Kişisel Verilerin Korunması Kanunu (KVKK), 24/03/2016 tarihinde yürürlüğe girmiştir. Kanuna ek çıkartılan yönetmelikler ve Kişisel Verilerin Korunması Kurulu kararları ile kanun bir zemine oturtulmaya çalışılmıştır. Bu makalemizde Kanun kapsamında özel nitelikli kişiler veri olarak değerlendirilen sağlık verilerin işlenmesi ve sağlık verisi işleyen hekimlerin yükümlülüklerine değinilecektir. Ancak 6698 sayılı Kanunun düzenlenme amacının ve getirdiği yeniliklerin oturması açısından bazı kavramlara kısaca değinmek faydalı olacaktır. Bu kavramlara örnek olarak “kişisel veri”, “özel nitelikli kişisel veri”, “ilgili kişi”, “veri işleme”, “veri sorumlusu" gibi kavramları verebiliriz.
Kavramlar
Kişisel veri; kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmaktadır. Tanıma bakıldığında kişinin “adı, soyadı, tc kimlik numarası” gibi kişinin kesin olarak teşhisini sağlayan verilerin haricinde; fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri kabul edildiği görülmektedir.
Özel nitelikli kişisel veri; Kanuna göre “kişileri ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendik üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri olarak sayılmıştır.
İlgili kişi; tam olarak verisi işlenen gerçek kişiyi ifade etmektedir. Belirtilmelidir ki tüzel kişilere ilişkin veriler kanun kapsamında değerlendirilmeyecektir.
Veri işleme; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, "kişisel verilerin işlenmesi" olarak kabul edilmektedir.
Veri sorumlusu; Kanuna göre, kişisel verinin işlenme amacını ve yöntemini belirleyen gerçek veya tüzel kişidir.
Özel Nitelikli Kişisel Veri ve Sağlık Verileri
Özel nitelikli kişisel veriler yukarıda belirtildiği üzere, kanun koyucu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ayrı ve özel olarak düzenlenmiştir. Özel nitelikli kişisel verilerin ayrı ve özel düzenlenmesindeki sebep ise söz konusu verilerin öğrenilmesi halinde kişi hakkında ayrımcılık yapılmasına veya mağduriyetlere neden olabilecek nitelikte olmasıdır. Bu nedenle özel nitelikli kişisel verilerin işlenmesi ancak sınırlı sayılan hallerde mümkündür.
Bu noktada makalemizin konusu sağlık verilerine ayrı bir parantez açmak da faydalı olacaktır. Sağlık verileri yukarıdaki tanımdan da anlaşılacağı üzere özel nitelikli kişisel veri kategorisi içerisinde yer almakta ve hatta diğerlerine kıyasla çok daha fazla önem arz etmektedir. Sağlık verilerinin diğerlerine kıyasla çok daha hassas olması nedeniyle konuya ilişkin 21 Haziran 2019 tarihli Resmi Gazetede yayınlanan “Kişisel Sağlık Verileri Hakkında Yönetmelik” yürürlüğe girmiş ve özel nitelikli kişisel veri olan sağlık verilerinin işlenmesi, sağlık hizmeti sunucularının yükümlülükleri ve yaptırımlar düzenlenmiştir.
Hassas veri olarak kabul edilen sağlık verilerinin işlenmesi için kanunda sayılan sınırlı hallere değinmeden önce sağlık verilerinin ne olduğuna ilişkin bir tanım vermek faydalı olacaktır. İlgili yasal mevzuat dikkate alındığında sağlık verileri, “kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler” şeklinde tanımlanabilir.
Sağlık Verilerinin İşlenme Şartları
Hassas veri niteliğinde olan sağlık verilerinin işlenmesi kural olarak yasaktır. Ancak genel kuralın iki istisnası bulunmaktadır. Bunlardan ilki konuya ilişkin tam ve eksiksiz yapılmış bir aydınlatmanın ardından ilgili kişinin açık rıza vermiş olmasıdır. İkincisi ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenmesidir. Bu noktada bir diş hekiminin yahut bir plastik cerrahın sağlık hizmeti sunucusu olduğu ve kanun kapsamında ilgili kişinin açık rızası olmaksızın sağlık verisi işleyebileceğini söyleyebiliriz.
Sağlık Hizmeti Sunucusunun Kanun Kapsamında Yükümlülükleri Nelerdir?
Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik’in tanımlar başlıklı 4.maddesinde sağlık hizmeti sunucusu, “sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişileri” şeklinde tanımlanmaktadır. Sağlık hizmeti sunucularının kişisel sağlık verilerinin işlenmesi, silinmesi, yok edilmesi ve imha edilmesine yönelik Kişisel Verilerin Korunması Kanunu uyarınca birtakım yükümlülükleri vardır.
- VERBİS’e Kayıt Yaptırma Yükümlülüğü: Faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumlularının Kişisel Verilerin Korunması Kanunu m.16 uyarınca kişisel veri işlemeye başlamadan önce VERBİS’e kayıt yaptırmaları gerekmektedir. Ayrıca VERBİS kaydı yaptıranların bir envanter hazırlama yükümlülükleri de vardır.
- Aydınlatma Yükümlülüğü: Kişisel Verilerin Korunması Kanunu m.10 uyarınca veri sorumlusu veya yetkilendirdiği kişi ilgili kişilerin kişisel verilerini işlemeden önce aydınlatma yükümlülüğü vardır.
- Veri Güvenliğine İlişkin Yükümlülükler: Veri sorumlusu işlemiş olduğu kişisel verileri fiziki veyahut elektronik ortamda saklayabilir. Ancak gerek fiziki ortamda gerekse elektronik ortamda saklanan verilerin güvenliğini sağlamakla yükümlüdür. Buna göre elektronik ortamda saklanan verileri özel koruma programları gibi yöntemlerle, fiziki ortamda saklanan verileri ise bir dolapta kilitli tutmak gibi yöntemlerle saklanabilir.
- Başvurulara Cevap Verme Yükümlülüğü: İlgili hasta Kişisel Verilerin Korunması Kanununun uygulanmasına yönelik taleplerini veri sorumlusuna yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle iletebilir. Bu durumda veri sorumlusu yapılan başvuruda yer alan talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde cevaplandırmakla yükümlüdür.
- Kurul Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü: Kurul re’sen harekete geçerek inceleme başlatabilir. Ayrıca yukarıda bahsedilen başvuruya cevap verilmemesi, cevabın yetersiz olması veya talebin reddedilmesi halinde Kurula yapılan şikayet üzerine Kurul tarafından bir inceleme başlatılması da kuvvetle muhtemeldir. Her iki ihtimalde de Kurul tarafından yapılan inceleme sonucu verilen kararların yerine getirilmesi zorunludur. Aksi takdirde veri sorumlusu idari para cezası tehlikesiyle karşı karşıya kalacaktır.
KVKK konusunda EDG Hukuk Bürosu ile irtibat için: Av. Hande Aybige ERDEM - 0554 575 26 38 / 0216 888 05 25 - www.edghukuk.com - Bağdat Cad. Suadiye Apt. No:439 Kat:4 D:9 34740 Kadıköy/İSTANBUL