KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK’İN GETİRDİKLERİ VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR
Kişisel veriler alanının önemli bir parçasını ve özel nitelikli halini oluşturan kişisel sağlık verileri ile ilgili düzenlemeleri içeren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” 29863 sayılı ve 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmişti. Kişisel veriler anlamında temel kanun olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarihinde yayımlanmış olması ve bu kanunda öngörülen Kişisel Verileri Koruma Kurulu oluşturulup görevine başlamadan Kişisel Sağlık Verileri yönetmeliğinin yayımlanması, söz konusu kurulun görüşü alınmadan hazırlandığı için henüz erken bir düzenleme olduğu yönünde eleştirilmekteydi.
Kanun henüz tam olarak anlaşılmamışken, içerisinde yer alan bazı kavram ve tanımlar henüz çok yeniyken ve en önemlisi sık sık atıf yapılan Kişisel Verilerin Korunması Kurulu henüz göreve başlamamış ve çalışma usul ve esaslarının belirlenmiş olmadan Kişisel Sağlık Verileri Yönetmeliğinin yayınlanmasına yönelik eleştirilere katılmaktayım.
Dolayısıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ne demek istediğinin zamanla daha iyi anlaşılması, Kişisel Verileri Koruma Kurulu için seçilen üyelerin 12 Ocak 2017 tarihinde yemin ederek göreve başlaması, 28 Ekim 2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in yayımlanması ve son olarak 16 Kasım 2017 tarihinde “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik” ’in yayımlanması gibi gelişmeler, söz konusu yönetmelikte birtakım değişiklikler yapmayı ve yayımlanan düzenlemelerle uyumlulaştırmayı zorunlu hale getirmiştir. İşte bu nedenle “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” 30250 sayılı Resmi Gazete’de 24 Kasım 2017 tarihinde yayımlandı ve yayımlandığı tarihte yürürlüğe girdi.
Aşağıda başlıklar halinde yönetmelikle getirilen yeni düzenlemelere, Kişisel Sağlık Verileri Yönetmeliğini 6698 sayılı Kanuna uyumlu hale getirmek amacıyla yapılan değişikliklere ve açıklanması gereken diğer hususlara değinip; detaylı bir inceleme ve değerlendirmede bulunacağım.
Yönetmeliğin “Amaç” başlıklı 1. maddesinde yapılan değişiklikler
İlk olarak yönetmeliğin Amaç başlıklı 1. maddesinde yer alan “kişisel sağlık verilerini toplama, işleme, aktarma” ibaresi “kişisel sağlık verilerinin işlenmesine” olarak değiştirilmiş, toplama ve aktarma kelimeleri maddeden çıkarılmıştır. Zira 6698 sayılı Kanunun Tanımlar başlıklı 3. maddesinin ‘e’ bendinde kişisel verilerin işlenmesi; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Öyleyse toplama ve aktarma eylemleri zaten işleme faaliyeti kapsamına girmektedir, ayrıca belirtilmesine gerek yoktur.
Yönetmeliğin “Tanımlar” başlıklı 4. maddesinde yapılan değişiklikler
Yönetmeliğin Tanımlar başlıklı 4. maddesinin ilk halinde:
“İlgili kurumun üst düzey yöneticisi tarafından bilgi güvenliği politikalarının uygulanması için yetki verilen kişi” olarak tanımlanan bilgi güvenliği yetkilisi;
“Bakanlık bünyesinde kurulan Kişisel Sağlık Verileri Komisyonu” olarak tanımlanan Komisyon;
“Sağlık Bakanlığı Müsteşarı” olarak tanımlanan Müsteşar;
“Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birim” olarak tanımlanan Siber Olaylarla Müdahale Ekibi;
“Bakanlıkça yayımlanan Ulusal Sağlık Veri Sözlüğü” olarak tanımlanan USVS;
terimleri değişiklik yapılmasına dair yönetmelik ile kaldırılmıştır. Çünkü bu kavramlar yönetmelik ile getirilmiş olup; uygulamada yer bulamamıştır.
Yine aynı maddenin ‘f’ bendinde değişiklikten sonra kişisel sağlık verisi; “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” olarak tanımlanmıştır. Önceki tanımdan farklı olarak “fiziksel ve ruhsal sağlığına ilişkin” ibaresi eklenmiş, böylece sağlık verilerinin yalnızca fiziksel olarak algılanmasının önüne geçilmek istenmiş; ruhsal sağlığa ilişkin verilerin de kişisel sağlık verileri kapsamında değerlendirildiği belirtilmiştir.
