Sağlık hizmetlerinin iyi bir şekilde sunulabilmesi için, kişisel sağlık verilerinin, sağlık hizmeti sunan resmi ve özel sağlık hizmeti sağlayıcıları tarafından toplanması, depolanması ve işlenmesi gerekliliği doğmuştur. Sağlık verilerinin kaydedilerek bunların gerektiğinde akışının sağlanması bireye uygulanacak sağlık tedavisinin başarıya ulaşmasında büyük önem taşımaktadır.
KİŞİSEL VERİ NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda[1], kişisel veri, kişisel sağlık verisi ve bunlara ilişkin kavramların tanımı yapılmıştır. Yasadaki tanıma göre, “kişisel veri” kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. “Kişisel verilerin işlenmesi” kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. “Anonim hâle getirme” kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir. “İlgili kişi” kişisel verisi işlenen gerçek kişiyi; “veri işleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi; “veri sorumlusu” kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade etmektedir. Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi de “veri kayıt sistemi” olarak adlandırılmaktadır.
Belirli veya belirlenebilir nitelikteki bir kişiye ait her türlü bilgi olarak tanımlanan “Kişisel Veri” kavramı, verinin bir kişiye ilişkin olması ve bu kişinin de belirlenebilir olması bileşenlerini kapsar. Kişisel veri kavramı isimden, tercihlere, duygu ve düşüncelere kadar çok geniş yelpazede ele alınan ve kişinin kimliğine ait bir kavramdır. Bu nedenle bireyin bu veriler üzerindeki denetim yetkisini kaybetmesi bireyin özgürlüğünün, özerkliğinin, mahremiyetinin kaybedilmesi ile sonuçlanır. Bu durum, bireye bağlı kavramın temel insan hakları bağlamında ele alınmasını gerekli kılmakta ve özünde bireyin korunmasıyla doğrudan bağıntısını temellendirmektedir. Tüm bunlar bireyin korunması amacıyla verilerin güvenliğinin sağlanmasından öte, bireyin kendisine ait veriler üzerindeki denetim yetkisini gerektirmektedir[2].
KİŞİSEL VERİLERİN KORUNMASI NEDEN ÖNEMLİDİR?
Bize ait verilerin başkalarınca ulaşılabilir, toplanabilir, işlenebilir ve depolanabilir olması mahremiyetin zedelenmesine neden olabilmektedir. Bu sayılan işlemler, günümüzde “bulut bilişim” teknolojisi ile gerçekleştirilmektedir. Bulut bilişim, kullanıcıların hesaplama, depolama ve uygulamalar gibi çeşitli bilişim hizmetlerine bu bilgilerin nerede depolandıklarını ve bu uygulamaların hangi sunucularda çalıştıklarını ve teknik olarak nasıl yapılandırıldıklarını bilmeksizin internet üzerinden erişmeleri modeli olarak tanımlanabilir[3]. Günümüz teknolojisi içinde geliştirilen ‘bulut’ bilişim” teknolojisi ile depolanan bilgilerin yok edilmesi olanaksız hale gelmekte, bilgileri kayıt altına alınan bireyler, bu bilgilerin gelecekteki olası kötü amaçlı ya da onaylamadıkları alanlarda kullanılması tehdidi altında bulunmaktadırlar. Konuya ilişkin yapılacak her türlü yasal düzenlemede bu hususların özellikle mercek altına alınarak uygun çözümlerin alınması gerekmektedir. Bunun yanı sıra, teknolojinin sürekli değişimi ve gelişimi göz önüne alınarak, genel olarak kişisel verilerin, konunun özelinde de hassasiyet taşımakta olan kişisel sağlık verilerine ilişkin yasal düzenlemelerin sürekli biçimde gözden geçirilerek çağın gerekleriyle uyumlu kalması sağlanmalıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ VE SAĞLIK VERİSİ NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” olarak tanımlanmaktadır.
Aynı maddenin ikinci fıkrasında, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak olduğu hükme bağlanmıştır. “Açık rıza” kavramı, Kanun’un 3. maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” biçiminde tanımlanmıştır.
