Sağlık verileri, özel nitelikli kişisel veri kategorisinde olmasına rağmen işleme faaliyetlerine sıklıkla konu olmaktadır. Bir işe giriş sırasında veya bir spor kulübünün yüzme havuzuna yapılacak bir üyelik için istenen sağlık raporu, muayene veya tedavi için başvurduğumuz bir sağlık kuruluşu tarafından toplanan ve kaydedilen veriler, bir çalışanın özlük dosyasında saklanan sağlık bilgileri en fazla karşılaştığımız örneklerdir. Bu nedenle sağlık verilerinin işlenmesine ilişkin esas ve usullerin açık bir biçimde belirlenmesi önemlidir: Kimler, hangi amaçlara dayanarak sağlık verileri toplayabilir? Bu veriler hangi ortamda hangi idari ve teknik tedbirler altında saklanmalıdır? Sağlık verilerinin işlenmesi sırasında uyulması gereken kurallar nelerdir? Bütün bu soruların kesin cevaplarının olması, sağlık verilerinin işlenmesi sırasında yaşanması muhtemel ihlallerin önlenmesini sağlar.

Ancak ne yazık ki sağlık verilerinin toplanması ve işlenmesi konuları uzun süredir devam eden bir tartışmanın konusudur ve deyim yerindeyse bir türlü rayına oturtulamamıştır. Konuyla ilgili son gelişme 21 Haziran 2019 tarihli ve 30308 sayılı Resmi Gazete’de yayımlanan “Kişisel Sağlık Verileri Hakkında Yönetmelik” olmuştur. Bu Yönetmelik’in konuyla ilgili tartışmaları sonlandıracak nitelikte düzenlenmiş olmasını umuyorum. Bu yazıda Yönetmelik’in neler getirdiğini, önceden yayımlanan ve iptal edilen yönetmeliklerden farklı noktalarını ve tartışmalara son verip veremeyeceğini açıklamaya çalışacağım. Ancak bundan sonra kişisel sağlık verilere ilişkin düzenlemelerin geçirdiği aşamaları kısaca hatırlamakta fayda görüyorum:

- 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yayımlanmıştır.

- 20 Ekim 2016 tarihinde “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik” 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu Yönetmelik yayımlandığı tarihte de Kanun’un henüz yeni olması, Kurul’un göreve başlamaması ve dolayısıyla konuyla ilgili görüşlerin alınamamış olması ve konunun netleşmemiş olması sebebiyle sağlık verileri hususunun da konuyla ilgili mevzuata uygun bir şekilde düzenlenemediği gerekçeleriyle eleştirilmiştir.

- 12 Ocak 2017 tarihinde Kişisel Verileri Koruma Kurulu üyeleri yemin ederek göreve başlamıştır.

- 6 Temmuz 2017 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir[1].

- 24 Kasım 2017 tarihinde belirtilen yürütmenin durdurulması kararı da göz önünde bulundurularak Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir[2]. Yönetmelik değişiklik yapıldığı haliyle tekrar yayımlanmıştır. Her ne kadar yapılan değişikliklerle kişisel verilerin korunması mevzuatına uyumlu ve paralel düzenlemeler yapılmaya çalışılmış olsa da bu haliyle bile kişisel sağlık verilerinin korunmasının sağlanması bakımından ciddi tereddütler barındırmaktaydı. Buna ilişkin eleştirilerimi Yönetmelik’in değerlendirilmesine ilişkin yazımda belirtmiştim. Nitekim söz konusu Yönetmelik, bu haliyle de tatmin edici yenilikler getirememiş olması sebebiyle Türk Tabipleri Birliği ve Türk Dişhekimleri Birliği tarafından dava konusu edilmiştir.

- 9 Ekim 2018 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir[3]. Yukarıda belirtilen başvuru neticesinde nihayet Yönetmelik’in yürütmesi durdurulmuştur. Asıl Yönetmelik hakkında Danıştay tarafından zaten yürütmenin durdurulması kararının verilmiş olması, bundan sonra yapılan birkaç değişiklikle aynı Yönetmelik’in tekrar yürürlüğe konulmaya çalışılması ve Kurul tarafından kişisel sağlık verilerinin işlenmesinde alınacak önlemlerin belirlenmemiş olması bunun temel gerekçeleridir[4].

