1.Kişisel Sağlık Verisi ve Diğer Kavramlar
Kişisel verilerin ve kişilik haklarının korunması, Anayasal bir hak niteliğindedir. Bu bağlamda 24.03.2016 tarihinde kabul edilmen ve 07.04.2016 tarihinde de Resmî Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun, pek çok farklı alanda köklü değişimlere yol açmıştır. Kişisel Verilerin Korunması Kanunu ile, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması ve kişisel verilerin işleyen kişiler için çeşitli yükümlülüklerin getirilmesi amaçlanmıştır. Kanunun yürürlüğe girmesiyle birlikte, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, açık rıza, veri sorumluları sicili gibi pek çok yeni kavram da hayatımıza girmiştir.
Kişisel verilerin korunması, pek çok farklı alanda olduğu gibi sağlık sektöründe de oldukça büyük önem ifade etmektedir. Teknolojik alanda yaşanan gelişmelerle birlikte kişisel sağlık verilerine çok daha çabuk bir biçimde ulaşmak mümkün hale gelmiş, hizmetler planlı ve verimli olarak gerçekleştirilmeye başlanmıştır. Teknolojinin bu gibi avantajların yanında kişisel sağlık verilerinin başkaları tarafından ele geçirilmesini kolaylaştırma gibi dezavantajları da bulunmaktadır. Bu bağlamda kanunda da özel nitelikli veri olduğu belirtilen “kişisel sağlık verilerinin” güvenliği ve korunması önemli bir konu haline gelmiştir.
2.Sağlık Hizmeti Sunucuları
Kişisel Verilerin Korunması Hakkındaki Kanun’un ardından kişisel verilerin korunmasındaki usul ve esasların belirlenmesi amacıyla Kişisel Sağlık Verileri Hakkında Yönetmelik düzenlenmiştir. Bu yönetmelik ile birlikte kamu ve özel hastaneleri, özel muayenehaneler, eczaneler, psikoloji ve psikiyatri klinikleri kişisel verilerin korunmasında sorumlu olmaya başlamışlardır. Kanun ve yönetmelik kapsamında söz konusu kurum ve kuruluşlara pek çok yükümlülük getirilmiştir. Yönetmelikte kişisel sağlık verileri işlenen kişilerin haklarının korunması esas alınmış, Kanun’a kıyasla çok daha sert düzenlemelere yer verilmiştir.
Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4. Maddesinde “sağlık hizmet sunucuları” hakkında “sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu veya özel hukuk tüzel kişileri” şeklinde oldukça geniş kapsamlı bir tanıma yer verilmiştir. Bu tanıma göre bakanlık, hastaneler, SGK, ilaç şirketleri, sağlık hizmeti sunan bütün tesisler ve kişiler sağlık hizmet sunucuları kapsamında yer almaktadır.
Yönetmelik sağlık hizmeti sunucuları açısından yazılı şekil şartı öngörülmüştür. Kanun ve yönetmelik ile sağlık kuruluşlarına getirilen pek çok yükümlülük bulunmakta, bu yükümlülüklerin ihlali halinde ise idari cezai yaptırımlar gündeme gelmektedir. Özellikle uygulamada yaşanabilecek sorunlar ve mevzuatın yanlış yorumlanması, problemler doğurabilecektir.
3. Özel Nitelikli Veriler
Kişisel Verilerin Korunması Hakkında Kanun’un 6. Maddesinde özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde sıralanmıştır. Buna göre kişinin sağlığı hakkındaki veriler de özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel verilerin, kişinin açık rızası olmaksızın işlenebilmesi mümkün değildir. Ancak aynı maddenin 3. Fıkrasında bir istisna öngörülmüş, “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne yer verilmiştir. Sağlık sektöründeki kişisel veriler, diğer sektörlerle karşılaştırıldığında çok daha büyük bir hassasiyeti gerektirmektedir. Sağlık sektöründeki kişisel verilerin sahip olduğu önem kanun koyucu tarafından da özel nitelikli veriler arasında gösterilerek kabul edilmiştir.
