Sağlık Bakanlığı’nın Kişisel Sağlık Verileri Hakkında Yönetmeliğine İlişkin Değerlendirmeler

Dr. Mehmet Bedii Kaya

Türk hukukunda kişisel sağlık verilerinin düzenlenmesi konusu hukuki tartışmalara yol açmıştır. Sağlık Bakanlığı, 20 Ekim 2016 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliği (RG 20.10.2016/29863) yürürlüğe koymuştur. Lakin, Danıştay 15. Dairesi 6 Temmuz 2017 tarihli ve 2016/10500 esas sayılı kararı ile bu yönetmeliğin yürütmesinin durdurmuştur. Söz konusu kararın ardından, 24 Kasım 2017 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik (RG 24.11.2017/30250) yürürlüğe koyulmuş; ancak, bu yönetmelik de ilk yönetmeliğin kaderini takip etmiştir. Bu doğrultuda, Danıştay 15. Dairesi 9 Ekim 2018 tarihli ve 2018/251 esas sayılı kararında, Anayasada ve 2577 sayılı Kanun’da yer alan emredici kurallar karşısında, idarenin, yürütmenin durdurulması kararının gereğini yerine getirecek şekilde düzenleme yapması gerekirken, maddi ve hukuki koşullara göre uygulanabilir nitelikte olan bir yargı kararını aynen ve gecikmeksizin uygulamaktan kaçınarak, hakkında yürütmenin durdurulması kararı verilen yönetmelikte kısmi değişiklikler yapılarak yürürlüğe konulmasında hukuka uygunluk bulunmamaktadır demek suretiyle ile yönetmeliğin yürütmesini durdurmuştur.

Kişisel Verileri Koruma Kanunu’nun 22. maddesi gereğince Kişisel Verileri Koruma Kurulu’na diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek görev ve yetkisi tanınmıştır. Sağlık Bakanlığı, idari usul açısından tüketilmesi zorunlu olan bu görüş aşamasını da tamamlayarak ve Kişisel Verileri Koruma Kurulu’nun da görüşünü alarak kişisel sağlık verileri bağlamında yeni bir sayfa açma niteliğinde olan Kişisel Sağlık Verileri Hakkında Yönetmeliği (“Sağlık Verisi Yönetmeliği”) hazırlamıştır. Yönetmelik 21 Haziran 2019 tarih ve 30808 sayılı Resmi Gazete’de yayımlanmak suretiyle yürülüğe girmiştir.

Sağlık Verisi Yönetmeliği, Kişisel Verilerin Korunması Kanunu ve akabinde yürürlüğe koyulan ikincil düzenlemeler ile genel olarak uyumlu olup, çeşitli hükümler altında Kişisel Verileri Koruma Kurulu tarafından kişisel verilerle ilgili verilen genel düzenleyici nitelikteki kararlar da yönetmeliğe yansıtılmıştır.

Bu yönetmelikte şu hususlar öne çıkmaktadır:
• Kapsam revize edilmiş ve daraltılmıştır.
• Tanımlar revize edilmiş ve yeni tanımlar eklenmiştir.
• Genel ilke ve esaslar detaylandırılmıştır.
• Sağlık verilerine erişim başlığı altında sağlık personelinin, Sağlık Bakanlığı birimlerinin, çocukların, hasta yakınlarının, avukatların erişimi ile ölülerin sağlık verilerine erişimi detaylı olarak düzenlenmiştir.
• Kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması düzenlenmiştir.
• Bilimsel amaçlarla kişisel veri işleme konusu düzenlenmiştir.
• Açık sağlık verisi düzenlenmiştir.
• Veri güvenliği yükümlülükleri Kişisel Verileri Koruma Kurulu’nun ilke kararlarına uyumlu olarak yeniden düzenlenmiş ve çapraz-atıflar yapılmıştır.
• Yaptırımlarda ilgili düzenlemelere çapraz-atıf yapılmıştır.

I. Amaç

Sağlık Verisi Yönetmeliği’nin 1. maddesi uyarınca düzenlemenin amacı, Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektir. Eski Yönetmeliğin amacı, kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerinin işlenmesine, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Sağlık Bakanlığı’na bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemek şeklinde belirtilmiştir. Amaç bakımından esaslı bir değişiklik yoktur. Denilebilir ki, Sağlık Verisi Yönetmeliği önceki yönetmeliğe göre amacını nispeten sınırlandırmış ve daha belirgin hale getirmiştir.

