Sağlık Sektöründeki Kişisel Verilerin Saklanması ve Hukuksal Açıdan Korunması
Son yıllarda teknolojinin hayatımızın her alanına girmesi ve özellikle internet kullanımının yaygınlaşması ile kişisel verilere erişim ve bunların kullanımı çok daha kolay bir hale gelmiş ve yoğunlaşmıştır. Tüm bu gelişmeler Türkiye’de kişisel verilerin korunmasına ilişkin bir yasal düzenleme ihtiyacı ortaya çıkarmıştır. Bu gereksinimin neticesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete’ de yayımlanarak yürürlüğe girmiştir. (sağlık sektörü)
2020 itibariyle ülkemizde ve dünyada Covid-19 salgın hastalığı ile yaşanılan bu panikte sağlık sektörü de bir çok yeniliğe gitmiştir. Hastanelerdeki yoğunluğun azaltılması, kişiler arası enfekte olunmasının önüne geçilmesi ve sosyal mesafenin uygulanması adına sağlık sektöründe sanal tedavilerle sağlık hizmetlerinin genişletilmesine ve dijital bir dönüşüme bugünlerde şahit oluyoruz.
Sanal ortamda sağlık verisi işlemeye e-nabız sistemi ile başlanmıştır. E-devlet sistemine sağlık sistemini tek bir çatı altında toplama niyeti ile hayata geçirilen e nabız sistemi bu dönemde riskli grupların belirlenmesi adına dikkat çekmektedir. Kişilerin tüm sağlık hizmetleri bu sistem vasıtasıyla izlenebilmektedir. Bunun yanı sıra sağlık personellerinin kullandığı Karmed vb. programlar sağlıkçıların ve sağlık sektöründekilerin güncel bilgilerinin takibi ve incelenmesi açısından önem arz ediyor.
Ülkemizde de bu olağanüstü dönemde e nabız sisteminin yanı sıra uzaktan sağlık hizmetleri verilmeye başlandı aile hekimlerinin online hasta takibi yapması ve dijital ortamda sürekli sorgulanabilirliği bunun göstergesidir. Sağlık Bakanlığı ve hastaneler arasında lisanslara dayalı uyum çalışmalarında hızlanma görülmektedir. Bu süreçte ulusal kaynaklar kullanılarak düşünülen ve bu geçici dönem için alternatif oluşturan veri seti uygulaması da gelecek dönemde aktif kullanılacaktır.
Covid 19 dışı sağlık problemlerine yanıt arayanlar da web siteleri veya mobil cihazları aracılığıyla e-doktor, online doktor ve evde bakım randevu sistemi, 7/24 ve görüntülü sağlık danışmanlığı hizmeti ile görüntülü/sesli hizmet almaya başladı. Tahliller için hastaneye davetin yanında bazı testlerin evde yapılması da uygulamada görülmektedir. Online hasta takibi acil servis müdahalesi noktasında da sürece yardımcı olabilecektir. Bu da riskli hastaların takibini kolaylaştırıp önlemler açısından hayati önem taşımaktadır.
KVKK ve Amacı
Kanunun amacı kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri toplama, düzenleme, saklama, aktarım gibi işlemler yaparak kişisel veriyi işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve bu işlemlerle ilgili temel ilke ve kuralları belirlemektir. Kanun ile birlikte, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, açık rıza, veri sorumluları sicili gibi yeni kavramlar hayatımıza girmiştir. Bu verilerin korunması ve verilerin güncelliğini koruması açısından önem taşır.
Sağlık Bakanlığı ve KVKK
Sağlık Bakanlığı tarafından düzenlenen “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” (Yönetmelik) 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’ de yayımlanarak yürürlüğe girmiştir.
Kanunun amacı kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri toplama, düzenleme, saklama, aktarım gibi işlemler yaparak kişisel veriyi işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve bu işlemlerle ilgili temel ilke ve kuralları belirlemektir. Kanun ile birlikte, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, açık rıza, veri sorumluları sicili gibi yeni kavramlar hayatımıza girmiştir. Bu verilerin korunması ve verilerin güncelliğini koruması açısından önem taşır.