Bunun yanında “kişiye sunulan sağlık hizmetiyle ilgili bilgiler”in de sağlık verisi olduğu tanıma eklenerek özellikle belirtilmiştir. Buna göre, kişinin sağlık durumu, kullandığı ilaçlar veya hastalığı gibi verilerin yanında yalnızca hizmet aldığı sağlık birimi veya uygulanan herhangi bir tedavi aşaması bilgisi de sağlık verisi olarak kabul edilmektedir. Verinin mutlaka kişinin hastalığına dair kesin bir bilgiyi veya kullandığı ilacın tam olarak ismini içermesi gerekmez; hastanın hangi hastanede, hastanenin hangi biriminde hizmet gördüğü de buna dahildir. Örneğin, kalp damar tıkanıklığı sebebiyle kardiyoloji bölümünde tedavi gören bir hastanın; hastalığı, tedavi süreci veya kullandığı kalp ilaçlarının yanında yalnızca hastanenin sunduğu kardiyoloji servisi hizmeti bilgisi dahi, o kişinin sağlık verisidir.
Maddenin ‘ı’ bendinde sağlık hizmeti sunucusunun; “Ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesisleri” anlamına geldiği belirtilmektedir. Kavramın anlamı itibariyle herhangi bir değişiklik olmamakla beraber daha doğru bir tanımlamanın yapıldığını düşünüyorum. Önceki tanımda bulunan “sağlık hizmeti sunan kişiler” ibaresi sağlık hizmeti sunucusu kavramının kapsamını çok net bir biçimde ifade edememekteydi. Bu şekilde sağlık hizmeti sunan tüm basamaklarda yer alan sağlık tesislerinin sağlık hizmeti sunucusu olduğu belirtilmiş ve kavramdan tam olarak ne anlaşılması gerektiği açıklığa kavuşturulmuştur.
Yönetmeliğin “Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar” başlıklı ikinci bölümünün “Genel İlke ve Esaslar” başlıklı 5. maddesinde yapılan değişiklikler
Maddenin 3. fıkrasında bulunan “işleyebilir ve erişebilir” ibaresindeki erişebilir kelimesi kaldırılmış ve yalnızca “işleyebilir” ifadesi bırakılmıştır. Bu değişiklik kelimenin uygulama anlamında herhangi bir karşılığı bulunmaması açısından mantıksal olarak yerindedir. Çünkü ilgili kişinin sağlık verilerini ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebileceği belirtilen sağlık hizmeti sunumunda görevli kişilerin, söz konusu verilere erişmesi gibi bir durum bulunmamakta; bu veriler zaten görevli kişilerde bulunmaktadır. Dolayısıyla önceki tanımda yer alan “erişebilir” ifadesine ihtiyaç bulunmamaktadır. Kaldı ki ifade, sanki bu verilerin sağlık hizmeti sunan görevli kişilerde bulunmadığı gibi yanlış bir algı oluşturabilecektir. Oysa ki düzenlenmek istenen, bu kişilerin ellerinde bulunan verileri belirtilen şartlar dahilinde işleyebilecekleridir. Öyleyse kaldırılan kelime ile beraber maddenin daha doğru bir hale getirildiğini söyleyebilirim.
Aynı maddenin 4. fıkrasında yer alan “Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.” düzenlemesi yürürlükten kaldırılmıştır. Zira bunun ayrıca yönetmelikle düzenlenmesine gerek bulunmamakta, hem kamu görevlileri açısından hem de sağlık hizmetleri çalışanları açısından zaten tabi oldukları ilgili yasalarda sır saklama yükümlülüğü getirilmektedir.
5. fıkrada ise iki farklı yenilik görülmektedir. İlk olarak sağlık hizmeti sunucularında veri işleyen kişilerin, kişisel sağlık verilerini, belirtilen sistemler dışında kopyalayamayıp, kaydedemeyeceğinin yanında “depolayamayacağına” ilişkin yeni bir düzenleme getirilmiştir. Veri depolama, bilginin saklanması, sınıflandırılması ve korunmasını sağlayan teknolojilerin uygulanması anlamına gelir. Böylece sağlık hizmeti sunucularında veri işleyen kişiler, maddede sayılan yerler haricinde kişilerin kişisel sağlık verilerini saklayacak, sınıflandıracak veya korunmasını sağlayacak teknolojileri uygulayamayacaktır.