II. Kapsam

Sağlık Verisi Yönetmeliği’nin 2. maddesi uyarınca yönetmelik, kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerini kapsamaktadır. Eski Yönetmelik, “a) Sağlık hizmeti sunucularına, b) Kişisel sağlık verileri işlenen gerçek kişilere, c) Sağlık hizmeti sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişilere, ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde kişisel sağlık verilerini işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerine” uygulanmaktaydı. Sağlık Verisi Yönetmeliği’nin kapsamı karşılaştırıldığında, kapsamın daraltıldığı ve sadece Sağlık Bakanlığı özelindeki kişisel sağlık verilerine inhisar edildiği görülmektedir.

III. Tanımlar

Sağlık Verisi Yönetmeliği’nin 4. maddesinde yer alan tanımlar maddesi de revizyon geçirmiştir. Eski Yönetmelikte yer alan bazı tanımlara değişiklikler yapılmış ve yeni bazı tanımlar eklenmiştir.

Muhafaza edilen edilen tanımlar:
• Anonim hale getirme
• Bakanlık
• Genel Müdürlük
• İlgili kişi
• İlgili kullanıcı
• Kanun
• Kişisel sağlık verisi
• Kişisel verilerin işlenmesi
• Kurul
• Merkezi sağlık veri sistemi
• Sağlık hizmeti sunucusu
• Veri sorumlusu

Yeni eklenen tanımlar:
• Açık veri
• Açık sağlık verisi
• E-Nabız
• KamuNET
• Kimliksizleştirme
• Kişisel veri
• Kişisel verilerin imha edilmesi
• Kişisel verilerin silinmesi
• Kişisel verilerin yok edilmesi
• Kurum
• Maskeleme

Değişikliğe uğrayan tanımlar:
• Sağlık hizmeti sunucusu

Öte yandan, Eski Yönetmelikte yer alan “veri işleyen” tanımı Sağlık Verisi Yönetmeliği’nin tanımlar kısmında yer almamaktadır. Bu tanıma yakın bir tanım olarak “İlgili kullanıcı” tanımı getirilmiştir. İlgili kullanıcı, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler olarak tanımlanmıştır. İlgili kullanıcı tanımı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinin birinci fıkrasının (b) bendinde yer almaktadır.

Sağlık Verisi Yönetmeliği’nde dikkate çeken bir diğer husus ise 4. maddeye eklenen ikinci fıkradır. KVK Kanunu’na ve KVK Kurumu’nun düzenlemelerine uyum sağlamak amacıyla Sağlık Verisi Yönetmeliği’nde yer almayan tanımlar için KVK Kanundaki tanımlar ile KVK Kurumu tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerli olduğu belirtilmiştir.

IV. Genel İlke ve Esaslar

Sağlık Verisi Yönetmeliği, genel ilke ve esaslarda da önemli değişiklikler yapmıştır. Bazı ilke ve esasları muhafaza etmiş, bazılarını kaldırmış, bazılarını majör şekilde revize etmiş ve ilave bazı da ilke ve esaslar getirmiştir.

Öne çıkan hususlar:

• Detaylı bilgi güvenliği tedbirleri (özellikle de fiziksel katmanda)

• Kişisel Verileri Koruma Kurulu’nun ilke kararına uyum

• KVK Kanunu ve ikincil düzenlemelere çapraz-atıf yapmak suretiyle uyum
Her iki yönetmelikte de KVK Kanunu’nun 4. maddesinin ikinci fıkrasında yer alan ilkeler yer almaktadır.

Genel ilke ve esaslarda en göze çarpan değişiklik, güvenlik tedbirlerine ilişkindir. Sağlık Verisi Yönetmeliği, güvenlik tedbirlerini daha da somutlaştırmıştır. Eski Yönetmelikte “Sağlık hizmeti sunucuları, Kanunun emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur.” denmek suretiyle genel bir güvenlik ve mahremiyet yükümlülüğü getirilmişti. Sağlık Verisi Yönetmeliği’nin 5. maddesi uyarınca ise:

• Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.

• Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.

• Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.