Kanunun amacı kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri toplama, düzenleme, saklama, aktarım gibi işlemler yaparak kişisel veriyi işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve bu işlemlerle ilgili temel ilke ve kuralları belirlemektir. Kanun ile birlikte, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, açık rıza, veri sorumluları sicili gibi yeni kavramlar hayatımıza girmiştir.
Hizmet sunucularının ve Sağlık Bakanlığı, SGK, hastaneler, ilaç şirketleri, sağlık profesyonelleri gibi sağlık hizmetleri sunmakta olan bütün sağlık tesislerini ve kişileri kapsadığı değerlendirilebilir.
Kanunda kişisel veri sahibinden alınacak açık rızanın şekline ilişkin bir açıklama yok iken, yönetmelikte sağlık hizmet sunucuları açısından açık rıza şekle bağlanmış ve geçerlilik şartı olarak açık rızanın mutlaka yazılı olması öngörülmüştür. Bu durum sağlık hizmet sunucularının tanımını ve kimleri kapsadığını daha da önemli hale getirmektedir.
Türkiye’deki diğer sektörlerde olduğu gibi sağlık sektöründe de kişisel veriler ve bunların korunması hakkında köklü bir kültür ve alışkanlığımızın olmadığı şüphesizdir. Sağlık sektörünün karmaşık yapısı gereği kişisel veri paylaşımı yapan birçok farklı kurum ve kuruluş bulunması ve bilgi teknolojileri uygulama ve sistemleriyle ilgili sağlık hizmet sunucularının veri işleyen konumundaki dış firmalara bağlılığı gibi konular da veri sorumlularının mevzuata uyumunu güçleştirebilecek temel unsurlardır.
Ayrıca yönetmelikte özellikle yazılı açık rıza gerekliliği, sağlık hizmet sunucusu tanımının çok geniş olması; sağlık hizmetleri ve finansman planlaması yönetimi istisnasının hangi faaliyetleri kapsadığı gibi hususlar yönetmeliğin uygulanması açısından bazı zorluklara neden olabilecektir.
Kişisel Sağlık Verileri ve İstisnalar
Sonuç olarak, bu düzenlemeler yasal manada çok önemli bir boşluğu doldurmuş olsa da sağlık sektörüne özgü halen netleştirilmesi ve düzenlenmesi gereken birçok konu vardır.
- Kişisel Sağlık Verilerinin İşlenmesinde Bazı İstisnalar Mevcuttur.
KVKK “MADDE 6- 3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” Hükümlerine yer verilmiştir.
Bu madde lafzından da anlaşılacağı üzere diğer kişisel veriler gibi kanunlarda açıkça öngörülmesi işleme amacının yeterli olmayacağı ancak sır saklama yükümlülüğü kapsamında hareket kabiliyeti olan kişiler tarafından işlenebileceğine yer verilmiştir. Bu maddenin biraz daha genişletilmiş hali KVKK md.28 de yer almaktadır.
KVKK “MADDE 28- (1) c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde “bu kanun hükümlerinin uygulanmayacağına yer verilmiştir. Kamu tüzel kişiliğine haiz kamu kurum ve kuruluşlarının yalnızca bu istisnadan yararlanmış oldukları unutulmamalıdır.
Bu kanun maddelerinin yanı sıra şirketlerde sağlık verisini işleyecek yeterli iş hekimin bulunmadığı veya işyeri hekimi bulunmayan işyerlerinde sağlık verisi teşkil eden ateş ölçünü veya termal kamera kullanımında özel güvenlik personelinin de yetkili olduğuna dair Emniyet Genel Müdürlüğü bir yazı yayınlamıştır. Yazı içeriğinde bu dönemle sınırlı olmak üzere özel güvenlik görevlilerinin bu verileri elde etmede yetkili olduklarını ve bu dönem için makul bir uygulama sayılması gerektiğine yer verilmiştir.[5]
Sağlık Kuruluşlarının Da Bu Dönemde Ayrıca Aydınlatma ve onam Metinleri Hazırlamaları Gerekmektedir.