Anılan fıkrada gerçekleştirilen ikinci değişiklikle, sağlık hizmeti sunucularında veri işleyen kişilerin, kişilerin sağlık verilerini kopyalayamayacağı, kaydedemeyeceği ve depolayamayacağı yerlerin dışında kalan sistemlere bir yenisi daha eklenmiştir. Buna göre veri işleyen kişiler, sayılan eylemleri önceki yönetmelikle belirlenen sistemlerin yanında “merkezi sağlık sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları” haricinde hiçbir yerde gerçekleştiremeyecektir. Böylece bu eylemlerin gerçekleştirilebileceği istisnai yerlere merkezi sağlık sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları eklenmiştir. Merkezi sağlık sistemi, Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemi anlamına gelmektedir. Genel Müdürlüğün onayladığı diğer veri kayıt ortamları açıklanmamış olsa da; buradan üçüncü kişilerin onaylanacağı anlamı çıkmaktadır. Bu onaylama, hizmet satın alınacağı anlamına geldiğinden ve bu süreç mevzuat gereği ihale veya pazarlık yöntemiyle gerçekleşeceğinden bu konuda dikkatli olunmalıdır. Onaylamanın yapılacağı şartnamenin konuya özgü olarak çok iyi düzenlenmesi gerekir. Zira kötü niyetli kullanımlara açık bir hüküm mevcuttur.
Maddenin 6. fıkrasında yer alan sağlık hizmeti sunucuları için “Ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.” ibaresi çıkarılmıştır. Madde metninden çıkarılan bu cümlede 6698 sayılı Kanun kapsamında bir veri aktarımından söz edilmektedir. Oysa zaten Bakanlık’ta bulunan verilerin, yeni bir sistemde işlenmesi söz konusudur ve dolayısıyla mevcut olanlara ek yeni bir sorumluluk yaratılmasının gereği yoktur.
7. fıkra olarak düzenlenen; “Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilir ve aktarılabilir.” ibaresi ise yürürlükten kaldırılmıştır. Bu şekilde yönetmelikte bulunması gerekli olmayan düzenlemenin kaldırılmış olması faydalı olmuştur. Çünkü zaten aynı husus 6698 sayılı Kanunda düzenlenmiştir. Kanunun “İstisnalar”ın düzenlendiği son bölümünün 28. maddesinde Kanunun uygulanmayacağı haller sayılmış ve 1. fıkrasının ‘b’ bendine göre; kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi halinde Kanunun uygulanmayacağı belirtilmiştir. Daha üst norm olan Kanunda var olan bir hükmün yönetmelikle düzenlenmesinin bir anlam ifade etmediğini, aksine karmaşaya yol açabileceğini söylemeliyim. Bu yüzden ilgili fıkranın kaldırılmış olmasını yerinde buluyorum.
8. fıkrada ise sağlık hizmeti sunucularının kişisel sağlık verilerini merkezi sağlık verisi sistemine aktarırken uymaları gereken usul ve esaslara; Bakanlıkça belirlenenlerin yanında, Kurul tarafından belirlenenler de eklenmiştir. Bu şekilde Kurul’un belirlediği usul ve esasların da dikkate alınması gerektiğine işaret edilmiştir. Kurul’un henüz göreve başlamadığı tarihte yayımlanmış olmasından dolayı yönetmelik ilk haliyle yalnızca Bakanlıkça belirlenen usul ve esaslara atıf yapmıştır. Oysaki Kişisel Verileri Koruma Kurulu’nun 6698 sayılı Kanunun uygulanmasında birçok görev ve yetkisi bulunmaktadır. 16 Kasım 2017 tarihinde yürürlüğe giren “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik” de bu durumu açık bir biçimde ortaya koymaktadır. Dolayısıyla ilgili fıkranın değişiklikle beraber mevcut bulunan mevzuata daha uyumlu hale geldiğini söyleyebilirim.
Maddenin 9. fıkrasında yer alan; “İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.” ifadesi yürürlükten kaldırılmıştır. Bunun nedeni aynı maddenin 7. fıkrasının kaldırılmış olma gerekçesi ile aynıdır.
6698 sayılı Kanunun 6. maddesinin 2. fıkrasına göre; “Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
Kanunun 8. maddesine göre; “Kişisel verilerin açık rıza olmaksızın aktarılamaz.”
Aydınlatma zorunluluğu ise Kanunun 10. maddesinde karşımıza çıkmaktadır. Buna göre; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle” yükümlüdür.
Öyleyse yürürlükten kaldırılan 9. fıkra, zaten 6698 sayılı Kanunun yukarıda açıkladığım maddelerinden yola çıkılarak ulaşılabilen bir sonuçtur ve yönetmelikle düzenlenmesine gerek yoktur. Bu nedenle de yürürlükten kaldırılmış olması yerinde olmuştur.