Sağlık Verisi Yönetmeliği’nin ‘Genel ilkeler’ başlıklı 5. Maddesinin üçüncü fıkrası uyarınca, hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz. KVK Kanunda da yer alan kişisel verilerin ancak belirli, açık ve meşru amaçlarla işlenmesinde kendisini bulan ilkeleri Sağlık Verisi Yönetmeliği sağlık verisi özelinde desteklemiştir. Eski Yönetmelikte ise bu husus “Sağlık hizmeti sunumunda görevli kişiler, ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir.” şekilde belirtilmişti.

Sağlık Verisi Yönetmeliği’nin ‘Genel İlkeler’ başlıklı 5. maddesinin dördüncü fıkrası uyarınca, sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınması gerekmektedir. Bu hüküm Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulu’nun 21 Aralık 2017 Tarihli ve 2017/62 Sayılı ilke kararına tekabül etmektedir. Düzenleme, söz konusu ilke kararını normatif olarak desteklemiştir.
Sağlık Verisi Yönetmeliği’nin ‘Genel İlkeler’ başlıklı 5. maddesinin beşinci fıkrası uyarınca sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.

KVK Kanunda da yer alan ve veri sorumlusuna yüklenen kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaya yönelik yükümlülük, sağlık verisi özelinde daha da somutlaştırılmıştır. Sağlık Verisi Yönetmeliği, idari ve teknik tedbirlerle ilgili asgari kriterleri somut olarak belirtmek suretiyle, kişisel sağlık verilerinin fiziksel ortamlarda da etkin şekilde korunmasını amaçlamıştır. Sağlık Verisi Yönetmeliği, kimliksizleştirme ve maskeleme kavramlarını da tanımlamıştır. Sağlık Verisi Yönetmeliği’nin 4. maddesine göre:

Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi

Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler
Eski Yönetmeliğin sağlık hizmeti sunucularına ilişkin en kısıtlayıcı hükmü Yönetmeliğin 5. maddesinin beşinci fıkrasında yer alan düzenlemeydi. Söz konusu hüküm şu şekildeydi: “Sağlık hizmeti sunucularında veri işleyen kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz.”. Sağlık Verisi Yönetmeliği’nde bu kısıtlama ‘Genel ilke ve esaslar’ altında yer almamaktadır.

Sağlık Verisi Yönetmeliği’nde Kişisel Sağlık Kaydı Sistemine yönelik ifadeler de kaldırılmıştır. Sağlık Verisi Yönetmeliği, bu amaçla, daha genel bir ilke getirmiştir. Sağlık Verisi Yönetmeliği’nin 5. maddesinin ikinci fıkrası şu şekildedir: “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.”

Sağlık Verisi Yönetmeliği, kişisel veriler alanındaki diğer normatif düzenlemelere, usullere ve ikincil düzenlemelere çapraz-atıf yapmak suretiyle bütünsellik sağlamıştır. Sağlık Verisi Yönetmeliği’nin 5. maddesinin sırasıyla altı, yedi ve sekizinci fıkraları şu şekildedir:

• Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11. maddesinde yer alan hakları kullanabilir.

• Veri sorumlusuna başvuruda, Kanunun 13. maddesi ile Kurum tarafından hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.

• Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10. maddesi ile KVK Kurumu tarafından hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.

V. Kişisel Sağlık Verilerine Erişim

Sağlık Verisi Yönetmeliği’nin en önemli değişikliklerinden birisi kişisel sağlık verilerine erişim konusunda olmuştur. Sağlık Verisi Yönetmeliği, farklı kategoride kişilerin sağlık verisine erişimi ile bu erişimin usulüne ilişkin detaylı hükümler getirmiştir. Düzenlenen erişim türleri:

• Sağlık personelinin verilere erişimi
• Bakanlık birimlerinin verilere erişimi
• Çocukların sağlık verilerine erişim
• Sağlık verilerine hasta yakınlarının erişimi
• Sağlık verilerine avukatların erişimi
• Ölünün sağlık verilerine erişim

A. Sağlık personelinin verilere erişimi

Sağlık Verisi Yönetmeliği’nin 6. maddesi sağlık personelinin verilere erişimini düzenlemiştir. Eski Yönetmelikte sağlık verilerine erişim konusu KVK Kanunu’nun genel hükümlerini bir nevi tekrar etmek suretiyle, genel hatlarıyla düzenlenmişti. Sağlık Verisi Yönetmeliği ise daha detaylı hükümler getirmiş ve hukuka aykırılık ile hukuka uygunluk durumlarına belirlilik kazandırmıştır. 6. maddenin birinci fıkrası sağlık hizmeti sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceğini hüküm altına almıştır. 6. maddenin diğer fıkralarında ise e-Nabız hesabı bulunan veya bulunmayan kişilerin sağlık verilerine nasıl erişileceğini etraflıca düzenlemiştir. E-Nabız hizmetinin en önemli özelliği gizlilik özellikleri konusunda mutlak yetkiyi ilgili kişiye bırakmasıdır. Ayrıca, getirilen ilave tedbirlerle (sms doğrulaması gibi) ile hizmetin genel olarak güvenliği temin edilmektedir.