Bir kişiye ait her türlü sağlık bilgisi, kişisel sağlık verileri kapsamında değerlendirilmektedir. Sağlık hizmeti sunucularının Sağlık Bakanlığı ve Kişisel Verileri Koruma Kurulu tarafından belirlenen standartlara uygun bir biçimde elektronik kayıt sisteminin oluşturulmasından, güvenliğin ve gizliliğin sağlanmasına ve elektronik sağlık kayıtlarının merkezi sağlık sistemine aktarılmasına kadar pek çok farklı konuda sorumlu oldukları söylenebilir. Sağlık hizmeti sunucularındaki veri işleyen kimselerin ise kişisel sağlık verilerini Sağlık Bakanlığı’nın ülke genelinde hizmet sunmak amacıyla kurduğu sisteme kopyalayabilmeleri mümkündür. Verilerin bu sistem dışında herhangi bir yere kopyalanmaları ise yasaklanmıştır. Özellikle veri işleyen kimselerin bu gibi yasaklar karşısında dikkatli olmaları, gerekli bilgiye sahip olmaları gerekmektedir.
3. Sağlık Hizmeti Sunucularının Sorumlulukları
Sağlık hizmet sunucularının ilgili kanun ve yönetmelikler uyarınca herhangi bir yaptırımla karşı karşıya kalmamaları için veri tanımını net bir biçimde yapmaları, yönetim stratejilerini tekrardan yapılandırmaları, erişilebilirlik, maskeleme ve koruma politikaları oluşturmaları, güvenlik duvarı, özel güvenlik sistemleri ve şifreleme gibi teknolojilerden faydalanmaları, verilerin saklanması ile ilgili olarak yeterli donanıma sahip merkezlerle işbirliği içerisinde hareket etmeleri gerektiği söylenebilir. Ayrıca veri ile temas halinde olan personele de gerekli bilgiler verilmeli, kurum içerisinde bir eğitim çalışması yapılmalıdır.
Kişisel sağlık verilerini işleyen kurum ve kuruluşlar, sır saklama yükümlülüğü ile karşı karşıyadırlar. Kişisel sağlık verilerinin, kanunda ve yönetmelikte belirtilen şartların dışında kullanılması halinde Kişisel Sağlık Verilerinin Korunması Kanununa muhalefet ile birlikte Anayasa’da düzenlenen özel hayatın gizliliğini ihlal de ortaya çıkabilecektir.
***
SC Legal Hukuk Bürosu olarak, başta özel hastaneler, eczaneler, psikiyatri ve psikoloji klinikleri, özel muayenehaneler olmak üzere sağlık verilerinin işlenmesinden sorumlu olan kurum ve kuruluşlara Kişisel Verilerin Korunması Hukuku ile ilgili mevzuat ve uygulama ile kapsamlı bir bilgilendirme sunmaktayız. Ayrıca yine tarafımızca işletmelerin yürüttükleri veri işleme faaliyetleri tespit edilerek boşluk analizi gerçekleştirilmekte, kişisel veri işleme envanteri, veri saklama ve imha politikası gibi hukuki belgeler hazırlanmakta, Veri Sorumluları Sicil Bilgi Sistemi üzerinden kayıt işlemi gerçekleştirilmekte, aydınlatma yükümlülüğünün mevzuata uygun hale getirilmesi sağlanmakta, açık rıza metinleri hazırlanmakta, veri güvenliği konusunda alınması gereken teknik ve idari tedbirler tespit edilmekte ve işletme için kontrol ve denetim süreçleri yürütülmektedir. Kişisel Verilerin Korunması Hakkında Kanun’a uyum süreci tarafımızca yönetilmekte, tam uyumun sağlanabilmesi için, alanında uzman ekibimiz ve çözüm ortaklarımız ile birlikte sürecin bütün aşamalarında müvekkillerimize hukuki destek sunmaktayız. Ayrıca veri sorumlularının kurul nezdinde temsili ve hakların korunması bakımından adli ve idari yargı yollarına başvurulması gibi konularda da müvekkillerimize gerekli hizmet tarafımızca sunulmaktadır.