- Son olarak yukarıda belirtildiği gibi 21 Haziran 2019 tarihinde Kişisel Sağlık Verileri Hakkında Yönetmelik yayımlanmış ve önceki Yönetmelik yürürlükten kaldırılmıştır.

Yönetmelik ile Getirilen Yenilikler ve Yapılan Değişiklikler

1. Yönetmelik’in “Amaç” başlıklı 1. maddesi

Amaç başlığında ilk dikkat çeken husus hangi işleme faaliyetlerine ilişkin kuralları düzenlediği noktasındaki değişikliktir. Bir önceki düzenlemede “Sağlık Bakanlığı’na bildirilmesine ilişkin işlemler”den söz edilirken; şu anda Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalar” ifadesi tercih edilmiştir. Böylelikle amaç, ilgili mevzuata daha uygun bir dil kullanılarak düzenlenmiş ve daha net bir şekilde tanımlanmıştır.

Öte yandan yeni yayımlanan Yönetmelik’in amacı açıklanırken en başta “Kanun hükümleri kapsamında” ibaresine yer verilmesiyle, kişisel sağlık verilerinin işlenmesinde uyulması gereken usul ve esasların Kanun’a uyumlu olarak belirlenmiş olduğu gösterilmeye çalışılmıştır. Bu durum, önceki düzenlemeye yönelik olarak Kanun’a uyumlu olmadığı yönünde yapılan eleştirilerin dikkate alındığını ve yapılan yanlıştan dönülmeye çalışıldığını göstermesi bakımından olumlu bir gelişmedir.

2. Yönetmelik’in “Kapsam” başlıklı 2. maddesi

Yönetmelik’in kapsamı kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetleri” olarak belirlenmiştir. Bir önceki Yönetmelik’te yer alan a) Sağlık hizmeti sunucuları, b) Kişisel sağlık verileri işlenen gerçek kişiler, c) Sağlık hizmet sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişiler, fıkraları kaldırılmıştır.

Burada ilk bakışta Yönetmelik’in kapsamının daraltıldığı gibi bir anlam çıksa da aslında böyle bir daralmanın olduğunu düşünmüyorum. Çünkü önceki Yönetmelik’te amaç kısmında zaten “Sağlık Bakanlığı’na bildirilmesine ilişkin işlemler” ifadesine yer verilmiş olması kapsamın da Bakanlık bünyesinde gerçekleştirilen işleme faaliyetlerine ilişkin olacağını gösteriyordu. Dolayısıyla başka ifadelere yer verip kapsamın olduğundan geniş gösterilmeye çalışılması zaten hatalı bir düzenlemeydi. Bu değişiklikle kapsamın daraltılmadığını, yalnızca olanın ifade edilerek daha doğru bir düzenleme yapma yoluna gidildiğini düşünüyorum.

3. Yönetmelik’in “Tanımlar” başlıklı 4. maddesi

Yönetmelik’in 4. maddesinde yer alan tanımlara önceki Yönetmelik’e kıyasla bazı yeni kavramlar eklenmiş, zaten mevcut bazı tanımlarda değişiklik yapılmış veya aynen korunmuştur.

a. Yeni eklenen kavramlar

- Açık veri,

- Açık sağlık verisi,

- E-nabız: Önceki yönetmelikle bu kavram, kişisel sağlık kaydı sistemi olarak ele alınmıştı. Dolayısıyla kavram yeni eklenmiş olmakla birlikte tanım esasen aynıdır. Yalnızca erişim yapabilecek kişilere “hekimlerin” ibaresi eklenerek hekimlerin de e-nabız sistemlerine erişiminin olduğu belirtilmiştir. Aslında hekimler de e-nabız sistemine erişebiliyordu. Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün 2016/6 sayılı Genelgesi ile hizmet sunucuları kişilerin sağlık verilerini sisteme göndermişti. Hekimler Hastane Bilgi Yönetim Sistemi (HBYS), Aile Hekimliği Bilgi Sistemi (AHBS) üzerinden Hekim Paylaşım Servisi aracılığı ile e-nabız sistemi üzerinden hastanın sağlık verilerine erişebiliyordu. E-nabız profili olan hasta, erişim seçeneklerinden sağlık verilerine kimlerin erişebileceğini belirleyebiliyordu. Aile hekimi, muayene olduğu hekimi, muayene olduğu hastanedeki tüm hekimler, Sağlık Bakanlığındaki tüm hekimlerin erişimine onay verebilecektir. E-nabız profili olmayan hastaların kişisel verilerine ise sms aktivasyonu ile muayene olunan hekim ulaşabilmektedir. Yönetmelikle bu tür veri işleme ve aktarımlarına normatif bir zemin oluşturulmuştur.