6. maddenin ikinci fıkrası tıp hukuku bağlamında ve sorumluluk rejimi açısından önemli bir hüküm getirmektedir. İlgili hükümde, e-Nabız hesabı bulunan kişilerin kendi gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Sağlık Bakanlığı sorumlu olmayacağı belirtilmiştir.

B. Bakanlık birimlerinin verilere erişimi

Bilindiği üzere, KVK Kanunu’nun ‘Özel nitelikli kişisel verilerin işlenme şartları’ başlıklı 6. maddesinin üçüncü fıkrası sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini hüküm altına almıştır. Bu hüküm, sağlık kişisel verilerinin açık rıza aranmaksızın işlenmesine yönelik Sağlık Bakanlığı’na geniş bir yetki verdiği sebebiyle eleştirilmektedir.

Sağlık Verisi Yönetmeliği’nin 7. maddesi Sağlık Bakanlığı birimlerinin verilere erişimini düzenlemiştir. Hükmün birinci fıkrasına göre, sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Sağlık Bakanlığı’nın birim amirleri ayrı ayrı belirler ve Sağlık Bilgi Sistemleri Genel Müdürlüğü’nden bu kişilerin yetkilendirilmesini talep eder. Verilerin güvenliğini temin etmek ve sadece belirli kişilerin erişimini sağlamak amacıyla her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebileceği hüküm altına alınmıştır.

Erişim yetkisini haiz kişi açısından getirilen bu kısıtlamanın yanı sıra, konu bakımından da bir sınırlama getirilmiştir. 7. maddenin ikinci fıkrası uyarınca birim amirinin talebi üzerine Sağlık Bilgi Sistemleri Genel Müdürlüğünce yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler. Üçüncü fıkrada, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirleneceği belirtilmiştir.

Sağlık Verisi Yönetmeliği, Sağlık Bakanlığı birimlerinin verilere erişimini detaylı düzenlemek suretiyle, yetki ve usul açısından esaslı ölçüde hukuki belirlilik sağlamış; idare hukuku bağlamında da yerinde bir düzenleme getirilmiştir.

C. Çocukların sağlık verilerine erişim

Sağlık Verisi Yönetmeliği’nin 8. maddesi çocukların sağlık verilerine ebeveynlerin erişimini, ayırt etme gücünü sahip çocukların durumunu, boşanma durumunda velayet hakkı üzerinde bırakılmayan tarafın haklarını düzenlemiştir.

Birinci fıkrada yer alan hükme göre, ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişme yetkisini haizdir. Ebeveynlerin bu genel yetkisinin sınırı da tanımlanmıştır. Bu doğrultuda, ayırt etme gücüne sahip çocukların sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabileceği açıkça düzenlenmiştir.

Çocukların sağlık verilerine erişim alanındaki bir düzenleme de boşanma durumunda velayet hakkı üzerinde bırakılmayan tarafın çocuğun sağlık verilerine erişimi konusudur. İkinci fıkrada yer alan hükme göre, anne ve babanın boşanması hâlinde velâyet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.

Ç. Sağlık verilerine hasta yakınlarının erişimi

Sağlık Verisi Yönetmeliği’nin 9. maddesi sağlık verilerine hasta yakınlarının erişimini açıkça düzenlemiştir. Söz konusu hükme göre, kişisel sağlık verilerinin hasta yakınları ile paylaşımında, KVK Kanunu ilkelerine aykırılık teşkil etmeyecek şekilde Hasta Hakları Yönetmeliğinin 18. maddesinin üçüncü fıkrasına uygun hareket edilir. Hasta Hakları Yönetmeliğinin 18. maddesinin üçüncü fıkrası hastanın kendisinin bilgilendirilmesin esas olduğunu; hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere bilgi verileceğini düzenlemektedir.

