Kişisel Sağlık Verileri ve Bilinmesi Gerekenler

Leyla Ezgi

Hasta ve Hasta Yakını Hakları Derneği Onursal Başkanı

Bu yazımızda son yıllarda ülkemizde önemli bir tartışma gündemi oluşturan kişisel sağlık verilerinin işlenmesi hakkında bilgilere yer vereceğiz. Kişisel sağlık verilerimizin alınması, saklanması, paylaşılması ile ilgili sınırlara ve haklarımıza geçmeden önce kişisel verilerin korunması ile ilgili kanuna yer vermek istiyoruz.

Kişisel Verileri Koruma Kanunu Türkiye’de özel hayata saygı hakkı bağlamında önemli bir gelişme de 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu (KVKK) yürürlüğe girmesi ile olmuştur. KVKK’nın amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun’da kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmıştır.

KVKK’da kişisel verilerin işlenmesinden söz edilmektedir. Acaba bu verilerin işlenmesi ne anlama gelir?

Kanun’a göre kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesidir. Buna ek olarak kişisel verilerin depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlem de Kanun’a göre kişisel veri işlemektir. 

KVKK, genel olarak kişisel verilerimizin rızamız olmadan işlenmesini yasaklamıştır. Yalnızca bu Kanun’da belirlenen bazı hallerde kişisel verilerimiz rızamız olmadan işlenebilecektir.

KVKK’da açıkça ön görülmüşse kişisel verilerimiz rızamız olmadan işlenebilir. Bunun için kişisel verimizin iznimiz olmadan işlenebileceği kanunda düzenlenmiş olmalıdır.

KVKK’ya göre kişisel verilerimizin iznimiz olmadan işlenebileceği haller şöyle sıralanabilir:

1. Fiilen rızasını açıklayacak durumda olmayan veya rızasına hukuken geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması kişisel verilerin kayıt edilmesi zorunlu açık rıza olmadan kişi-sel veriler işlenebilir.

2. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğu durumlarda kişisel veriler kişinin açık rızası olmadan işlenebilir.

3. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda kişisel veriler kişinin açık rızası olmadan işlenebilir.

4. Kişisel verilerin İlgili kişinin kendisi tarafından alenileştirilmiş olduğu durumlarda, kişisel veriler kişinin açık rızası olmadan işlenebilir.

5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu durumlarda, kişisel veriler kişinin açık rızası olmadan işlenebilir.

6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu durumlarda kişisel veriler, açık rıza olmadan işlenebilir.

Kişisel verilerimizin işlenmesi konusunda özel nitelikteki kişisel veriler konusuna ayrıca dikkat çekmek gerekir. Kanun’da bazı veriler özel nitelikli kişisel veri olarak kabul edilmiştir. Örneğin kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir. Bu verilerin işlenebilmesi için açık rızamızın bulunması gerekmektedir.

Bu sayılı olan özel nitelikteki kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda yazılı hallerde açık rıza olmadan işlenebilir. Sağlık ve cinsel hayat ile ilgili veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza olmadan işlenebilecektir.

KVKK, kişisel verilerimizin açık rızamız olmadan üçüncü kişilere aktarılmasını da yasaklamıştır. Ancak yukarıda saydığımız açık rızamız olmadan kişisel verilerimin işlenebileceği aynı durumlarda üçüncü kişilere aktarılabilir.

Kişisel Sağlık Verileri Hakkında Yönetmelik

Sağlık Bakanlığı yetki alanlarındaki hizmetleri sunarken elde ettiği kişisel sağlık verilerinin Kişisel Veriler Kanunu’na uygun olarak alınması, saklanması, işlenmesi ve aktarımını düzenlemek için 2019 yılında Kişisel Sağlık Verileri Hakkında Yönetmelik’i (KSVY) yayımlamıştır. Sağlık Bakanlığının Faaliyet alanları ile ilgili kişisel sağlık verisi işleyen tüm gerçek ve tüzel kişiler bu yönetmelik ile bağlıdır.

Yönetmelik kişisel sağlık verisini kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamıştır. Bu Yönetmelik’te istisnai haller dışında kişisel verilerin kişinin onamı olmadan alınamayacağı, kayıt edilemeyeceği ve paylaşılmayacağı genel ilke olarak kabul edilmiştir.

Bu yönetmeliğe göre herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı gerekli kayıt ve bildirim sistemlerini kurabilecektir. Bu sistem elektronik ortamda da oluşturulabilecektir.

Kişisel Sağlık Verileri Hakkında Yönetmelik’te kişisel verilerin kayıt edilmesi ile ilgili ilkelere yer verilmiştir. Buna göre kişisel sağlık verilerin kayıt edilmesi ile ilgili ilkeler söyle sıralanabilir:

• Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
• Kişisel sağlık verileri hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.
• Kişisel sağlık verileri doğru ve gerektiğinde güncel olmalıdır.
• Kişisel Sağlık verileri belirli, açık ve meşru amaçlar için işlenmelidir.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
• Hiç kimse sağlık hizmeti sunumu için gerekli olan durumlar dışında geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanama
• Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.

Kanunda yer alan bu ilkelerin yanında hiç kimsenin, sağlık hizmeti sunumu için gerekli olan durumlar dışında geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağı da belirtilmiştir.

Bir dahaki yazımızda kişisel sağlık verilerimiz ile ilgili haklarımız, kişisel sağlık verilerimiz açısından önemli bir uygulama olan e-Nabız uygulaması ve bilgilerimize kimlerin hangi sınırlarda erişebileceği, bu bilgilerimizin kimlerle hangi sınırlarda paylaşılabileceği konularında bilgilere yer vereceğiz.