Sağlık hizmetinin yerine getirilebilmesi için sağlık kurumları ve doktorların, kişisel sağlık verisi işlemeleri kaçınılmazdır. Türkiye'de bu verilerin işlenebilmesi için belirlenen şartlar ve alınması gereken koruma tedbirleri, Kişisel Verileri Koruma Kanunu (KVKK) ve ilgili diğer mevzuatlarla düzenlenmiştir. Bu yazıda kişisel sağlık verilerinin işlenmesine ilişkin temel konuları ve yasal şartları ele alacağız.
Kişisel Verinin Tanımı
Kişisel veri, bireyin kimliğini belirleyebilecek veya belirlenebilir kılabilecek tüm bilgileri içerir. 6698 sayılı KVKK'nın 3. maddesinde bu tanım, "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak açıklanmıştır. Kişisel veri, bir kişiyi diğer bireylerden ayıran, onun şahsiyetini, profesyonel ve ailevi özelliklerini, kişisel niteliklerini ortaya koyar. Bu tanım geniş bir bilgi yelpazesini kapsayarak adı, adresi, medeni durumu, T.C. kimlik numarası, doğum tarihi, milliyeti, inançları, görüşleri, fiziksel özellikleri, etnik kökeni, mesleği, fotoğrafı, e-posta adresi, ikamet ve banka bilgileri, mezuniyet durumu, iş hayatı, mali durumu, sosyal medya ve internet üzerindeki paylaşımlar, sağlık bilgileri, DNA, genetik ve biyometrik verileri gibi öğeleri içermektedir.
Kişisel Verilerin İşlenme Şartları
Açık Rıza:
KVKK 5/1 maddesi gereğince, kişisel sağlık verilerinin işlenmesi için veri sahibinin açık rızası esastır. Açık rıza, veri sahibinin bilgilendirildikten sonra özgür iradesiyle verdiği onayı temsil eder ve veri sahibinin tam olarak neye onay verdiğinin farkında olması gerekmektedir. Rıza belirgin, bilgilendirici ve özgür iradeye dayanmalıdır; zorlama veya yanıltıcı koşullar içermemelidir.
Açık Rıza İçin Gerekli Unsurlar:
Açık rıza alırken dikkat edilmesi gereken unsurlar şunlardır:
1. Belirginlik: Rıza, işlenecek verilerin ve amaçlarının açık bir şekilde tanımlanması gerektirir.
2. Bilgilendirme: Veri sahibine, verilerin işlenme yöntemleri ve süreleri hakkında net bilgiler sunulmalıdır.
3. Özgürlük: Rıza, herhangi bir baskı veya yanıltıcı unsura dayanmamalıdır.
4. Belirli Amaçlar: Rıza, sadece işlenecek verilerle ve belirli amaçlar için alınmalıdır.
5. Geri Alınabilirlik: Veri sahibi, istediği zaman rızasını geri alabilmelidir.
Açık Rıza Aranmadan Kişisel Verilerin İşlenmesi:
KVKK'nın 5/2 maddesine göre, belirli şartlar altında kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenebilir. Yasanın belirlediği şartlar; "kanunlarda açıkça öngörülmesi, acil durumlar, sözleşmenin kurulması veya ifası, hukuki yükümlülükler, verilerin alenileştirilmesi, bir hakkın kullanılması veya korunması ve veri sorumlusunun meşru menfaatleri " şeklindedir.
KVKK madde 5 çerçevesinde kişisel verilerin işlenme şartlarına örnekler verelim:
- Kanunlarda Açıkça Öngörülmesi: Örneğin, bankaların müşterilerinin finansal işlemlerini, kara para aklamayla mücadele kanunları çerçevesinde işlemesi.
- Fiili İmkânsızlık Durumu: Acil tıbbi durumlarda, hasta rızasını ifade edemeyecek durumdaysa, yaşamsal öneme sahip tıbbi verilerin işlenmesi.
- Sözleşmenin Kurulması veya İfası: Bir kiralama sözleşmesi için kiracının kimlik ve adres bilgilerinin toplanması.
- Hukuki Yükümlülüğün Yerine Getirilmesi: İşverenlerin, çalışanlarına ait Sosyal Güvenlik Kurumu (SGK) bilgilerini bildirmesi.
- Alenileştirilmiş Veriler: Bireyin sosyal medyada yayınladığı kişisel bilgilerin işlenmesi.
- Hakkın Tesisi, Kullanılması veya Korunması: Bir suç soruşturması kapsamında mahkeme kararıyla şüphelinin kişisel verilerinin toplanması.
- Meşru Menfaatler: Bir şirketin, dolandırıcılıkla mücadele amacıyla müşteri işlemlerini izlemesi.
Özel Nitelikli Kişisel Verilerin Tanımı ve Sağlık Verisinin İşlenmesi Koşulları
Özel Nitelikli Kişisel Verilerin Tanımı:
Kişisel verilerin tanımını ve işlenme şartlarını ele aldıktan sonra, bireylerin daha derin mahremiyet alanlarına dokunan ve bu nedenle ekstra koruma ve özen gerektiren hassas verilere odaklanacağız. Bu kategori içinde yer alan sağlık verileri, özel nitelikli kişisel veriler arasında önemli bir yere sahiptir.