İlgili kullanıcı: Bu kavram da yine benzer bir tanımlamayla eski yönetmelikte olan ancak “veri işleyen” başlığıyla ele alınmış olan bir kavramdır. Yeni tanım, ilgili kullanıcı kavramının kullanıldığı “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile aynı doğrultuda yapılmıştır.

- KamuNET: Bu projeyle kamu kurum ve kuruluşları arasındaki veri iletişiminin gerçekleştirilmesi ve özellikle de bu sırada sağlık verilerinin korunmasına yönelik gerekli idari ve teknik tedbirlerin alınmasının sağlanması amaçlanmaktadır.

- Kimliksizleştirme: Bu kavram kaynağını GDPR’daki “takma ad kullanımı”ndan (pseudonymisation) almaktadır. Burada kimliksizleştirme ifadesi tercih edilmiş olup tanımlama da yine GDPR ile aynı doğrultuda yapılmıştır.

- Kişisel veri,

- Kişisel verilerin imha edilmesi,

- Kişisel verilerin silinmesi,

- Kişisel verilerin yok edilmesi,

- Kurum,

- Maskeleme: Kişisel verilerin karalama, boyanma gibi yöntemlerle gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

b. Maddeye yeni eklenen fıkra

Yönetmelik’in 4. maddesinde tanımlanan kavramların yanı sıra dikkat çeken bir diğer husus 2. fıkranın eklenmiş olmasıdır. Buna göre; Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar ile Kurum tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerlidir.” Bu şekilde veri koruma mevzuatıyla uyum sağlanmaya çalışılmıştır.

4. Yönetmelik’in “Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar” başlıklı 5. maddesi

a. Genel ilkeler

Yönetmelik öncelikle Kanun’a atıf yaparak kişisel verilerin işlenmesinde Kanun’un 4. maddesinde yer alan genel ilkeler başta olmak üzere burada yer alan bütün esaslara uyulacağını belirtmiştir.

b. Güvenlik tedbirleri

Yönetmelik’in genel ilke ve esasların yer aldığı 5. maddesinde aslında kişisel verilerin işlenmesinde uyulması gereken kurallar ile alınması gereken güvenlik tedbirleri düzenlenmiştir. Yönetmelik’in ilk haliyle bu açıdan bir kıyaslama yaptığımızda daha açık ve somut kurallara yer verildiğini söyleyebiliriz. Ayrıca yapılan değişikliklerle hem konuyla ilgili mevzuata hem de Kurul kararlarına uyum sağlanmaya çalışıldığı anlaşılmaktadır.

Maddeyle getirilen kural ve tedbirler şu şekilde özetlenebilir:

- Kayıt ve bildirim sistemi:

Yönetmelik’in ilk halinde yer alan kişisel sağlık kaydı sistemine dair ifadeler değişikliğe uğramıştır. Yönetmelik, bunun yerine verilerin kaydedileceği sistemi tek bir fıkra altına toplamış ve herkesin sağlık durumunu takip edebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı bir şekilde yürütülmesi amacıyla kurulacak kayıt ve bildirim sistemini nispeten daha detaylı bir şekilde belirtmiştir.

- Genel ilkelere atıf:

Yönetmelik, anılan maddeyle hiç kimsenin sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağını belirtmiştir. Böylece sağlık verilerinin yalnızca amaçla sınırlı bir şekilde işlenebileceği hüküm altına almıştır. Yönetmelik, bu şekilde Kanun’da belirtilen kişisel verilerin işlenmesinde uyulması gereken genel ilkelere atıf yaparak kişisel verilerin belirli, açık ve meşru amaçlar kapsamında işlenebileceği ilkesini sağlık verileri açısında da özellikle belirtme ihtiyacı duymuştur.

