Kişisel Sağlık Verileri Hakkında Yönetmelik

 TABİP ODASI BAŞKANLIĞI’NA 

Konu: Kişisel Sağlık Verileri Hakkında Yönetmelik 

Sağlık hizmetlerinde ve hekimlerin mesleki faaliyetinde önemli yer tutan sağlık verilerine ilişkin bir takım kuralları düzenleyen Kişisel Sağlık Verileri Hakkında Yönetmelik, 21.06.2019 tarihli Resmi Gazete’de yayınlanarak yürürlüğe girdi.

Bu konuyla ilgili olarak Sağlık Bakanlığı’nın düzenlediği bütün yönetmelik ve genelgeler Türk Tabipleri Birliği tarafından açılan davalarda durdurulmuş veya iptal edilmişti. Yeni Yönetmelik, Sağlık Bakanlığı’nın bütün hasta bilgilerini kendi bünyesinde kurduğu merkezi bir sistemde toplama çabasının yeni bir halkası olarak görünmektedir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler kural olarak ilgilinin açık rızası olmaksızın işlenemez; ancak kanunda açıkça öngörülen hâllerde kişinin açık rızası aranmaksızın işlenebilir.

Kişilerin sağlık ve cinsel yaşamlarına ilişkin kişisel verileri ise sadece Kişisel Verilerin Korunması Hakkında Kanunda belirtilen amaçlarla ve yine Kanunda belirtilen kişiler tarafından, ilgilinin açık rızası aranmaksızın işlenebilir. Bu amaçlar kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimidir. Belirtilen amaçlarla kişilerin sağlık ve cinsel yaşamına ilişkin verileri işleyebilecek kişiler ise sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlardır. 

 Sağlık çalışanları ile sağlık kurum ve kuruluşlarının hastaların verilerini işlemelerine izin veren bu kural aynı zamanda Sağlık Bakanlığı’nın da sağlık verilerini ilgililerin rızası aranmaksızın işlemesine olanak sağlamaktadır.

Ancak bütün veri işlemelerinde geçerli olan gerektiğinden fazla veriye erişmemek, verileri gerektiğinden fazla elde tutmamak gibi temel ilkeler özel nitelikli kişisel veriler yönünden çok daha büyük önem taşımaktadır. Kişisel Verilerin Korunması Kanununun 4. Maddesinde belirlenen temel ilkelere bütün veri işlemelerinde uyulması zorunludur.

Yeni Yönetmeliğin 5. Maddesinde de bu husus, uygulamada duraksama yaşanmaması için tekraren belirtilmiştir: “Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.”

Söz konusu ilkeler şöyledir:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bu ilkelerden, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi sağlık verilerinin Bakanlık tarafından toplanması sürecinde özel önem taşımaktadır.

Özel nitelikli kişisel veriler ilgililerin açık rızası olmaksızın işlenemezken bunlar içinde çok kritik bir yeri olan sağlık ve cinsel hayata ilişkin verilerin ilgilinin rızası aranmaksızın belli koşullarda işlenebilmesine olanak sağlandığı gözetilerek bu istisnai durumun mümkün olduğunca sınırlı uygulanması gereklidir. Bu sınır saptanırken, kişisel verilerin işlenmesinde uyulması zorunlu olan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi de gözetilmelidir.

Bu çerçevede, ilgililerin kişisel sağlık verileri sağlık hizmetini sunan sağlık kuruluşlarında kimlikli olarak tutulurken bunların Sağlık Bakanlığı’nda kurulan merkezi veri kayıt sistemine aktarılmasında kimliksiz veri aktarımı yapılmalıdır. Zira Bakanlığın ihtiyaç duyduğu veri sağlık, hastalık ve tedavi verileri olup bu hastalığa yakalanan kişinin kim olduğunun bilinmesi gerekli değildir. Veri işlemede amaçla bağlı kalınması gerekliliği dikkate alındığında da “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” için toplanan verilerin kimlikli olmasına gerek olmadığı açıktır.

Nitekim Bakanlık da Yönetmelik’te, “Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler” hükmüne yer vermek suretiyle sağlık kuruluşlarının verileri kimliksiz olarak göndereceğini kabul etmiştir.

Sonuç olarak; bu Yönetmeliğin yayınlanmasıyla birlikte bütün verilerin Sağlık Bakanlığı’yla paylaşılması gerektiğine ilişkin yapılan paylaşımların hukuki değeri yoktur.  Hastaların kişisel sağlık verilerinin Sağlık Bakanlığı’yla paylaşılmasında verilerin kişi bilgisinden bağımsız bir şekilde gönderilmesi gerekli ve yeterlidir.

Uygulamanın izlenmesi ve belirtilen sınırları aşan taleplerin Türk Tabipleri Birliği’yle paylaşılması halinde uygulamanın hukuka uygun biçimde yürütülebilmesi için gerekli girişimlerde bulunulabilecektir.

Saygılarımızla,

Dr. Bülent Nazım Yılmaz

 TTB Merkez Konseyi 

  Genel Sekreteri