Kişisel Verilerin Korunması Kurumu tarafından yayınlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’i göz önüne alınarak verilecek hizmete ilişkin ayrıca bir aydınlatma yapılmalıdır. [6]
Kurumda 27.03.2020 tarihli kararında bu dönemde kişisel verilerin güvenliğinin ihlal ve ihmal edilmemesini ve işleme faaliyetlerinde sınırlı ve ölçülü olunması gerektiğine yer vermiştir.[7]
Görüntü ve sesin paylaşıldığı çok katılımcılı ortamlarda veri sorumlusundan beklenen aydınlatmanın yapılmasıdır. Bu ortamları sağlayan veri işleyen ile de veri sorumlusu arasında bir sözleşmenin mevcudiyeti aranmaktadır.
Veri Sahipleri Başvuru Hakları Konusunda Bilgilendirilmelidir.
KVKK md.11 kapsamında veri sorumlusu bu platformlara girişte elde ettiği verileri, görsel ve sese dayalı verilerin işlenmesi ve saklanması kapsamında aydınlatma metnine dayalı bilgilendirilmesinin yanı sıra sorularına yanıt talep edebilecektir. [8]
Örneğin, görüntü ve sesin birlikte paylaşıldığı çoklu ortamlarda ilgili kişi görüntülerinin saklanıp saklanmadığını, silinip silinmediğini ya da başka hangi kurumlara aktarıldığını veri sorumlusundan yanıtlamasını talep edebilecektir.
Verilerin Yurt Dışına Aktarılması Ancak Açık Rızaya Bağlıdır.
Online sağlık hizmetleri hastanenin seçmiş olduğu platform üzerinden kişinin yönlendirilmesi üzerine verilmektedir. Bu platformların yurt dışı server lı olduğu unutulmamalıdır. Hali hazırda serverı ve loglarının saklandığı yer yurt dışıdır. Burada kişisel verilerin işlenmesi ve saklanması kapsamında bir sorun yatmaktadır. Kişisel verilerin yurt dışına aktarılması 9. Madde kapsamında; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Yurtdışına Aktarılacak Veriler İçin Güvenlik Duvara Gereklidir.
KVVK Madde 9’da “Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; Yeterli korumanın bulunması, Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir “ hükümlerine yer verilmiştir.
Yurt dışına veri aktarılmasını Kanun özel izne bağlamıştır. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilmesi hususu da kanunda tekrar edilmiştir. Kurulun açıklayacağı güvenli ülkeler arasında veri akışının yapılması ön görülmüştür. Açık rızanın hizmete bağlanması irade sakatlığı hali olarak düşünülmektedir ve bu durum kurul kararında da açıkça yer bulmuştur. [9] Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararında; üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının ve bu doğrultuda ölçülülük ilkesine uygun olmadığına karar vermiştir. Bu kapsamda değerlendirildiğinde açık rızanın öneminden ziyade ölçülülük ilkesini baz almıştır.
Yazarın tüm Blog yazılarını bağlantıdan okuyabilirsiniz.
Yazarın 10. Sayımızda yayınlanan “Akıllı Sözleşmelerde Uygulanacak Hukuk” isimli yazısını okumak için bağlantıya tıklayınız.
Yazar: Av. Yasemin ARSLAN IŞIK
Dipnotlar
[1] E.T: 17.04.2020 https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
[2] KVKK “MADDE 5- (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”
[3] Dülger, M. Volkan, Kişisel Verilerin Korunması Hukuku, 2. Baskı, Hukuk Akademisi, İstanbul, 2019, s.110.
[4] KVKK MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık Sektörü ve Kişisel Verilerin Korunması başlıklı makalede yer verilen “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik”, 21 Haziran 2019 tarihinde RG’de yayımlanan “Kişisel Sağlık Verileri Hakkında Yönetmelik” ile yürürlükten kaldırılmıştır. Bilgilerinize.