- Fiziki, teknik ve idari tedbirlerin alınması:

Maddenin 4. fıkrasıyla sağlık hizmeti sunucularının banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek şekilde gerekli fiziki, teknik ve idari tedbirlerin alınması gerektiği düzenlenmiştir. Bu düzenleme, esasen doğrudan Kurul’un bu yöndeki ilke kararına yapılmış bir atıftır. Kurul’un “Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik 21/12/2017 tarihli ve 2017/62 sayılı İlke Kararı” gereğince belirtilen alanlarda Kanun’un 12. maddesi uyarınca gerekli teknik ve idari tedbirler alınmalı ve bu bağlamda yetkisi olmayan kişilerin bu alanlarda yer alması önlenerek aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymaları, görmeleri, öğrenmeleri veya ele geçirmeleri engellenmelidir. Anılan Yönetmelik hükmüyle söz konusu İlke Kararı’nın sağlık verileri açısından doğrudan uygulanması sağlanmaya çalışılmıştır.

- Kimliksizleştirme ve maskeleme uygulamaları:

Yönetmelik, sağlık hizmeti sunucularına, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verileri içeren basılı materyal üzerinde kimliksizleştirme ve maskeleme tedbirlerinin uygulanması gerektiğini düzenlemiştir. Bunun devamında materyalin yetkisi olmayan kişilerin eline geçmesi durumunda kime ait olduğunun tespit edilmesinin zorlaştırılmasından söz edilmiştir. Dolayısıyla burada esas amaç kişisel sağlık verisi içeren bir belgenin yetkisiz kişilerin eline geçmesi tehlikesine karşılık eline geçiren kişinin verinin ait olduğu gerçek kişiyi tespit edememesi ve bu tespitin mümkün olduğunca zorlaştırılmasıdır. Kimliksizleştirme ve maskeleme tedbirleri de bunu sağlayabilecek yöntemler olarak örnek gösterilmiştir. Öyleyse sağlık hizmeti sunucusu, bu amacı gerçekleştirecek başka tedbirler almakta da serbesttir; ancak her şekilde tespitin zorlaştırılması gerektiği unutulmamalıdır.

- İlgili kişinin hakları:

Yönetmelik, herkesin veri sorumlusuna başvurarak Kanun’un 11. maddesinde yer alan haklarını kullanabileceğini belirterek kişisel sağlık verilerine ilişkin olarak veri sorumlusuna başvuru ile ilgili kişinin haklarını kullanımı kavramlarını netleşmiştir.

- Veri sorumlusuna başvuru:

Ayrıca, bu başvuruda Kanun’un 13. maddesi ile Kurum’un 10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” hükümlerinin uygulanacağı belirtilerek ilgili mevzuatla uyumlu bir yol çizilmiştir.

- Aydınlatma yükümlülüğü:

Son olarak, yine ilgili mevzuatla uyumlu olma amacıyla aydınlatma yükümlülüğünün yerine getirilmesinde Kanun’un 10. maddesi ile Kurum’un 10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerinin uygulanacağı düzenlenmiştir.

5. Yönetmelik’in “Kişisel Sağlık Verilerine Erişim” başlıklı üçüncü bölümü

(Madde 6 – 11)

a. Sağlık personelinin verilere erişimi

Madde, Kanun ile belirlenmiş hususları tekrar etmekten öteye gidemeyen ancak önceki haline göre daha kapsamlı ve detaylı düzenlemeler içerir. Burada maddeyi olduğu gibi almaktansa dikkat çeken hususları şu şekilde toparlamak gerekir:

- Erişim, yalnızca sağlık hizmetinin gereği ile sınırlıdır.

- E-nabız hesabına erişim, ilgili kişinin kendi gizlilik tercihine bağlıdır. İlgili kişi, bu tercihleri belirlerken geçmiş sağlık verilerinin görüntülenememesinin aksaklık ve zararlara yol açıp açmayacağını göz önünde bulundurmalıdır. Zira bu kapsamda oluşabilecek sorumluluk Bakanlık’a ait değildir.

- E-nabız hesabı bulunmayan kişilerin sağlık verilerine yönelik erişim Kanun’un 6. maddesinde yer alan işleme şartları ile sınırlı tutulmuş ve kimler tarafından, hangi amaçlarla, hangi sürelere bağlı olarak erişimin gerçekleştirilebileceği detaylı bir şekilde belirlenmiştir. Bu düzenleme, sağlık verilerine ilişkin en büyük problemlerden biri olan, sağlık hizmeti sunucuları bünyesinde yer alan herkesin tüm ilgili kişilerin verilerine erişebilmesinin önünde büyük bir engel teşkil etmesi açısından oldukça yerindedir.

