3 Aralık 2025 tarihli ve Resmî Gazete’de yayımlanan “Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik”, kişisel sağlık verilerinin işlenmesi, bu verilere erişim ve veri güvenliği konusunda önemli değişiklikler getirmiştir.

Sağlık verilerinin kim tarafından, hangi amaçla ve ne kadar süreyle kullanılabileceği daha net kurallara bağlanmıştır.

Bu yazıda, söz konusu değişiklikler ele alınarak sağlık hizmeti sunucuları, avukatlar ve diğer veri sorumluları bakımından uygulamaya etkileri değerlendirilecektir.

I. Ebeveynler ve Bakım Verenlerin Sağlık Verilerine Erişimi

Yönetmelik değişikliği ile, çocuklar ile kısıtlı veya engelli bireyler bakımından sağlık verilerine erişim rejimi hem tanımsal hem de uygulamaya dönük olarak yeniden düzenlenmiştir.

Bu kapsamda Yönetmelikte ilk kez “bakım veren kişi” tanımı yapılmıştır. Buna göre;

• Çocuğun velisi veya vasisi,

• Engelli veya kısıtlı bireyin bakım ve gözetiminden sorumlu gerçek veya tüzel kişiler,

hukuken açık bir statü kazanmış; bu kişilerin sağlık verilerine erişimi bakımından uygulamada yaşanan belirsizlikler giderilmiştir.

Bu çerçeve, ebeveynler ve bakım verenlerin sağlık verilerine erişimi şu şekilde düzenlenmiştir:

• Geçici velayet sahibi ebeveyn, dava süreci boyunca çocuğun sağlık verilerine erişebilir.

• Boşanma sonrası velayet sahibi ebeveyn, çocuğun sağlık verilerine doğrudan erişim hakkına sahiptir.

• Velayet sahibi olmayan ebeveyn, adres ve iletişim bilgileri gizlenmek suretiyle yalnızca çocuğun sağlık durumuna ilişkin verilere erişebilir.

• Engelli raporu bulunan kişilerin sağlık verilerine, yetkilendirilmiş bakım verenler erişebilir.

Bu düzenlemeler, çocuğun ve kısıtlı bireyin üstün yararı ile kişisel sağlık verilerinin korunması arasında ölçülü ve dengeli bir yapı kurulmasını amaçlamaktadır.

III. Avukatların Sağlık Verilerine Erişimi ve Açık Rıza Şartının Kaldırılması

Yönetmelik değişikliği ile birlikte, avukatların sağlık verilerine erişimi için vekaletnamede özel nitelikli kişisel verilerin işlenmesine ilişkin açık rıza içeren özel bir hüküm aranmasını öngören düzenleme yürürlükten kaldırılmıştır.

Buna göre, avukatların kişisel sağlık verilerine erişimi artık 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde düzenlenen özel nitelikli kişisel veri işleme şartları çerçevesinde değerlendirilecektir. Sağlık verilerine erişim, açık rızaya dayalı mutlak bir hak olarak değil; hukuki temsilin gerektirdiği ölçüde ve amaçla sınırlı olarak mümkün olacaktır.

Bu düzenleme, özellikle malpraktis davaları, hasta ve hekim vekilliği, tazminat ve ceza soruşturmaları bakımından uygulamada yaşanan ciddi sorunların önüne geçmeyi ve hukuki temsilin etkinliğini artırmayı amaçlamaktadır.

IV. Sağlık Çalışanlarının Sağlık Verilerine Erişiminde Yeni Kurallar

Değişikliğin en dikkat çekici yönü, sağlık verilerine erişim yetkilerinin kapsam ve süre bakımından yeniden tanımlanmasıdır.

Bu çerçevede:

• Aile hekimleri, bireyin bağlı olduğu aile hekimi olmak kaydıyla, süre sınırlaması olmaksızın kişisel sağlık verilerine erişebilecektir.

• Tedavi sürecindeki hekimler, yalnızca ilgili sağlık hizmetiyle doğrudan bağlantılı işlemler tamamlanıncaya kadar erişim sağlayabilecektir.

• Yatış yapılan sağlık kurumlarında, taburcu anına kadar görevli hekimlerin erişimi mümkün olacaktır.

• Acil servislerde, sunulan acil sağlık hizmeti ile sınırlı olmak kaydıyla erişim öngörülmüştür.

Bu yaklaşım, KVKK’nın amaçla sınırlılık, veri minimizasyonu, işleme süresiyle sınırlılık ilkeleriyle uyumu amaçlamaktadır.

V. e-Nabız Güvenlik Tercihleri ve Bireysel Kontrolün Güçlendirilmesi

Yönetmelik değişikliği, e-Nabız sistemi üzerinden belirlenen güvenlik tercihlerine hukuki nitelik kazandırmıştır.

Buna göre;

• Kişiler, sağlık verilerine erişimi sınırlandırabilecek,

• Gerekli hallerde doğrulama kodu paylaşımı yoluyla kontrollü erişim sağlanabilecektir.

Ancak  tutukluluk, hükümlülük, telefon doğrulamasına erişimin fiilen mümkün olmadığı istisnai durumlarda, KVKK’nın özel nitelikli veri işleme şartları çerçevesinde erişimin devam edebileceği açıkça düzenlenmiştir.

VI. Kurum İçi Veri Erişim Yetkilerinin Sınırlandırılması

Yönetmelik değişikliği, sağlık kuruluşları içindeki kullanıcı yetkilendirmelerine de doğrudan etki etmektedir.

Bu çerçevede;

• Birim amiri talebiyle yetkilendirilen kullanıcıların sağlık verilerine erişimi,

• KVKK m. 6/3’te öngörülen özel nitelikli veri işleme şartlarıyla sınırlı hale getirilmiştir.

Bu durum, sağlık kuruluşlarının yetki matrisi, erişim logları ve iç denetim mekanizmalarını yeniden yapılandırmasını zorunlu kılmaktadır.

VII. Vefat Eden Kişilerin Sağlık Verilerinin Saklama Süresi

Yönetmelik değişikliğiyle, vefat eden kişilere ait sağlık verilerinin saklama süresi 20 yıldan 30 yıla çıkarılmıştır.

Bu düzenleme; arşivleme yükümlülükleri, eski hasta kayıtlarının muhafazası, hukuki uyuşmazlıklarda delil niteliği bakımından sağlık kuruluşları açısından önemli sonuçlar doğurmaktadır.

Sonuç

3 Aralık 2025 tarihli değişiklikler, kişisel sağlık verilerinin işlenmesi ve erişimi bakımından KVKK merkezli, ölçülü ve uygulamaya yön veren bir sistem kurmaktadır.

Bu yeni dönemde sağlık hizmeti sunucularının, avukatların, kamu ve özel sektör veri sorumlularının erişim yetkileri, saklama süreleri ve iç politika belgelerini yeniden değerlendirmesi; hukuki ve teknik uyum süreçlerini eş zamanlı yürütmesi büyük önem taşımaktadır.

Arb. Av. Ayşe Gül HANYALOĞLU