Kişisel Sağlık Verisi Tanımı ve İşlenebilmesi Koşulları:
Kişisel sağlık verisi, bireyin fiziksel ve ruhsal sağlık durumu hakkında her türlü bilgiyi kapsar. Bu bilgiler, ilgili kişinin geçirdiği hastalıklar, tedavi süreçleri, kullandığı ilaçlar ve laboratuvar sonuçları gibi sağlık ve tedavi hizmetlerine dair geniş bir yelpazeyi içerir. Kişisel Verilerin Korunması Kanunu'nun (KVKK) 6. maddesi ve Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (GDPR) 4. maddesi uyarınca, kişisel sağlık verileri özel nitelikli kişisel veriler kategorisinde değerlendirilir.
KVKK'nın 6. maddesi, özel nitelikli kişisel verilerin işlenmesi şartları için önemli düzenlemeler içerir. Bu madde, bireylerin ırkı, etnik kökeni, siyasi düşünceleri, dini inançları, sağlık ve cinsel hayatı gibi hassas verileri kapsar ve bu verilerin işlenmesinin ilgili kişinin açık rızası olmaksızın işlenmeyeceğini belirtir.
Sağlık Verisinin Açık Rıza Olmadan İşlenebilmesi:
KVKK'nın 6/3 maddesi uyarınca sağlık ve cinsel hayata ilişkin kişisel veriler, istisnai durumlarda, yalnızca yetkili kişiler veya kurumlar tarafından, ilgili kişinin rızası olmaksızın işlenebilir.
Sağlık verisinin açık rıza olmadan işlenebilmesi istisnaları yasada şu şekilde belirtilmiştir;
"Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir."
Bu ifade, yasada açık rıza istisnasının "sır saklama yükümlülüğü altında bulunan kişiler" yani hekimler ve sağlık çalışanları tarafından işlenebileceğini belirtmektedir. Dolayısıyla, hekimler teşhis ve tedavi hizmetlerini yerine getirirken açık rıza şartı aranmaksızın sağlık verisi işleyebilirler. Ancak, bu veri işleme faaliyeti yasal çerçevede belirtilen amaçlarla sınırlı olmalıdır.
Kişisel Sağlık Verilerinin İşlenmesi Sırasında Alınması Gereken Önlemler
Kişisel sağlık verilerinin işlenmesi sırasında KVKK kapsamında alınması gereken önlemler, verilerin korunmasını ve hukuka uygun işlenmesini sağlamak için kritik önem taşımaktadır. Bu önlemler hem teknik hem de idari tedbirleri kapsamaktadır.
1. Teknik Tedbirler:
- Veri Şifreleme: Kişisel sağlık verilerinin şifrelenmesi, bu verilerin yetkisiz kişiler tarafından erişilmesini ve okunmasını önlemek için kritik bir önlemdir.
- Erişim Kontrolleri: Sağlık verilerine sadece yetkili personelin erişimi sağlanmalı ve her kullanıcının erişim seviyesi, görev ve sorumluluklarına göre ayarlanmalıdır.
- Güvenlik Duvarları ve Antivirüs Yazılımları: Veri tabanlarının güvenlik duvarları ve güncel antivirüs yazılımları ile korunması, siber saldırılara ve zararlı yazılımlara karşı önemli bir savunma hattı oluşturur.
- Ağ Güvenliği: Veri aktarımı ve iletişimi sırasında kullanılan ağların güvenliği, güvenli ağ protokolleri (örneğin SSL, TLS) kullanılarak sağlanmalıdır.
- Fiziksel Güvenlik: Fiziksel sunucular ve veri saklama alanları, yetkisiz erişime ve fiziksel zararlara karşı korunmalıdır.
- Veri İhlallerine Karşı İzleme ve Müdahale: Veri ihlallerinin tespiti ve bunlara hızlı müdahale edebilmek için etkin izleme ve alarm sistemlerinin kurulması gerekmektedir.
2. İdari Tedbirler:
Kişisel sağlık verilerinin korunması ve KVKK'ya uyum sağlamada, teknik tedbirlerin yanı sıra idari tedbirler de büyük önem taşımaktadır. Bu tedbirler, veri güvenliği politikalarının oluşturulması ve uygulanmasından, çalışan eğitimlerine kadar geniş önlemeleri kapsar.
- Veri Koruma Politikaları: Kurumlar, veri koruma ve işleme politikalarını titizlikle oluşturmalı ve bu politikaları tüm çalışanlarla paylaşmalıdır. Bu politikalar, veri işleme süreçlerinin yasal çerçeveye uygun şekilde yürütülmesini sağlamak için esastır.
- Çalışan Eğitimi: Çalışanların kişisel veri koruma prensipleri, KVKK ve GDPR gibi mevzuatlar konusunda düzenli olarak eğitilmesi, veri koruma bilincinin artırılmasına ve yanlış uygulamaların önlenmesine yardımcı olur.
