Sağlık Personelinin Kişisel Sağlık Verilerine Erişimi Hakkında Yayımlanan Yönetmelik kapsamında inceleme yapacağız.
21.06.2019 tarihinde yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik, kişisel sağlık verilerine ilişkin olarak, kendisinden önceki düzenlemelere nazaran çok daha kapsamlı bir koruma öngörmüştür. Bu makalede, bu yönetmelikte oldukça detaylı bir biçimde hüküm altına alınan, sağlık personelinin kişisel sağlık verilerine erişimi konusu hakkında açıklamalar yapılacaktır.
Yönetmeliğin ‘Sağlık Personelinin Verilere Erişimi’ başlıklı 6. maddesinin ilk fıkrası gereğince; sağlık hizmeti sunumunda görevli olan kişiler, ilgili kişilerin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilecektir.
Fıkra metninden de anlaşıldığı üzere, sağlık hizmeti sunan kişilere, ilgili kişilerin kişisel sağlık verilerine erişmeleri konusunda amaçsal bir sınırlama getirilmiştir. Bu düzenleme isabetli olsa da ‘sağlık hizmetlerinin gereği’ tabiri, somut bir çerçeve çizmemektedir. Kanaatimizce, hangi eylemlerin ‘sağlık hizmetlerinin gereği’ olarak kabul edilip edilemeyeceği, uygulamada ve uygulamalara denetim otoritelerinin vereceği olumlu ve olumsuz tepkilerle gelecekte şekillenecektir.
İlgili kişilerin sağlık verilerine erişim prosedürü, ilgili kişinin e-Nabız hesabı olup olmamasına göre ayrı ayrı düzenlenmiş; maddenin 2. fıkrasında e-Nabız hesabı olan, 3. fıkrasında ise e-Nabız hesabı olmayan ilgili kişilere ilişkin olarak düzenleme yapılmıştır.
E-Nabız Hesabı Bulunan İlgili Kişilerin Sağlık Verilerine Erişim
Yönetmeliğin 6/2 fıkrası uyarınca; e-Nabız hesabı bulunan ilgili kişilerin sağlık verilerine, ilgili kişinin kendi gizlilik tercihleri çerçevesinde erişim sağlanır.
İlgili kişilerin, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilecekleri de fırkada açıkça belirtilmiştir. İlgili kişinin sağlık verilerine, işbu fıkra uyarınca, e-Nabız’da yer alan gizlilik tercihlerine göre erişilebileceği göz önünde bulundurulduğunda; ilgili kişinin göstereceği rızaya ilişkin olarak detaylıca bilgilendirilmesi, rızanın geçerliliğiyle ilgili hiçbir şüphe kalmaması açısından çok önemli olup; fıkranın ikinci cümlesinde buna ilişkin bir düzenleme yapılması son derece isabetlidir.
Yönetmeliğin 6/2 fıkrasının üçüncü cümlesi, uygulamada çıkabilecek bir sorunu henüz baş göstermeden çözmeyi amaçlamıştır. İlgili kişilerin e-Nabız üzerinden yapacakları gizlilik tercihleri ve geçmiş sağlık verilerinin görüntülenememesi sebebiyle ilgili kişilere sağlık hizmetinin sunumunda aksaklık veya zarar meydana gelmesi (Örneğin; kişinin 1 Ocak 2018’den önceki sağlık verilerine erişimi kapatması sebebiyle, haziran 2017’de kaydedilmiş bir ilaç alerjisi verisine hekimin ulaşamaması) durumunda sorumluluğun atfına ilişkin bir düzenleme yapan mezkûr cümle uyarınca; gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Sağlık Bakanlığı sorumlu olmaz. Yani, ilgili kişinin kendi iradesiyle erişime kapattığı kişisel sağlık verilerine erişilememesinden dolayı, sağlık hizmetinin sunumunda meydana gelecek herhangi bir aksaklık veya zarara ilişkin olarak, Sağlık Bakanlığı’nın herhangi bir sorumluluğu doğmayacaktır.