Kişisel sağlık verileri kişinin ruhsal ve fiziksel sağlığına ilişkin her türlü veriyi kapsamaktadır. Örneğin sağlık raporu, kan grubu, her türlü tahlil sonucu, kişinin geçirmiş olduğu hastalıklar, kullandığı ilaçlar kişisel sağlık verisi, yani özel nitelikli veridir.
İLGİLİNİN AÇIK RIZASI OLMADAN İŞLENECEK KİŞİSEL SAĞLIK VERİLERİ HANGİLERİDİR?
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Bu duruma örnek vermek gerekirse, 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun[4] “Memleket dahilinde sari ve salgın hastalıklarla mücadele” başlıklı 57. maddesinde “Kolera, veba (Bübon veya zatürree şekli), lekeli humma, karahumma (hummayi tiroidi) daimi surette basil çıkaran mikrop hamilleri dahi – paratifoit humması veya her nevi gıda maddeleri tesemmümatı, çiçek, difteri (Kuşpalazı) – bütün tevkiatı dahi sari beyin humması (İltihabı sahayai dimağii şevkii müstevli), uyku hastalığı (İltihabı dimağii sari), dizanteri (Basilli ve amipli), lohusa humması (Hummai nifası) ruam, kızıl, şarbon, felci tıfli (İltihabı nuhai kuddamii sincabii haddı tifli), kızamık, cüzam (Miskin), hummai racia ve malta humması hastalıklarından biri zuhur eder veya bunların birinden şüphe edilir veyahut bu hastalıklardan vefiyat vuku bulur veya mevtin bu hastalıklardan biri sebebiyle husule geldiğinden şüphe olunursa aşağıdaki maddelerde zikredilen kimseler vak’ayı haber vermeğe mecburdurlar. Kudurmuş veya kuduz şüpheli bir hayvan tarafından ısırılmaları, kuduza müptela hastaların veya kuduzdan ölenlerin ihbarı da mecburidir” denilerek hekimlere, sayılan bulaşıcı hastalıkların tespiti durumunda bildirimde bulunmak yükümlülüğü getirilmiştir. Aynı kanunun 64. maddesinde ise, salgın veya salgın tehlikesi durumunda bu durumun hem ihbar, hem de ilân edilmesi zorunlu kılınmıştır[5].
Ayrıca, Sağlık Bakanlığı tarafından 2007 yılında bulaşıcı hastalıkların önlenmesi ve kontrolünün sağlanması için; bildirime esas bulaşıcı hastalıklar listesinin belirlenmesi, olay ve vaka tanımlarının yapılması, iletişim ağı yapısı ile ihbar ve bildirim sisteminin oluşturulması, bu verilerin ulusal ve uluslararası düzeyde paylaşılması için gerekli yöntemlerin belirlenmesi gibi amaçlarla yayınlanmış olan Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği[6] gereğince de sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler Yönetmeliğin ekinde yer alan hastalıklar ve bunlara ilişkin her türlü bilgiyi derhal yerel sağlık birimine bildirmekle yükümlüdür[7].
Yönetmeliğin “Kişisel verilerin işlenmesi” başlıklı 11. maddesinde ise, “Epidemiyolojik sürveyans ve bildirim sistemi ile elde edilen bilgilerden kişisel verilerin işlenmesi sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri korunur. Bu bilgi ve verileri toplayan, bildiren ve işleyen gerçek ve tüzel kişiler, bunları kişisel verilerin korunmasını düzenleyen mevzuata aykırı olarak kullanamazlar” hükmü yer almaktadır.
Bunun yanı sıra, yasal düzenleme gereği, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU VE KAPSAMI NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nun 07 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte ülkemiz ulusal ve uluslararası boyutta veri paylaşımı ve veri işleme süreçlerinde kişisel verilerin korunmasına ilişkin yasal düzenlemeye kavuşmuştur. KVKK uyarınca, VERBİS yükümlülüğü “bulunan” veya “bulunmayan” tüm veri sorumlularının, 6698 sayılı KVKK’ya uyum göstermesi ve kişisel verilerin güvenliği konusunda gerekli olan her türlü idari, teknik ve hukuki tedbirleri alması gerekmektedir.
KİMLER KVKK KAPSAMINDADIR?