- Belirtilen erişim kuralları ihtiyaçlara göre Sağlık Bilgi Sistemleri Genel Müdürlüğü’nce yeniden değerlendirilebilirse de; böyle bir durumda aydınlatma yükümlülüğü kapsamındaki yükümlülükler yerine getirilmelidir.

- Kişisel sağlık verileri içinde mahremiyet düzeyi yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan niteliktekiler bakımından Bakanlık tarafından özel koruma önlemlerinin alınabileceği öngörülmüştür. Muhtemeldir ki kişinin cinsel sağlığına ilişkin veriler ve psikiyatrik veriler bu niteliktedir. Ancak bu nitelikli bir korumanın Bakanlığın inisiyatifine bırakılması bunun açıklık ve şeffaflık ilkelerine uyularak yapılması halinde anlamlı olacaktır.

b. Bakanlık birimlerinin verilere erişimi

Yönetmelik’in sağlık verilerine bakanlık birimlerinin erişmesini düzenleyen 7. maddesi, öncelikle Bakanlığın sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirecek kişileri belirlemeye yetkili olduğunu belirterek, yetki verilecek kişileri de her birimden en fazla üç kişiyle sınırlı tutmuştur. Böylelikle erişime yetkili kişiler bakımından bir sınırlama getirilmiştir.

Bunun yanında Kanun’a kıyasla yetkinin kullanılacağı konu bakımında da bir sınırlama getirildiği dikkat çekmektedir. Madde, yetkili kılının kişilerin, bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında kullanılabileceğini hüküm altına almıştır. Ayrıca her halde, bu kullanım, kişisel veri koruma mevzuatına uygun olmalıdır.

Bakanlığa geniş bir yetki verilmiş olduğu nedeniyle eleştirilen Kanun’un 6. maddesinin bu şekilde özel bir düzenlemeyle kısıtlanması, Bakanlık bile olsa sağlık verilerinin istenen her amaç doğrultusunda işlenemeyeceğinin açıkça belirtilmiş olması bakımından önemlidir. Yönetmelik’in bu maddesinin özellikle bu kapsamda dikkat çekici olduğunu düşünüyorum. Bakanlık bünyesinde dahi herkesin sağlık verilerine erişemeyeceği, erişebilenlerin de her amaç doğrultusunda bu verileri kullanamayacağının açıkça belirtilmesi ilgili kişilerin sağlık verileri üzerinde güven duyması ve verilerine kimlerin hangi kapsamda erişebileceğini bilebilmesi bakımından son derece olumlu bir gelişmedir.

c. Çocukların sağlık verilerine erişim

Maddeye göre, ebeveynler çocuklarının sağlık verilerine herhangi bir izne ihtiyaç duymaksızın e-Nabız sistemi üzerinden erişebilir. Bunun sınırı ise, ayırt etme gücüne sahip çocukların sağlık geçmişlerine erişimi e-Nabız üzerinden düzenleyebilmesidir. Mülga Yönetmelik’te ise çocukların ayırt etme gücüne sahip olup olmadığı ayrımı yapılmaksızın ebeveynlerin, sağlık verilerine erişebileceği düzenlenmekteydi. Ebeveynlerin çocuğun sağlık verilerine erişimi için velayet hakkı kriteri mevcuttu ve velayet hakkı sahibi olmayan ana veya baba velinin rızası olması kaydıyla on beş yaş altındaki çocuğun sağlık verilerine erişebilirdi. Eşlerin ikisi de velayet hakkı sahibi ise birbirlerinin onayı ile çocuğun kişisel verilerine erişebilirlerdi. Ancak yeni Yönetmelik, öncelikle yaş kriteri getirmeksizin mümeyyiz olan çocuğun sağlık geçmişine ebeveynlerinin erişimini izne tabi tutabileceğini hükme bağlamıştır. Kişi öz kontrolüne saygı gereği kanaatimce bu, ileri bir adımdır. Çocuğun erişim sınırı koymaması halinde ise ebeveynler birbirlerinin onayına gerek duymaksızın çocuğun sağlık verilerine erişebilecektir.

