelişmeler kişisel veri olarak kabul edilecek verilerin gün geçtikçe artmasını sağlamakta, koruma açısından da yeni tartışma alanları yarattığı görülmektedir.  

Sağlık ile ilgili tüm tıbbi veriler, arşiv, kayıtlar hassas nitelikte veriler olup, bu verilerin korumasının da aynı derecede hassas olarak ayrı bir kanun ile yapılması ve sınırlarının da tam olarak tanımlanması gerekecektir. (bknz. Kişisel Verilerin Korunması Kanun Tasarısı)

Avrupa Konseyi Bakanlar Komitesi’nin (97) 5 sayılı Tavsiye Kararınnda “Tıbbi verilerin toplanması ve işleme tabi tutulması sırasında temel hak ve özgürlüklere özellikle mahremiyete saygı hakkı sağlanmalıdır. Tıbbi veriler sadece iç hukuk tarafından sağlanan güvencelere uygun olarak toplanabilir ve işleme tabi tutulabilir.” demiştir  ve bu konuda üye ülkelerin iç hukuklarında yeterli güvenceyi almaları gerektiğini tavsiye etmiştir. Türkiye bu konuda yeterince güvence sağlayamamış, ancak hastaların tıbbi kayıtlarının bilgisayarlara işlenmesi ve biyometrik sağlık uygulamasına geçmiştir. 

Tıp alanındaki kişisel verilerin hassas olması nedeniyledir ki; 1983 yılında Venedik/İtalya’da Dünya Tabipler Birliği’nin 35. Genel Kurulu’nda “Bilgisayarın Tıpta Kullanılmasına İlişkin Duyuru” nun son maddesinde “Tıbbi veri bankaları, hiçbir zaman başka merkezi veri bankalarıyla ilişkili olmamalıdır” düzenlemesine yer verilmiştir. 

E-Nabız sisteminde kişilerin e-devlet şifresi ile sisteme gireceklerine dair yapılan düzenlemenin sakıncaları ilerleyen zamanlarda acı bir tecrübe olarak ortaya çıkacaktır. Zira henüz e-devlet sisteminin hangi bilgisayar bağlantıları ile ortak bankalara sahip olduğu bilinmemektedir. Bugün e-devlet şifresi ile yargının ağı olan UYAP’a bağlanabilen kişi sağlık verilerine de aynı şifre ile, Sosyal Güvenlik Kurum bilgilerine de aynı şifre ile ulaşabilecektir. Bu büyük bir sorun olarak karşımıza çıkabilir. 

Peki sağlığa ilişkin veriler hangi durumda işlenebilecektir? Bu durum da şöyle açıklanabilir:

 (95/46/AT) Yönergede 

-İlgili kişinin rızası var ise işlenebilir.

-Devlet tarafından tüm koruma mekanizmaları kurulduğunda işlenebilir.

-Sağlığın korunması, tıbbi teşhis, tedavi veya sağlık hizmetlerinin yönetimi için gerekli veriler ise, ancak sır saklama yükümlülüğüne tabi olan kişiler tarafından işleniyor ise yasak değildir.  

Gördüğünüz gibi sağlığa ilişkin veriler ancak hastanın rızası ile ve sadece sır saklama yükümlülüğüne tabi olan kişiler tarafından işlenebilir. Burada biz Sağlık Bakanlığı’nın veri işleme işini bir firmaya ihale ettiğini ve bu firma tarafından verilerin bilgisayarlara işlendiğini biliyoruz. Burada da kocaman bir soru doğuyor.

Burada TBMM’de bulunan tasarıdan neler çıkacak, nasıl kabul edilecek ve uygulama nasıl olacak söylemek şu an mümkün olmasa da bu kanun çıkmadan genelge ile verilerin işlenmesine karar veren, sır saklama yükümlülüğüne tabi olmayan bir firmaya verilerimizi emanet eden bir devlet mekanizması ile bu kanunun nasıl uygulama bulacağı biraz kendisini gösteriyor. Tüm kişilerin E-Nabız sistemine rızası olmadan işlenen verilerin silinmesini Sağlık Bakanlığı’ndan talep etmeleri ve ancak rıza olan verilerin sisteme girişinin sağlanması için mücadele vermelerini öneriyorum. 