D. Sağlık verilerine avukatların erişimi

Sağlık Verisi Yönetmeliği’nin 10. Maddesi sağlık verilerine avukatların erişimini düzenlemiştir. Yönetmelik, avukatlara yönelik kısıtlayıcı hükümler getirmektedir. Bu doğrultuda, avukatların müvekkillerinin sağlık verilerini genel vekâletname ile talep edemeyecekleri, müvekkillerine ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerektiği belirtilmiştir. 

E. Ölünün sağlık verilerine erişim

Sağlık Verisi Yönetmeliği’nin 11. Maddesi ölünün sağlık verilerine erişimini düzenlemiştir. Ayrıca, ölmüş bir kimsenin sağlık verilerinin kaç yıl süreyle saklanacağı da açıkça hüküm altına alınmıştır. Söz konusu maddede, ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkili olduğu düzenlenmiştir. Ölmüş bir kimsenin sağlık verileri ise, en az 20 yıl süre ile saklanacağı açıkça düzenlenmiştir.

VI. Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi İmha Edilmesi ve Aktarılması

Eski Yönetmelikte kişisel verilerin korunması, işlenmesi, aktarılması ve silinmesi düzenlenmişti. Düzenlemeler, genel olarak KVK Kanunu’ndaki hükümlerin tekrarı niteliğindeydi. Sağlık Verisi Yönetmeliği:

• Kişisel sağlık verilerinin gizlenmesi
• Kişisel sağlık verilerinin düzeltilmesi
• Kişisel sağlık verilerinin imha edilmesi
• Kişisel sağlık verilerinin aktarılması
başlıkları altında, daha detaylı ve özgün kurallar getirmiştir.

A. Kişisel sağlık verilerinin gizlenmesi

Sağlık Verisi Yönetmeliği’nin 12. maddesi kişisel sağlık verilerinin gizlenmesine ilişkin özel bir usulü düzenlemiştir. Hüküm uyarınca, hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilecektir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansıtılacaktır. Ayrıca, gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınması hüküm altına alınmıştır.

B. Kişisel sağlık verilerinin düzeltilmesi

Hem Anayasa’nın 20. maddesinin üçüncü fıkrasında hem de KVK Kanununun 11. maddesi ilgili kişilere kişisel verilerinin düzeltilmesini veya silinmesini talep etme hakkı tanımaktadır. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme kişisel verilerin korunması hakkının en temel unsurlarındandır.
Sağlık Verisi Yönetmeliği’nin 13. maddesi kişisel sağlık verilerinin düzeltilmesine ilişkin KVK Kanunu’ndan farklı bir usul getirmektedir. Kişisel verisi işlenen ilgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurması gerekmektedir. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Sağlık Bilgi Sistemleri Genel Müdürlüğü’ne başvurması ve sehven oluşturulan sağlık verisinin düzeltilmesini istemesi gerekmektedir.

13. maddenin ikinci fıkrası uyarınca Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir. Üçüncü fıkraya göre ise Sağlık Bilgi Sistemleri Genel Müdürlüğü, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirleme ve bu tarihi ihtiyaca göre güncelleme yetkisini haizdir. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.

KVK Kanunu, ilgili kişinin haklarını kullanması hususunda veri sorumlusunu esas alan bir usul getirmiştir. Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde Kişisel Verileri Koruma Kurulu’na yapılacak şikayetle ilgili kişinin haklarının kullanılması sağlanmaktadır. Bu usul tüketilmesi gereken zorunlu bir usul olup, başvuru yolu tüketilmeden şikayet yoluna başvurulamaz. Sağlık Verisi Yönetmeliği ise veri sorumlusundan değil sağlık verisinin oluşturulduğu sağlık hizmet sunucusunun bağlı olduğu il sağlık müdürlüğüne yapılacak idari başvuruyla sehven oluşturulan sağlık verilerinin düzeltilmesine imkan tanımaktadır.

Sağlık Verisi Yönetmeliği, şüphesiz KVK Kanunu’nun 11. maddesinde yer alan ilgili kişi haklarının kullanılmasını ortadan kaldırmamaktadır. Yukarıda belirtildiği üzere, Sağlık Verisi Yönetmeliği’nin 5. maddesinin altıncı fıkrası “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.” demek suretiyle bu hakkı saklı tutmuştur. Bu bölümde eleştirilen husus, sehven yapılan hataları düzeltmeye yönelik müstakil bir idari sürecin getirilmesidir.

