Sağlık Bakanlığı 7 Temmuz 2020 tarihinde muayenehane, poliklinik ve merkezlere gönderdiği yazıyla 1 Eylül 2020 tarihine kadar ilgili sağlık kurumlarının Muayene Bilgi Yönetim Sistemi ’ne (#MBYS ) entegre olmaları gerektiği bildirilmiştir. Aynı yazıda, özel muayenehanesi olan hekimler ile diş hekimlerinin, özel ağız diş sağlığı polikliniği ve özel ağız diş sağlığı merkezlerinin sisteme entegre olarak ameliyat, muayene gibi özel nitelikli kişisel sağlık verilerini Sağlık Bakanlığı’na aktarılması talep edilmiştir.
Hastalara ait kişisel sağlık verilerinin aktarılması talebi karşısında, hekimlerin tereddütte düşecekleri, hasta bilgilerinin mahremiyeti, hasta hekim arasındaki güven ilişkisi ve meslek etiği kuralları ile ilgili talimat arasında kendilerini sıkışmış hissedeceklerini tahmin etmek zor olmayacaktır. Bu nedenle ilgili talebi, mevcut hukuksal düzenlemeler kapsamında inceleyelim.
Anayasa’nın 20/3 maddesinde (ek fıkra 07.05.2010); “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklinde temel kural mevcuttur.
Anayasanın işaret ettiği kanuni düzenleme 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun olarak yürürlüğe girmiştir. Kişisel sağlık verilerine ilişkin düzenleme de ilgili kanunun 6.maddesinde yer almaktadır. 6698 sayılı yasanın 6/1 maddesine göre kişilerin sağlığına ilişkin veriler “özel nitelikli” kişisel veridir. Aynı kanunun 6/2’inci maddesinde; “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu” şeklinde açık kural mevcuttur.
Özel nitelikli olan kişisel sağlık verilerin “#açıkrıza aranmaksızın işlenebilmesi için yasanın 6/3‘ün maddesinde yer alan işlenme amaçlarının mevcut olması gerekir. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, açık rızası aranmaksızın işlenebilir. Ayrıca yasaya göre “Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Bu durumda, KVKK madde 6/3’de sayılan sebeplerden birinin bulunmaması halinde ilgilinin açık rızası alınmaksızın kişisel sağlık verileri paylaşılamaz. Zira Türk Ceza Kanunu 136’ıncı maddesinde “Verileri hukuka aykırı olarak verme veya ele geçirme” suçu başlığı altında; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” şeklinde hüküm mevcuttur.
Sağlık Bakanlığı’nın 7 Temmuz 2020 tarihinde ilettiği Muayene Bilgi Yönetim Sistemi yoluyla kişisel sağlık verilerinin aktarılması talebinin yasal gerekçesi “Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27/8. maddesi” gösterilmiş ve verilerin işlenme amacı da “kayıt dışı ekonomik faaliyetlerin sınırlandırılması” olduğu belirtilmiştir. Ancak yukarıda belirttiğimiz KVKK 6/3’üncü maddesinde, kişisel sağlık verilerinin ilgilinin açık rızası olmadan aktarılmasına izin veren bu yönde bir amaç yer almamaktadır.
Ayrıca yasal dayanak olarak gösterilen; “Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27/8. maddesi” hakkında Danıştay 15. Dairenin 15.1.2019 tarih ve 2018/530 E. sayılı kararıyla yürütmeyi durdurma kararı verilmiştir.
Anayasa’nın 138. maddesine göre; “Yasama ve yürütme organları ile idare, mahkeme kararlarına uymak zorundadır; bu organlar ve idare, mahkeme kararlarını hiçbir suretle değiştiremez ve bunların yerine getirilmesini geciktiremez.” Bu şartlar altında yürütmeyi durdurma kararı verilen bir düzenlemenin gerekçe yapılması hukuken mümkün değildir.
Sonuç olarak; mevcut hukuk kuralları çerçevesinde, kişisel verilerin kamu otoriteleri tarafından işlenmesi sürecini kontrol edecek ve denetleyecek sistemlerin işler hale getirilmesi, toplanan verilerin işlenmesinin belirlenen meşru amaçlarla sınırlı kalması ve en önemlisi ilgilinin açık rızasının alınması kaydıyla kişisel sağlık verilerinin aktarılabileceği açıktır. Ayrıca veri toplama amacının sağlık politikalarına yön vermek olması halinde ise sağlık hizmeti verilerinin kişisel bilgilerden arınmış, anonim hale getirilerek toplanabileceği hususları göz önünde bulundurularak, Sağlık Bakanlığı’nın 7 Temmuz 2020 tarihli talimatını geri alarak mevcut düzenlemeler kapsamında gözden geçirmesi en doğru çözüm olacaktır.
17.08.2020
Av. Ayşe Gül Hanyaloğlu
HANYALOĞLU- ACAR HUKUK BÜROSU
Comments