- Risk Değerlendirmesi: Veri işleme faaliyetlerinin düzenli olarak risk değerlendirmesine tabi tutulması, potansiyel tehditlerin ve zafiyetlerin proaktif bir şekilde belirlenmesini sağlar.
- Veri İşleme Kayıtları: Tüm veri işleme faaliyetlerinin kayıt altına alınması, şeffaflık ve hesap verebilirlik açısından önemlidir. Bu kayıtlar aynı zamanda olası bir denetim, soruşturma ve malpraktis davalarında ispat aracı olarak kullanılır.
- İç Denetim: Kurum içi düzenli denetimlerle veri koruma süreçlerinin etkinliği ve uygunluğu değerlendirilmeli, sürekli iyileştirme için gerekli adımlar atılmalıdır.
Bu idari tedbirler, kişisel sağlık verilerinin korunmasında ve KVKK'ya uyumu sağlar. Veri sorumluları ve işleyenlerin, bu tedbirleri etkin bir şekilde uygulaması, yasal yükümlülüklerin yerine getirilmesinin yanı sıra, veri sahiplerinin güvenini de artırır.
21 Haziran 2019 tarihinde yürürlüğe giren “Kişisel Sağlık Verileri Hakkında Yönetmelik”, kişisel sağlık verilerinin işlenmesiyle ilgili önemli düzenlemeler getirmiştir. Yönetmelik, sağlık verilerinin işlenmesi sürecinde genel ilkeleri ve detaylı kuralları belirlemektedir ve özellikle e-Nabız Sistemi'nde yer alan sağlık verileri, çocuklara ait sağlık verilerine erişim ve sağlık personelinin bu verilere erişimi gibi konuları kapsar.
Kişisel Sağlık Verileri Hakkında Yönetmelikte öne çıkan bazı önemli noktalar şunlardır:
1. Sağlık Personelinin Erişimi: Sağlık personeli, sağlık verilerine sadece sağlık hizmetinin gereğiyle sınırlı olarak erişebilir. İlgili kişiler, gerekli olmayan durumlarda sağlık verilerinin dökümünü sunmaya zorlanamaz.
2. e-Nabız Sistemi ve Gizlilik Tercihleri: e-Nabız hesabı bulunan kişiler, kendi gizlilik tercihleri çerçevesinde sağlık verilerine erişebilir. Kişiler, bu tercihleri e-Nabız üzerinden değiştirebilir.
3. e-Nabız Hesabı Olmayanlar için Erişim Süreleri: e-Nabız hesabı bulunmayan kişilerin sağlık verilerine erişim, sınırlı süreler ve belirli koşullar altında mümkündür.
4. Basılı Materyallerde Kimliksizleştirme/Maskeleme: Sağlık hizmeti sunucuları, hastaya ait kişisel sağlık verilerini içeren basılı materyallerde kimliksizleştirme veya maskeleme tedbirleri uygular.
5. Sağlık Bakanlığı'nın Rolü: Sağlık Bakanlığı, mahremiyet düzeyi yüksek olan sağlık verilerini belirleyebilir ve bu verilere erişime ilişkin kısıtlamalar getirebilir.
Ayrıca, yönetmelik, veri işlemenin meşru amaçlarını ve sınırlarını belirterek, sağlık verilerinin sadece tıbbi teşhis, tedavi ve bakım hizmetleri için işlenmesine izin verirken, reklam veya pazarlama gibi diğer amaçlar için kullanımını yasaklar. Olası veri ihlalleri ve bu ihlallerin yasal sonuçları, özellikle idari ve cezai yaptırımlar da yönetmelik kapsamında ele alınmaktadır.
Bu nedenle, tüm sağlık verilerini işleyen tüm kurum ve kuruluşlar ile sağlık çalışanlarının, sağlık verilerinin işlenmesi sürecinde bu sıkı koşullara ve düzenlemelere uyum sağlaması büyük önem taşımaktadır. Veri güvenliği yükümlülüklerinin ihlali durumunda uygulanabilecek ciddi idari para cezaları da ilgili kişi ve kurumları zor durma sokabilmektedir.
Sonuç Olarak;
Kişisel Sağlık Verileri Hakkında Yönetmelik ve KVKK kapsamında alınması gereken teknik ve idari tedbirler, sağlık sektöründe faaliyet gösteren doktorlar ve sağlık kurumları için sadece bir yükümlülük değil, aynı zamanda hasta mahremiyetinin korunması ve sağlık hizmetlerinin güvenilirliğinin artırılmasında kritik bir rol oynamaktadır. Özellikle e-Nabız gibi sistemlerin kullanımı ve veri güvenliği konusunda alınan önlemler, modern sağlık hizmetlerinin vazgeçilmez bir parçası haline gelmiştir.
Son olarak, sağlık verilerinin işlenmesi ve korunması konusunda sürekli güncellenen yasal mevzuat, sağlık sektörü profesyonellerini sürekli bilgi güncellemesi ve eğitim gerekliliği ile karşı karşıya bırakmaktadır.
Arb. Av. Ayşe Gül Hanyaloğlu
HANYALOĞLU&ACAR HUKUK BÜROSU