KİŞİSEL SAĞLIK VERİLERİNİN KORUNMASI


A.     Giriş

       Her insan yaşadığı toplumda bir statüye sahip olup başkaları tarafından belli bir bilinirliğe sahiptir. Diğer insanlardan tarafından bilinirlik kişinin hangi hayat alanında olduğuna göre değişmektedir. Kişinin hayat alanlarını ortak alan, özel alan, ve gizli alan diyerek sınıflandırabiliriz. Ortak alanda kişi, bilgilerinin paylaşılmasında herhangi bir sakınca görmemektedir. Hatta bu bilgileri kendi bile paylaşabilir. Özel alanda kişi, bilgilerini istediği belli başlı kişilerle paylaşıp onlarda kalmasını istemektedir. Gizli alanda kişi bilgilerinin sadece kendisinde kalmasını istemektedir. Kişinin mahremiyet alanı buna göre değişip belli bir öneme göre sıralanmaktadır.

       Gelişen dünyada hemen her alanda bilginin öneminin giderek artması, bilgiyi doğru bir şekilde elde etme konusundaki ihtiyacın artmasına da sebebiyet vermiştir. Bu yüzden bu konudaki ihtiyaçları karşılamak üzere önemli çalışmalar yapılmaya başlanmıştır. Özellikle sağlık bilişimi alanında pek çok uluslararası standartların geliştirildiği görülmektedir. [1]

 

B.     Teknoloji ve Hukuk

       Biz büyüyüp gelişiyoruz da dünya olduğu gibi mi kalıyor yerinde? Göz açıp kapayınca kadar ulaşılan bilgiler, dünyanın bir ucunda olan insanlardan haberdar olmamız hatta onlarla konuşabilmemiz artık yenileşen dünya daha doğrusu gelişen teknolojinin bir getirisi olarak hayatımızda varlığını sürdürüyor. Bu örnekler tarihe karışan, sanki yüzyıllardır hayatımızın her parçasında varmış gibi düşündüğümüz gelişmelerin birkaçını oluşturmaktadır.

      Mesela daha yakın bir geçmiş olan, ilk kez konuşmaları teller aracılığıyla ileten telefon Alexander Graham Bell tarafından 1876'da icat edildi.[2]  1992 yılına gelindiğinde   ilk dokunmatik akıllı cep telefonu geliştirildi. PDA (Personal Digital Assistant) özelliklerini ve haritalar, hisse senedi raporları ve haberler gibi vizyoner mobil uygulamaları içeriyordu. 1994 yılında piyasaya sürülmemiş olmasına rağmen, Simon, düzgün bir “akıllı telefon” olarak anılacak olan ilk ticari cihazdı. Simon, hücresel telefon görüşmesi yapabilmenin yanında, faks ve e-posta gönderebilir ve alabilir ve dokunmatik ekran ekranını kullanarak bir adres defteri, takvim, randevu zamanlayıcı, hesap makinesi, dünya saat saati ve not defterini içermekteydi.[3]

       1995 yılından günümüze gelene kadar evirilmeye devam eden telefon akıl almaz gelişmelerle hayatımıza dahil olmuş günümüzde yediden yetmişe herkesin elinde su gibi, yemek gibi temel ihtiyaç haline gelmiş durumda. Onun varlığıyla beraber her türlü bilgiye kolayca ulaşır, her türlü bilgimizi onunla paylaşır hale gelmiş durumdayız. Artık kimseyle paylaşılması istenilmeyen bilgileri gizli kalması adına ona depolar hale geldik. Herhangi bir uygulama indirmek istediğimizde güvenlik politikası okunulmadan 'kabul et' butonuna basar olduk. Bu tip örnekler o dokunulmaz gördüğümüz telefonumuzla kendi ellerimizle o çok gizli bilgilerimize ulaşılması için yaptığımız küçük dokunuşlardan ibaret. Bunlar kendi ellerimizle yaptığımız hatta sadece telefon aracılığıyla yaptığımız şeylerin birkaçı.

     Teknolojin gelişim süreci öyle bir hızla ilerliyor ki her yeni güne faklı bir buluşa ya da bir üst sürüme gözlerimizi açıyoruz. Daha birisine alışmadan ikincisi çıkıyor karşımıza. Bilgiye ulaşma hızımız giderek artıyor, ayağa kalkmadan bir tıkla hallolan işlere rahatlıkla alışıyoruz.  Her ne kadar bu gelişmelerin nedeni biz olup bu hayatı yaşıyor olsak da bunlara adapte olmak teknoloji çağında doğmuş çocuklar için zor değil de 50 60 yıllık hayatına bir sürü teknolojiyi sığdıran insanlar için aynı şeyi söylemek oldukça güçleşiyor.