Boşanma halinde ise, velayet hakkı üzerinde olmayan taraf, çocuk ve velinin faydası olmak suretiyle kişisel verilerin korunması mevzuatına uygun bir şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuklarının verilerine erişebilir.

d. Hasta yakınlarının erişimi

Hasta yakınlarının sağlık verilerine erişimi, Kanun ilkelerine uygun bir şekilde yapılmak suretiyle Hasta Hakları Yönetmelik’inin 18. maddesinin 3. fıkrasına göre belirlenir. Buna göre esas olan hastanın kendisinin bilgilendirilmesidir. Hasta, bir başkasının bilgilendirilmesini talep ederse, bu talep kişinin imzası ile yazılı olarak kayıt altına alınır ve sadece bilgilendirilmesi istenen kişilere bilgi verilir.

e Avukatların erişimi

Maddeyle, avukatların müvekkillerinin sağlık verilerine genel vekaletname ile erişemeyeceği açıkça belirtilmiştir[5]. Avukatın, müvekkiline ait sağlık verilerine erişebilmesi ancak “sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede”, ilgili kişinin özel nitelikli verilerinin işlenmesi ve aktarılması yönünde “açık rızasını içeren özel bir hükmün” varlığı halinde mümkün olabilir.

f. Ölünün sağlık verilerine erişim

Yönetmelik’in 11. maddesiyle, ölüye ait sağlık verilerinin en az 20 yıl süreyle saklanacağı ve bu verilere veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak erişmeye yetkilidir.

6. Yönetmelik’in “Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması” başlıklı dördüncü bölümü (Madde 12 – 15)

a. Kişisel sağlık verilerinin gizlenmesi

Yönetmelik’in 12. maddesiyle hakkında gizlilik kararı verilen kişilerin sağlık verilerine erişimin usulü düzenlenmiştir. Belirlenen usulün yanı sıra, gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türdü tedbirin alınması gerektiğinin hüküm altına alınmış olması yine genel ilkelere uyumluluk bakımından önemlidir.

b. Kişisel sağlık verilerinin düzeltilmesi

Maddeyle kişisel sağlık verilerinin doğru bir biçimde tutulmasının usulü belirlenmiştir. Kişisel verilerin doğru tutulması hem Kanun’un “doğru ve gerektiğinde güncel olma” ilkesiyle hem de ilgili kişinin verilerinin düzeltilmesini talep etme hakkıyla güvence altına alınmış olan temel bir unsurdur.

Bu açıdan herhangi bir sorun olmamakla beraber maddenin getirdiği usulün tartışmaya açık olduğunu düşünüyorum. Zira Kanun ile ilgili kişiye verilen kişisel verilerin düzeltilmesini talep etme hakkı, veri sorumlusuna yapılacak bir başvuruyla kullanılabilir. Ancak söz konusu maddeyle il sağlık müdürlüğüne başvurulacak bir yol öngörülmüştür.

Bu durumda hangi yol geçerli olacaktır? Bana göre ilgili kişinin veri sorumlusuna başvurması Kanun ile kapsamlı bir şekilde düzenlenmiş olan tereddütsüz ve başka bir yasal düzenleme ile yok sayılamayacak bir başvuru yoludur. Bu nedenle Yönetmelik’in ilgili maddesiyle bu hakkın ortadan kalktığını söylemek mümkün değildir. Böyle bir durumda ancak sağlık verilerine ilişkin alternatif bir yol getirildiği söylenebilir. Dolayısıyla ilgili kişinin sağlık verilerinin düzeltilmesi talebini veri sorumlusuna yöneltmesi halinde, talebin bu maddenin gerekçe gösterilerek reddedilmesinin hukuka aykırı olacağını düşünüyorum. Bununla birlikte il sağlık müdürlüğüne yapılacak bir başvuru da kabul edilmelidir.

Ancak bu durumda da yönetmelik hükmüyle Kanun tarafından öngörülmeyen bir usulün ilk kez getirilmesi ve düzenlenmesi tartışılmalıdır. Kanun ile bu hak saklı tutulmuş olsa ve ardından yönetmelik hükmüyle böyle bir usul düzenlenmiş olsa herhangi bir sorun olmayacaktı. Ancak bu durumda hükmün açıklamaya ihtiyaç duyduğunu düşünüyorum.