E-Nabız Hesabı Bulunmayan İlgili Kişilerin Sağlık Verilerine Erişim
E-Nabız hesabı bulunmayan ilgili kişilerin kişisel sağlık verilerine erişimini konu alan yönetmeliğin 6/3 fıkrası gereğince; bu kişilerin kişisel verilerine, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (‘KVKK’) 6. maddesinin 3. fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere, ancak aşağıdaki şekilde erişim sağlanır;
Kayıtlı olduğu aile hekimi tarafından ——> Herhangi bir süre sınırı olmaksızın
Randevu aldığı hekim tarafından ——> Randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
İlgili sağlık kurumunda görev yapan hekimler tarafından ——> Yirmi dört saat süre ile sınırlı olmak kaydıyla
Yatışı yapılan sağlık kurumunda görev yapan hekimler tarafından ——> Hasta, sağlık kurumundan taburcu olana kadar.
Yönetmeliğin 6/3 fıkrasının atıf yaptığı, KVKK’nın ilgili 6/3 fıkrası, şu şekildedir; ‘Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.’
Yönetmeliğin 6/3 fıkrasında, daha önceki kişisel sağlık verisi düzenlemelerinden farklı olarak, e-Nabız hesabı olmayan ilgili kişilerin verilerine hangi sağlık personellerinin hangi koşullarda ve sürelerde erişebileceğini sarihen düzenlemiş; düzenleme konusu hususa netlik kazandırılmıştır.
Ancak, bu fıkrada yer alan erişim kurallarının, Sağlık Bakanlığı’nın sağlık hizmeti sunumu ihtiyaçlarına göre ve KVKK’nın 6. maddesinin 3. fıkrası kapsamında Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceği yönetmeliğin 6/4 fıkrasında düzenlenerek, bir nevi istisna öngörülmüştür. Yine de, bu istisna uygulama alanı bulsa dahi, aydınlatma yükümlülüğü kapsamında gerekliliklerin sağlanacağı da aynı fıkrada düzenlenerek; aydınlatmaya halel gelmesi engellenmiştir.
Yönetmeliğin 6. maddesinin 5. fıkrası, ilgili kişilerin, geçmiş sağlık verileri üzerindeki kontrollerini sağlayacak bir çözüm sunmuştur. Geçmiş sağlık verilerine hiç kimsenin erişmesini istemeyen ilgili kişilere gizlilik tercihinin e-Nabız üzerinden sunulacağı; bu gizlilik tercihinin kullanılması durumunda, geçmiş sağlık verilerine ancak kişinin kendisinin beyan edeceği telefon numarasına gönderilecek kodun hekimle paylaşılması ve hekimin kodu sisteme girmesi durumunda erişilebileceği, fıkrada hüküm altına alınmıştır.
Yönetmeliğin 6. maddesinin 6. ve son fıkrasında, Sağlık Bakanlığı’na, ‘mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri’nin ne olduğunu belirleme ve sağlık personelinin bu tip verilere erişimine, ölçülülük ilkesiyle uyumlu olacak biçimde, kısıtlamalar getirme yetkisi tanınmıştır.
Sonuç olarak; Kişisel Sağlık Verileri Hakkında Yönetmelik’te, daha önceki kişisel sağlık verilerinin korunması düzenlemelerinde bulunmayan birçok husus, kendine yer bulmuştur. Bunlardan biri olan sağlık personelinin kişisel sağlık verilerine erişimi konusuna ilişkin düzenlemeler, makalemizde detaylı bir biçimde açıklanmıştır. Düzenlemelerin önemini kısaca açıklamak gerekirse; sağlık personelinin ilgili kişilerin kişisel sağlık verilerine erişimini mümkün olduğunca sağlık hizmetiyle ve ilgili kişinin verilerine ilişkin istekleriyle sınırlayan hükümlere yer verildiği söylenebilir. Bu tip düzenlemeler, kişisel sağlık verilerinin korunmasına ilişkin olumlu birer adımdır.
6 Eylül 2019
Av. Benay Çaylak
HANYALOĞLU ACAR HUKUK BÜROSU