      Bilim insanlarının bilim ve gelecek adına yaptıkları akıl almaz şeyler, teknolojinin birkaç günde hatta birkaç saatte ne hale gelebileceğinin kestirilememesine sebebiyet veriyor. Bir şeylerin kestirilebilir olması, planlı olması hayatımızı ne şekilde yönlendireceğimizi belirleyip hata yapmaktan kaçınmamız için önem arz ediyor.

     Kaçınılmaz hatalara karşı durmaya çalışan hukuk kuralları toplumsal düzenin sağlanması, insanlığın huzur içinde yaşayabilmesi ve hayatın daha yaşanılabilir bir yer olması için gerekli yadsınamaz bir gerçektir. Ne var ki genel olarak hukuk kuralları, yaşanmış olaylara cephe oluşturmak adına yapılmış kurallar bütünüdür. Yani hep bir adım geride, yaşanılan olayların hayata iz bırakan adımlarını takip ederek ilerlemeye çalışıyor. Peki bu adımlar ne kadar hızlı atılıyor? O adımlar doğru yerde ve doğru zamanda mı atılıyor? Teknolojinin hızına yetişilebiliyor mu? Teknoloji ve teknolojin getirileri... Teknolojinin olumlu yanları olduğu gibi olumsuz yanları da bulunmaktadır. Önemli olan teknolojinin nasıl kullanıldığıdır ve neye hizmet ettiğidir.  Bu olumsuz yönlerden en önemlisi de iletişim araçları yoluyla özel hayatımızı tehlikeye atıp atmadığımız? Bu kilit soru karşısında konuya iki açıdan bakmamız gerekiyor. Birincisi teknolojiyi kullanarak özel hayata müdahale, ikincisi teknolojinin doğrudan özel hayatımıza müdahalesi.[4] Bu kadar teknolojiyle içi içe olmamızın olumlu yönleri olabileceği gibi olumsuz yönlerinin de olması kaçınılmazdır.

 

       Özel hayat herkesin mahremi, dokunulmazı, sadece kendisine ve izin verdiklerine açık bir kapıdır. Kimsenin 'bir arkadaşa bakıp çıkacağım' gibi bir sebebe sığınıp da öylesine hareket edebileceği bir alan değildir. Bu konunun ihlalinde günümüz teknolojilerin arasında kullandığımız iletişim araçlarının yerleri azımsanmayacak kadar önemli.

      Fotoğraflarımız, kimlik bilgilerimiz gibi kişisel bilgi olarak nitelendireceğimiz birçok şey paylaşıyoruz. Bunlar aslında özel hayatımızı oluşturan parçaları kendi iznimizle bilerek veya bilmediğimizi bilmeyerek dış dünyaya dağıttığımız kendi benliğimizdir. Bu tip örnekler bizim rızamızla olan şeyler. Peki ya rızamız olmaksızın ele geçirilen bilgiler? Aslında bakarsak yasadışı işlem örnekleri dışında çoğu şey şu çok gereksiz gördüğümüz ve okumadan geçtiğimiz 'kabul et', 'kabul ediyorum' gibi butonlardan bir türlü parmaklarımızı çekmememizden kaynaklı ama tabi ki bu yasadışı işlemler bizim kişisel bilgilerimizi gereksiz paylaşım yapıyoruz diye onların rızamız dışı ele geçirilmesini istememizi gerektirmiyor.

       Yasadışı işlemleri yeteri kadar gücü olmayan insanların engellemesi yeterli olmayınca daha kompleks yapıdaki oluşumlar bu işi halledilebilmesi için iş başındalar. Bizi korumak gibi bir yükümlülüğü olan devlet bu oluşumun en genel halidir. Devlet tarafından oluşturulan mekanizmaların bazıları engellemek için uğraşırken, bazıları da engelleyemediği durumda ne yapılacağı konusunda çalışıyorlar. Bu mekanizmalar içerisindeki hukukçuların yeri diğerleri gibi apayrı ve önemlidir. İnsanların bu yönde hakları gaspa uğradığında uğrayacakları ilk yerdir.

       Birbirimizin hayatına müdahalenin bu kadar rahat ve yoğun olduğu bu günlerde kişisel bilgilerimize erişilmesi ve yayılıp kullanılması bir tık uzaklıktadır. Kişisel bilgilerimizin herkesin elinde olması, biri tarafından kolaylıkla ulaşılabilecek durumda olması endişe verici bir gerçek. Bu endişelerden az da olsa kurtulmak adına bu konunun hukuki açıdan düzenlendiğini bilmek endişeleri geride bırakmak için görünüşte yeterli gibi görünüyor.