Av. Arb. Sabire Sanem YILMAZ

(Bu köşe yazısı, sayın Av. Sabire Sanem YILMAZ tarafından www.hukukihaber.net sitesinde yayınlanması için gönderilmiştir. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

---------------------------------------------------
[1]Yokuş Sevük, H., V. Türk-Alman tıp hukuku sempozyumu, Tıp Ceza Hukukunda Kişisel Verilerin Açıklanması konulu Tebliği, “Bu ilkeler 1-) Kişisel veri toplanması ve işlenmesinin sınırlı olması ve ilkelere bağlılığı, 2-) Kişisel veride kalite ilkesi, 3-)Kişisel veri toplanmasında ve işlenmesinde amacın belirginliği ilkesi, 4-)Amaca uygun kullanım ilkesi, 5-)Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi, 6-) Açıklık ilkesi, 7-)Kişisel veri konusu kişin bireysel katılımı ilkesi, 8-)Sorumlu tutulabilirlilik ilkesi
[2] Akyürek, G., age, s. 56 “Tıp dünyasındaki gelişmelerde kişisel veriler konusundaki tartışmalara yenisi eklenmiştir: DNA ve buna ilişkin veri bankaları. AB yönergesinin tanımına açıkça uyan, elde edilmesi ve işlenmesi gerek vücut bütünlüğü gerekse özel hayatın gizliliği tartışmalara yol açan DNA verilerinin işlenmesi, 1985 yılında ilgili kişinin kimliğinin belirlenmesine yarayacak biçimde incelenmesine olanak sağlayan tekniğin bulunmasından sonra özellikle son yıllarda suçla mücadele ve suçluların belirlenmesinde yoğun olarak başvurulan bir yöntemdir. Ayrıca kurulan veri bankaları da ülkelerarası işbirliği çerçevesinde bu verilerin değişimini sağlamaktadır. İleri sürülen eleştirilerden biri, DNA aracılığı ile büyük çaplı araştırmalar yapılabilme olasılığıdır. Böylece ortada somut bir şüphe yokken , suçla mücadele adına kişilerin DNA örneklerinin alınması bu kişiler açısından özel hayatın gizliliğini ihlal etmektedir. Bunun yanında toplumda bazı kimselerin, ırk, milliyet ve din nedeniyle ayrımcılığa tabi tutulmasına da yol açabilmektedir. Bu nedenle DNA verilerinin alınması ve işlenmesi konusunda haklı sebeplere dayanan çok sıkı koşulların konması gerektiği ifade edilmekte ve örneğin İsviçre’de, suç işlediğinden veya suça iştirak ettiğinden şüphelenilen kişilerin, basit şüpheye dayanılarak, DNA verilerinin saklanması ve de bunun yürütme tarafından 2000 yılında çıkarılan bir kararname ile yapılması eleştirilmektedir. İngiltere’de ise 1995’te oluşturulan ulusal genetik bilgi arşivi dünyanın en büyük DNA profili bankası haline gelmiştir ve 2006 yılı itibariyle nüfusun %5’ine karşılık gelecek şekilde yaklaşık 3.5 milyon kişinin kaydını içermektedir. Ayrıca başlangıçta yedi Avrupa ülkesi tarafından (Almanya, Avusturya, Belçika, Fransa, Hollanda, İspanya, Lüksemburg) 27 Mayıs 2005’te imzalanıp daha sonra Haziran 2007’de Avrupa Birliği Yönetmeliği haline getirilerek Birlik Hukukuna dahil edilen Prüm Antlaşması, başta DNA olmak üzere birçok kişisel verinin Avrupa sathında değişimini öngörmektedir. Hatta tüm bu gerçeklerin de ötesinde 2007 yılının Ocak ayında yapılan bir Avrupa Birliği güvenlik toplantısında, dönemin Fransız Bakanı, ChristianEstrosi, tamamen “güvenlikçi” bir yaklaşımla, bütün Avrupa vatandaşlarının doğumdan itibaren genetik verilerinin toplanmasını önerebilmiştir. Salt güvenlik gerekçesine dayanan böylesine totaliter /bütüncül bir yaklaşım orantılılık ilkesini tamamen yok ederek kişilerin bu alandaki özel hayatın gizliliği hakkını ortadan kaldırılmasının yanında herkesin vücut bütünlüğü hakkını da açıkça ihlal edeceği kuşkusuzdur.”
[3] Yokuş Sevük, H., age, s. 785.
[4]Hakeri, H., age, s.38.
[5] Şimşek, O., age,s.88.