Son olarak maddenin “sehven” tutulan sağlık verilerine ilişkin düzenlenmiş olması doğru tutulup ardından güncelliğini kaybeden verilerin de bu kapsama girip girmeyeceği sorusunu akıllara getirmektedir. Zira kişisel verilerin doğru tutulması ayrıca güncel tutulmasını da gerektirir. Dolayısıyla madde, bu açıdan da açıklanmalıdır.

c. Kişisel sağlık verilerinin imha edilmesi

Kişisel sağlık verilerinin imha edilmesi, Kanun’un 7. maddesi ile Kurum’un 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine bağlı kılınmıştır.

d. Kişisel sağlık verilerinin aktarılması

Hem yurtiçi hem de yurtdışı aktarım faaliyetleri için öncelikle Kanun hükümlerine atıf yapılmıştır.

Kişisel sağlık verilerinin kamu kurum ve kuruşlarına aktarılması için ise buna ilişkin bir protokol düzenlenmelidir. Bu protokolde veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümler yer almalı ve hangi verilerin aktarılacağı belirtilmelidir. Teknik altyapının uygun olması halinde aktarım KamuNET üzerinden yapılacaktır.

Ayrıca aktarıma ilişkin taleplerin Bakanlık birimi tarafından değerlendirileceği hüküm altına alınmıştır.

7. Yönetmelik’in “Bilimsel Amaçlarla İşleme ve Açık Sağlık Verisi” başlıklı beşinci bölümü (Madde 16, 17)

a. Bilimsel amaçlarla işleme

Madde dayanağını, Kanun’un tam istisna hallerini düzenleyen 28. maddesinde bulmaktadır. Buna göre anonim hale getirilen verilerle, bu kapsamda bilimsel çalışma yapılabilir. Yine aynı madde kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ve suç teşkil etmemek kaydıyla alınacak tedbirler doğrultusunda bilimsel amaçlarla işlenebilir.

b. Açık sağlık verisi

Yönetmelik’in 17. maddesinde hangi durumlarda açık sağlık verisinin söz konusu olabileceği düzenlenmiştir. Buna göre açık sağlık verisi için:

- Veri, Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer almalıdır.

- Açık sağlık verisi olabilmesi için, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurulmalıdır.

- Amaç, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak ile sınırlı olmalıdır.

- Belirtilen şartların oluşması halinde, internet sitesi üzerinden herkesin erişimine açıklanan veri açık sağlık verisini oluşturur ve buna ilişkin usul ve esaslar da Bakanlıkça belirlenir.

8. Yönetmelik’in “Veri Güvenliği” başlıklı altıncı bölümü (Madde 18 - 20)

a. Veri güvenliğine ilişkin yükümlülükler

Kişisel sağlık verilerinin güvenliğinin sağlanmasına ilişkin yeni bir düzenleme getirilmemiş olup; bu güvenliğin sağlanmasında Kanun’un 12. maddesi ile Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi’ne atıf yapılmıştır.

Kişisel verilerin korunmasına ilişkin bir ihlal veya güvenlik açığının söz konusu olması halinde veri sorumlusu tarafından Kurula yapılacak bildirime ilişkin de yine Kanun hükümleri ile Kurul düzenlemeleri esas alınacaktır.

b. Bilgi güvenliği

İlgili kuruluşlarca yürütülen bilgi güvenliği süreçleri Sağlık Bakanlığı tarafından hazırlanmış olan Bilgi Güvenliği Politikaları Yönergesi ile belirlenir. Söz konusu Yönerge’nin son güncellenme tarihi 2 Mayıs 2018 olup; gelişen teknoloji doğrultusunda güncellenmesi gerekir.

c. Yeterli önlemler

Kişisel sağlık verilerinin işlenmesinde alınması gereken yeterli önlemler için ilgili mevzuata uyumlu bir şekilde, Kanun’un 6. maddesi ile Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararına atıf yapılmıştır.

9. Yaptırım

Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanun’un 17. ve 18. maddeleri bakımından sorumluluk devam eder.

Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için idare hukuku kapsamında öngörülmüş olan disiplin soruşturması hükümleri uygulanır. Bu durumda kamu görevlisi olmayan sağlık sektörü çalışanları hakkında ne tür bir yaptırımın uygulanacağı sorusu akıllara gelebilir. Kamu görevlisi olmayan sağlık sektörü çalışanları için özel hukuk tüzel kişisi niteliğindeki sağlık kuruluşları tarafından 6698 sayılı Kanun ve bu Yönetmelikle uyumlu kişisel sağlık verilerinin korunmaması halinde uygulanacak yaptırımların ve disiplin prosedürünün bir iç politikayla belirlenmesi ve bildirilmesi gerekir.

