Kişisel Sağlık Verileri Hakkında Yönetmelik
21 Haziran 2019 tarihli Resmi Gazete’de Kişisel Sağlık Verileri Hakkında Yönetmelik (“Yönetmelik”) yayımlanarak yürürlüğe girmiş ve 2018 yılında Danıştay kararıyla[1] yürütmesi durdurulan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’’ yürürlükten kaldırılmıştır.
Bu defa, yürürlüğe giren Yönetmelik ile birlikte kişisel sağlık verisi işleyen özel hukuk kişileri ile kamu kurumlarının, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamaları kapsamında aşağıdaki hususlar düzenlenmiştir:
(i) Kişisel verilerin işlenmesine dair genel ilke ve esaslar,
(ii) Sağlık hizmeti sunumunda görevli kişilerin kişisel verilere erişimi,
(iii) Kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması,
(iv) Veri güvenliğine dair hususlar ile sair hususlar.
Yönetmelik’in amacı, mevcut düzenlemelerin, Kişisel Verilerin Korunması Kanunu (“KVKK”)[2] ile uyumlu hale getirilmesi ve olası çakışmaların önlenmesidir.
Kişisel Verilerin İşlenmesine Dair Genel İlke ve Esaslar
Yönetmelik’in “Genel İlke ve Esaslar” başlıklı kısmında Kanun ve ikincil düzenlemelerine atıflar yapılarak Kişisel Verileri Koruma Kurulu’nun (“Kurul”) ilke kararlarına uygun detaylı bilgi güvenliği tedbirlerine yer verilmiştir.
İlgili başlığın içeriğinde yer alan önemli noktaları ise şu şekilde sıralanmaktadır:
a) Kişisel verilerin işlenmesi, tamamen KVKK ile uyumlu hale getirilmiştir. Buna göre eski mevzuatlara kıyasen kişisel sağlık verilerinin işlenmesi, imha edilmesi, aktarılması gibi hususlar KVKK ile paralellik gösterecek şekilde düzenlenmiştir.
b) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı hüküm altına alınmıştır.
c) Kişisel veri mevzuatının temeline uygun olarak, veri işlenmesi şart bir hizmet alımı için şart olamayacağından hareketle sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağı hüküm altına alınmıştır.
d) Kişisel Verileri Koruma Kurulunun 21 Aralık 2017 Tarihli ve 2017/62 Sayılı İlke Kararı’na[3] paralel olarak; sağlık hizmeti sunucuları tarafından, banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınması gerektiği düzenlenmiştir. Buna göre yetkisiz personel, sağlık verisi sahibinin verilerini göremeyecektir. Bunun faydası ise vatandaşların sağlık verilerinin mahremiyetine dair tedbir alınmasıdır.
e) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme[4] veya maskeleme[5] tedbirleri adı altında anonim hale getirilmesi yoluyla söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirler alacaktır.
Sağlık Hizmeti Sunumunda Görevli Kişilerin Kişisel Verilere Erişimi
“Kişisel Sağlık Verilerine Erişim” başlıklı kısımda ise sağlık personelinin, Sağlık Bakanlığı birimlerinin, hasta yakınlarının ve avukatların sağlık verilerine erişimi ve çocuklara ve ölülere ait sağlık verilerine erişim hususları ayrıntılı olarak düzenlenmiştir. Düzenleme ile verilere erişimin sınırlandırılması amaçlanmakta olup, bunlar aşağıda şekildedir:
a) Özel korumayı gerektiren sağlık verilerinin korunması açısından sağlık hizmeti sunumunda görevli olan sağlık personeli ve bakanlık birimlerinin verilere ulaşımını, “e-nabız[6]” sistemi üzerinden kişinin belirleyebileceği yetki ve sınırlar doğrultusunda gerçekleşecektir. Bu sistem, kişisel verisi işlenen kişinin sağlık verilerine kimlerin erişip erişemeyeceğine dair kişisel izin veren merkezi elektronik sistemdir.