C. Kişisel sağlık verilerinin imha edilmesi

Sağlık Verisi Yönetmeliği, kişisel sağlık verilerinin imha edilmesi durumunda kişisel sağlık verilerinin düzeltilmesi usulünde olduğu gibi özel bir usul getirmeyip, KVK Kanunu ve ikincil düzenlemeleriyle getirilen usule atıf yapmaktadır. Sağlık Verisi Yönetmeliği’nin 14. Maddesi uyarınca kişisel verilerin imha edilmesinde, KVK Kanunun 7. maddesi ile KVK Kurumu tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.

Ç. Kişisel sağlık verilerinin aktarılması

Sağlık Verisi Yönetmeliği’nin 15. maddesi kişisel sağlık verilerinin aktarılması hususunda genel hükümlere paralel bir düzenleme getirmektedir. Hükme göre, kişisel sağlık verilerinin yurtiçinde aktarımında KVK Kanunun 8. maddesine, yurtdışına aktarımında ise Kanunun 9. maddesine riayet edilmesi gerekmektedir.
Sağlık Verisi Yönetmeliği, kişisel sağlık verilerinin KVK Kanunun 8. maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28. maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenmesini zorunlu tutmaktadır. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilmesi zorunludur. Verilerin aktarımı, teknik altyapının uygun olması halinde KamuNET üzerinden gerçekleştirilmesi gerekmektedir. KamuNET, kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen bir projedir.

Sağlık Verisi Yönetmeliği’nin 15. maddesinin üçüncü fıkrasına göre, kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Sağlık Bakanlığı birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Sağlık Bilgi Sistemleri Genel Müdürlüğünce işlem tesis edilir.

VII. Bilimsel Amaçlarla İşleme

Sağlık Verisi Yönetmeliği, bilimsel amaçlarla işleme ile açık sağlık verisi işleme konularını müstakil olarak düzenlemiştir. Sağlık Verisi Yönetmeliği’nin 16. maddesine göre, KVK Kanunun 28. maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir. Aynı hükmün ikinci fıkrasına göre ise KVK Kanunun 28. maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.

Özellikle, büyük veri analitiği gibi kişisel verilerin tüm boyutlarıyla işlemenin başında tam olarak tespit edilemediği veya işleme amacının veri analitiği sürecince değişikliğe uğrayabildiği durumları da dikkate alarak, sağlık verilerin belirli koruma tedbirlerine uymak kaydıyla daha kolay ve pratik şekilde işlenmesinin kolaylaştırılması gerekmektedir. Bu doğrultuda, bilimsel amaçlarla işlenme hükmünün etkin şekilde işletilmesi gerekmektedir.

VII. Açık Sağlık Verisi

Veri doğru zamanda ve doğru yöntemle işlenirse gerekli faydayı ortaya çıkarır. Verinin hiç işlenmemesi veya bürokratik engeller sebebiyle geç işlenmesi durumunda veri bayatlar; anlamını yitirir. Bunun için verilerin tüm paydaşlarla standart formatlarda paylaşılması gerekmektedir.
Türkiye’de de açık veriyle ilgili önemli gelişmeler bulunmaktadır. Örneğin, 2015-2018 Bilgi Toplumu Stratejisi ve Eylem Planı açık veriyle ilgili bir hedef yer almaktadır. Bilgi Toplumu Stratejisi ve Eylem Planı, “Kamu Hizmetlerinde Kullanıcı Odaklılık ve Etkinlik” ekseni altında Kamu Verisinin Paylaşılması başlıklı eylemi tanımlamakta ve bu eyleme göre “kamu verisinin paylaşımı ve yeniden kullanımına ilişkin politikalar geliştirilecek; buna dayalı olarak kamu verisinin üçüncü taraflarca yeni katma değerli ürün ve hizmetler için yeniden kullanılmasına ilişkin yasal ve idari düzenlemeler yapılacak, ayrıca gerekli teknik altyapı oluşturulacaktır.”.