KVKK madde 2 çerçevesinde kamu veya özel sektör ayrımı yapılmadan faaliyet gösteren tüm kuruluşlar, bir başka deyişle hak ehliyetine sahip olan herkes kanun kapsamında yer almaktadır.
ÖZEL NİTELİKLİ VERİ VE SAĞLIK VERİSİ NEDİR?
Özel nitelikli yani hassas veriler KVKK madde 6 kapsamında kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, dernek/sendika üyeliği, cinsel hayat, biyometrik, genetik ve sağlık verilerini de kapsayan kişisel verilerdir. Kısaca başkaları tarafından öğrenildiği takdirde ilgili kişiyi mağdur edebilecek veriler özel nitelikli veri kapsamındadır.
VERİ SORUMLULARI SİCİLİ (VERBİS)’E KAYIT İÇİN SON TARİH NEDİR?
Kişisel Verileri Koruma Kurulu uyarınca; yıllık çalışan sayısı 50’den fazla ve/veya yıllık mali bilanço toplam 25 milyon TL’den fazla olan veri sorumluları 30.09.2020 tarihine kadar ve özellikle kişisel sağlık verileri yani özel nitelikli veri kişisel veri işleme sorumluları (eczaneler, bağımsız muayenehaneler ve diş hekimleri v.b) 31.03.2021 tarihine kadar yükümlülüğü yerine getirmek durumundadır.
[1] Resmi Gazete T. 07.04.2016, S. 29677.
[2] İzgi M. Cumhur, Mahremiyet Kavramı Bağlamında Kişisel Sağlık Verileri, Türkiye Biyoetik Dergisi, 2014, 1(1): 25-37, s. 29.
[3] Seyrek İH, Bulut Bilişim: İşletmeler için Fırsatlar ve Zorluklar (Cloud Computing: Opportunities and Challenges for Businesses), Gaziantep Üniversitesi Sosyal Bilimler Dergisi, 2011 10(2):701 -713, s. 702.
[4] Resmi Gazete, T. 06.05.1930, S. 1489.
[5] Umumi Hıfzıssıhha Kanunu, Madde 64 – “57 nci maddede zikredilenlerden başka her hangi bir hastalık istilai şekil aldığı veya böyle bir tehlike baş gösterdiği takdirde o hastalığın veya her hangi bir hastalık şeklinin memleketin her tarafında veya bir kısmında ihbarı mecburi olduğunu neşrü ilâna ve o hastalığa karşı bu kanunda mezkür tedabirin kaffesini veya bir kısmını tatbika Sıhhat ve İçtimai Muavenet Vekaleti salahiyettardır.”
[6] Resmi Gazete T. 30.05.2007 S. 26537.
[7] Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği:
Bildirim sorumluları MADDE 10 – (1) Bildirim sistemi kapsamında bir bulaşıcı hastalığın ihbarı ve bildiriminden, Bakanlığın belirlediği usul ve esaslar çerçevesinde sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.
(2) Bu kişi ve kuruluşlar;
a) Bu Yönetmeliğin ekinde yer alan (EK–1)’deki hastalıklar ve bu hastalıklar için uygulanan kontrol önlemlerine dair bilgilerle beraber bulaşıcı hastalık vakalarının görülmesi veya yeniden ortaya çıkışıyla ilgili bilgileri,
b) Bir salgının gelişmekte olduğunu düşündüren her türlü bilgiyi,
c) Beklenmedik bir epidemi veya kaynağı ya da etkeni bilinmeyen yeni bir bulaşıcı hastalık ile ilgili bilgileri,
ç) Komşu ülkelerde görülen bulaşıcı hastalıkları,
d) Özellikle olağanüstü durumlarda olmak üzere, bulaşıcı hastalıkların kontrolü ve önlenmesine yönelik olarak yapılmış çalışmalara ilişkin bilgi ve belgeleri,
e) Uygulanan tüm mücadele önlemleri de dahil olmak üzere, bulaşıcı hastalıkların önlenmesi ve kontrolü için Bakanlığa çalışmaların koordinasyonunda yardımcı olacak ilgili görüşleri,
derhal yerel sağlık birimine bildirmekle yükümlüdür.
(3) Yerel sağlık birimi 2’nci fıkrada bahsi geçen bilgileri Bakanlığa iletmekle yükümlüdür.