b) Kişisel verilere erişime dair başkaca özel düzenlemeler getirilmiştir. Bunlar (i) avukatların verilere erişimi için özel yetkili vekaletname gerekmesi, (ii) ebeveynlerin çocuklarına ait sağlık kayıtlarına doğrudan e-nabız üzerinden erişmesi ve ayrıt etme gücüne sahip çocuğun e-nabız gizlilik yetkilerinin düzenleyebilmesi (ebeveynlerinden gizli tutma hakkı), (iii) ölmüş bir kimsenin sağlık verilerinin ise en az 20 yıl süreyle saklanacağı ve bu verilere erişimin ancak yasal mirasçıların veraset ilamını ibraz etmek suretiyle gerçekleşeceği düzenlenmiştir.
Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması
Bu kısımda Kişisel sağlık verilerinin gizlenmesinde yetkili mercilere ve buna ilişkin usullerin ne şekilde olacağı, kişisel verilerin düzeltilmesine ilişkin usul ve sürece, kişisel sağlık verilerinin imha edilmesine ilişkin usul ve esaslara ve kişisel sağlık verilerinin aktarılmasında uyulması gereken usullere ilişkin hususlara yer verilmiştir. Bu bağlamda, kişisel sağlık verilerinin gizlenmesi ve düzeltilmesi konusunda İl Sağlık Müdürlüklerine önemli görevler verilmiştir.
Kişisel sağlık verilerinin imha sürecinde Kanun’un 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” doğrultusunda imha sürecinin ilerleyeceği belirtilmiştir. Kişisel sağlık verilerinin aktarımı hususunda da KVKK’ya atıf yapılmış olup, verilerin aktarımının ve teknik altyapının uygun olduğu durumlarda KamuNET[7] üzerinden veri aktarımının sağlanacağı belirtilmiştir.
Veri Güvenliğine Dair Hususlar ile Sair Hususlar
Yönetmelik’in ‘’Veri Güvenliği’’ başlıklı düzenlemelerinde kişisel sağlık verilerinin güvenliği, bilgi güvenliği ve bu verilerin korunması için alınacak önlemler belirtilmiştir. Buna göre, Kanun’un 12. maddesinde yer alan güvenlik tedbirlerine atıf yapılarak, teknik ve idari tedbirlerin alınmasında Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi’nin esas alınacağı düzenlenmiştir. Yürütülen süreçlerinin, Bilgi Güvenliği Politikaları Yönergesi ile belirleneceği ve özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli önlemler bakımından da Kurul tarafından yapılan ikincil düzenlemelere riayet edileceği düzenlenmiştir.
Sonuç olarak Kişisel Verilerin Korunması Kanunu uyarınca özel nitelikli kişisel veriler arasında yer almakta olan gerçek kişiye ait sağlık verileri sıkça işlenmekte olan bir özel nitelikli veri türüdür. Yeni Yönetmelik ile mülga yönetmelikten daha detaylı düzenlemeler yapılmış olup, Yönetmelik’in birçok maddesinde Kanun maddelerine atıfta yapılarak Kanun ile daha uyumlu hale getirilmiştir.
Buna ilaveten, vatandaşların kullanımına 2015 yılında sunulan E-nabız uygulamasının kanunda lafzen de ifade edilmesi, akıllı telefonların kullanım oranlarının her geçen yıl daha da arttığı günümüzde, bu uygulamanın kişisel sağlık verilerinin korunması aşamasında önemli bir araç haline geleceğini göstermektedir. Bunun başlıca sebeplerinden biri ise kişilerin sağlık verilerinin bu sistem üzerinde tutulması, kişinin sağlık verilerine kimlerin erişebileceğini bu uygulama üzerinden düzenleyebilmesidir.
Bültenimiz ile alakalı olarak aklınıza takılan herhangi bir husus olması halinde her daim bizlere ulaşabilirsiniz.
Av. Mahmut Barlas
Published :
Categories: Data Protection