Bilgi Toplumu Stratejisi ve Eylem Planı hem merkezi idare hem de yerel idareye yönelik hedefler belirlemektedir. Bilgi Toplumu Stratejisi ve Eylem Planına göre yerel yönetimler dâhil olmak üzere, kamu kurum ve kuruluşlarının topladıkları ve ürettikleri veriler, kişisel bilgilerin korunması, güvenlik, ticari sır vb. kısıtlar dikkate alınarak kamu bilgisinin katma değerli hizmetler yaratmak amacıyla kullanımı ve bu sayede yeni girişimlerin oluşması, şeffaf kamu yönetimi anlayışına katkı sağlanması ve daha fazla bilimsel çalışma yapılmasına imkan tanınması amacıyla paylaşılacaktır.

Bilgi Toplumu Stratejisi ve Eylem Planında da vurgulandığı üzere kamusal faydanın sağlanması ve verinin yeniden kullanımını kolaylaştırmak için, sadece istatistiki olarak özetlenmiş veriye değil, aynı zamanda kişisel ve hassas bilgilerden arındırılmış ham veriye de yer veren açık kamu verisi kataloğu oluşturulmasına ihtiyaç vardır.

Sağlık Verisi Yönetmeliği’nin 17. maddesi açık sağlık verisini düzenlemesi reform niteliğindedir. Sağlık Verisi Yönetmeliği açık veriyi, ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veri olarak tanımlamaktadır.

Sağlık Verisi Yönetmeliği’nin ‘Açık sağlık verisi’ başlıklı 17. maddesi uyarınca Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından, Sağlık Bakanlığı’nın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Sağlık Bakanlığı tarafından belirlenir.

Sağlık Bakanlığı’nın açık veri portalını etkin şekilde yönetmesi durumunda, sağlık alanında bilimsel araştırmalar yapılması daha pratik hale gelecek ve inovatif çözümler geliştirilmesi için gerekli olan veri setlerine erişim kolaylaşacaktır. Büyük veri analitiği açısından da açık veri düzenlemesi önem taşımaktadır.

VIII. Veri Güvenliği

Sağlık Verisi Yönetmeliği’nin üzerinde önlemli durduğu konu, veri güvenliğidir. Genel ilke ve esaslar altında bu konuda detaylı kurallar getirilmiştir. Aynı doğrultuda, Sağlık Verisi Yönetmeliği’nin ‘Veri güvenliğine ilişkin yükümlülükler’ başlıklı 18. maddesi uyarınca KVK Kanunun 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere riayet edileceği hüküm altına alınmıştır. Sağlık Verisi Yönetmeliği’nin 18. maddesinin ikinci fıkrası uyarınca, ayrıca teknik ve idari tedbirlerin alınmasında, Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınması gerekmektedir. Sağlık Verisi Yönetmeliği, açıkça atıf yapmak suretiyle soft-law (yumuşak hukuk kuralı) niteliğindeki bir metne, Kişisel Veri Güvenliği Rehberi’ne normatif dayanak kazandırmıştır. Rehber, ipso iure, yönetmeliğin kapsamına dahil olmuştur.

Sağlık Verisi Yönetmeliği’nin 18. maddesinin üçüncü fıkrası uyarınca da işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu tarafından KVK Kuruluna yapılacak bildirimde KVK Kanunu hükümleri ile KVK Kurulunun bu hususa ilişkin düzenleyici işlemleri esas alınır. Sağlık Verisi Yönetmeliği’nin 20. maddesi uyarınca da yeterli önlemler konusunda da Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edilmesi gerekmektedir.

Sağlık Verisi Yönetmeliği’nin ‘Bilgi güvenliği’ başlıklı 19. maddesi uyarınca da Sağlık Bakanlığı merkez birimleri ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarda yürütülen bilgi güvenliği süreçleri, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından hazırlanan Bilgi Güvenliği Politikaları Yönergesi ile belirlenir.

IX. Yaptırım

Sağlık Verisi Yönetmeliği, yaptırımlara ilişkin kişisel verilere ilişkin genel kurallara çapraz-atıf yapmaktadır. Yönetmeliğin 21. Maddesine göre, Sağlık Verisi Yönetmeliğinde korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından KVK Kanunun 17. ve 18. maddelerine göre işlem yapılır. Ayrıca, Sağlık Verisi Yönetmeliği gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır.

Son olarak ise, merkezi sağlık veri sistemine Sağlık Bakanlığınca belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun Ek 11. maddesinin üçüncü fıkrasına göre işlem tesis edilir.