Söz konusu madde ayrıca merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucuları hakkında da yaptırım usulü öngörmektedir. Bu kapsamda uygulanacak yaptırım, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun Ek 11. maddesinin 3. fıkrasına göre yapılır. Buna göre merkezi sağlık veri sistemine veri gönderimi yükümlülüklerine aykırı hareket eden sağlık kurum ve kuruşları iki defa uyarılır ve uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir. Ayrıca bu aykırılığın devam etmesi veya tekrarlanması halinde uygulanacak yaptırımlar madde devamında belirtilmiştir.

Burada akıllara gelecek soru, bir ihlalin hem 6698 sayılı Kanun hem de Sağlık Hizmetleri Temel Kanunu kapsamına girmesi halinde hangi hükümlerin uygulanacağıdır. Böyle bir durumda somut olayın durumuna göre olayın farklı kısımları hem Kanun’un hem de 3359 sayılı Kanun’un ihlali anlamına geliyorsa bir sorun yoktur; her iki Kanun da ayrı ayrı uygulanır. Ancak olay birbirinden ayrıştırılamıyorsa ve her iki Kanun’un da ihlali söz konusuysa hangi hükümlerin uygulanacağı tartışılabilir. Kanaatimce böyle bir durumda Kabahatler Kanunu’nun 15. maddesinin 1. fıkrasına göre en ağır idari para cezası uygulanır. Ancak 3359 sayılı Kanun tarafından ihlalin devamı veya tekrarı halinde para cezası dışında uygulanacağı öngörülen farklı idari yaptırımlar, her halde uygulanmalıdır.

Sonuç

Değerlendirme konusu Yönetmelik, yukarıda her bir madde özelinde değerlendirilmiştir. Burada tekrardan kaçınmak adına tek tek maddelere inmeyecek olmakla birlikte Yönetmelik’e ilişkin genel bir sonuca varılmalıdır.

Her şeyden önce uzun süredir tartışmalı olan kişisel sağlık verilerinin işlenmesinde uygulanacak yasal düzenleme hususunun söz konusu Yönetmelik ile giderilmesini umuyorum. Yukarıda yapılan değerlendirmeleri göz önünde bulundurduğumda Yönetmelik’in öncelikle ilgili mevzuatla uyumlu olması ve ardından önceki haline kıyasla daha belirli ve detaylı hükümler içermesi bakımından bu ihtiyacı giderecek nitelikte olduğunu söyleyebilirim.

Ancak yöntem açısından önceki Yönetmelik hakkında Danıştay tarafından verilen iki ayrı yürütmenin durdurulması kararı var iken ve işin esasına girilmemiş iken aceleyle bu Yönetmelik’in çıkartılmasını hukuka uygun değerlendirmediğimi de belirtmeliyim. Bu Yönetmelik’in çıkarılması, Danıştay tarafından verilecek gerekçeli karardan sonrasına bırakılmış olması ve bu kararda yer alan hususların göz önünde bulundurulmuş olması hukukun üstünlüğü ilkesiyle daha uyumlu olurdu.

Ayrıca yukarıda açıklanmasına ihtiyaç duyulduğunu belirttiğim maddelere ilişkin eleştirilerimi hatırlatmakla yetiniyorum.

Doç. Dr. Murat Volkan Dülger*

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

------------------------------

* Akademisyen/Avukat

[1] 15 D., 2016/10488, 2016/10500 YD. T. 06.07.2017.

[2] Yönetmelik hakkında değerlendirme yazısı için bkz: Murat Volkan Dülger, “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in Getirdikleri ve Dikkat Edilmesi Gereken Hususlar”; www.academia.edu.tr.

[3] 15 D., 2018/1490, YD T. 09.10.2018.

[4] Danıştay kararı hakkında değerlendirme yazısı için bkz: Murat Volkan Dülger, “Kişisel Sağlık Verileri Yönetmeliğinin Yürütmesinin Durdurulmasına İlişkin Danıştay’ın 9.10.2018 Tarihli Kararına İlişkin Değerlendirme”; www.academia.edu.tr.

[5] Yönetmelik’in bu maddesi oldukça eleştirilmiş ve İstanbul Barosu maddenin iptali için dava açmıştır.