Sağlık Bakanlığından:

KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YÖNETMELİK

Resmî Gazete Tarih: 21 Haziran 2019
Sayı : 30808

BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar

Amaç
MADDE 1
– (1) Bu Yönetmeliğin amacı; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektir.

Kapsam
MADDE 2
– (1) Bu Yönetmelik, kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerini kapsar.

Dayanak
MADDE 3
– (1) Bu Yönetmelik, 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile 10/7/2018 tarihli ve 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 378 inci maddesinin altıncı fıkrası ve 508 inci maddesine dayanılarak hazırlanmıştır.

Tanımlar
MADDE 4
– (1) Bu Yönetmelikte geçen;
a) Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
b) Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,
c) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
ç) Bakanlık: Sağlık Bakanlığını,
d) e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,
e) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,
f) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
g) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
ğ) KamuNET: Kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen projeyi,
h) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ı) Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,
i) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
j) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
k) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
l) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,
m) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
n) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
o) Kurul: Kişisel Verileri Koruma Kurulunu,
ö) Kurum: Kişisel Verileri Koruma Kurumunu,
p) Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
r) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,
ş) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar ile Kurum tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerlidir.

İKİNCİ BÖLÜM
Genel İlke ve Esaslar

Genel ilke ve esaslar
MADDE 5
– (1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.

ÜÇÜNCÜ BÖLÜM
Kişisel Sağlık Verilerine Erişim

Sağlık personelinin verilere erişimi
MADDE 6
– (1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.
(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.
(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,
erişilebilir.
(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.
(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.
(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.

Bakanlık birimlerinin verilere erişimi
MADDE 7
– (1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.

Çocukların sağlık verilerine erişim
MADDE 8
– (1) Ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.
(2) Anne ve babanın boşanması hâlinde velâyet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.

Sağlık verilerine hasta yakınlarının erişimi
MADDE 9
– (1) Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, 1/8/1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edilir.

Sağlık verilerine avukatların erişimi
MADDE 10
– (1) Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.

Ölünün sağlık verilerine erişim
MADDE 11
– (1) Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.
(2) Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.

DÖRDÜNCÜ BÖLÜM
Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması

Kişisel sağlık verilerinin gizlenmesi
MADDE 12
– (1) Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansır. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır.

Kişisel sağlık verilerinin düzeltilmesi
MADDE 13
– (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.

Kişisel sağlık verilerinin imha edilmesi
MADDE 14
– (1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.

Kişisel sağlık verilerinin aktarılması
MADDE 15
– (1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.
(2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir.
(3) Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir.

BEŞİNCİ BÖLÜM
Bilimsel Amaçlarla İşleme ve Açık Sağlık Verisi

Bilimsel amaçlarla işleme
MADDE 16
– (1) Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir.
(2) Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.

Açık sağlık verisi
MADDE 17
– (1) Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir.

ALTINCI BÖLÜM
Veri Güvenliği

Veri güvenliğine ilişkin yükümlülükler
MADDE 18
– (1) Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere riayet edilir. Teknik ve idari tedbirlerin alınmasında, Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınır.
(2) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu tarafından Kurula yapılacak bildirimde Kanun hükümleri ile Kurulun bu hususa ilişkin düzenleyici işlemleri esas alınır.

Bilgi güvenliği
MADDE 19
– (1) Bakanlık merkez birimleri ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarda yürütülen bilgi güvenliği süreçleri, Genel Müdürlük tarafından hazırlanan Bilgi Güvenliği Politikaları Yönergesi ile belirlenir.

Yeterli önlemler
MADDE 20
– (1) Özel nitelikli kişisel verilerin işlenmesinde ayrıca, Kanunun 6 ncı maddesinin dördüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (ç) bendi uyarınca Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edilir.

YEDİNCİ BÖLÜM
Çeşitli ve Son Hükümler

Yaptırım
MADDE 21
– (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.
(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır.
(3) Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.

Hüküm bulunmayan hâller
MADDE 22
– (1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde; Kanun ve ilgili ikincil düzenlemeler uygulanır.

Yürürlükten kaldırılan yönetmelik
MADDE 23
– (1) 20/10/2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

Yürürlük
MADDE 24
– (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme
MADDE 25
– (1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.


Sağlık Bakanlığı’nın Kişisel Sağlık Verileri Hakkında Yönetmeliğine İlişkin Değerlendirmeler çalışmasını PDF formatında indirmek için tıklayınız.