 

C.     Kişisel Verilerin Korunması Kanunu’nun Tarihi Gelişim Süreci

       Aslında bakarsak hem ulusal hem de uluslararası alanda KVKK’ nin (Kişisel Verilerin Korunması Kanunu) tarihi gelişim serüvenine baktığımızda çok da geç olmayan bir zamana denk geliyor. Uluslararası düzenleme olarak Avrupa Konseyi’nin 1973 ve 1974 yıllarında, özel ve kamu kesimindeki elektronik veri bankalarında tutulan kişisel verilerin korunmasında gerekli standartları belirlemek için kabul ettiği iki karar, kişisel verilerin korunması ile ilgili sonradan çıkarılan düzenlemelere kaynaklık etmiştir.

       Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşme’nin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır. Bu gelişmelerin ardından, Avrupa ülkelerinde ve ABD’de ulusal düzlemde yasal mevzuat oluşturulurken Birleşmiş Milletler (BM), Avrupa Konseyi, İktisadi İş birliği ve Kalkınma Teşkilatı (OECD) ve Avrupa Birliği (AB) kapsamında da çeşitli yönerge, direktif ve uluslararası anlaşmalar hazırlanmıştır.[5]

       Ülkemizi kişisel verilerin korunmasına yönelik kanuni bir düzenleme hazırlamaya yönelten temel etkenler; insan haklarının etkin bir biçimde korunması, Avrupa Birliği ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması ihtiyacı şeklinde sıralanabilir.[6]

      Ülkemizle ilgili devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü doğrudan kişisel verilerin korunması ile ilgilidir. Avrupa Birliği, ülkemizle ilgili olarak hazırladığı ilerleme raporlarında kişisel verilerin korunmasına dair ulusal mevzuata olan ihtiyacı vurgulamıştır.[7] Tüm bu gelişmelerin ardından Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazete'de yayımlanıp, yayınlandıktan 6 ay sonra 07.10.2016 tarihinde yürürlüğe girmiştir.

 

 

D.     Kişisel Veri

       İletişimin öyle yoğun yaşandığı bir zaman dilimindeyiz ki bununla beraber bilgi yayılma hızı ve kapsamı önüne geçilmez şekilde artıyor. Paylaştığımız bilgilerin bir yerlerde depolandığını bilmek, kağıda yazılan yanlış yazının silgi aracılığıyla silinmesi dışında kalan silme eylemlerinin tam olarak gerçekleşmediğini bilmekle aynı şey aslında. Bu demek oluyor ki teknoloji ağına yakalanmış kişisel veriler silinmiyor, varlığını bir yerlerde sürdürmeye devam ediyor.

      Kişisel veriden kastımız ne? Hangi tür bilgiler kişisel veri olarak değerlendiriliyor? Bu sorunun yanıtını KVKK 3. maddenin d bendinde bulabiliriz. Kanunda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır.

       Maddenin gerekçesine bakıldığında sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı olsa da kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veridir diyerek açıklamıştır.

       Her an birçok bilgilerimizi bir şekilde paylaşmak zorunda kalıyoruz. Peki bu paylaştığımız bilgiler ne oluyor? Birçok bilgimizin kayıt altına alındığını biliyoruz. Depolanan verileri muhafaza etmede amaç nedir? Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir.[8]

 

E.      Kişisel Verilerin İşlenmesi

       Kişisel verilerin işlenmesinden ne anlamamız gerekiyor? 6698 sayılı Kişisel Verileri Koruma Kanunu'nun 3.maddesinin 1.fıkrasının e bendinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanıyor. Kanun maddesinin gerekçesine baktığımızda kişisel verilerin işlenmesini daha geniş kapsamlı olarak düşünmemiz gerektiğini verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini belirttiği görülebilir.

       Bizim bilgimiz internet ortamına düştüğünde diğer mecraların da bu bilgilere ulaşması ve incelemesi çok kolay oluyor. Bizden bağımsız şekilde ilerleyen bir sistemle A mecrasına verdiğimiz bilgi B ile de paylaşılarak bir şekilde önümüze getirilebiliyor.  Alışveriş sitelerinde sadece bir defa baktığımız ürün daha sonra farklı mecralarda sürekli reklam, tanıtım olarak karşımıza çıkıyor. Bu ürün tüketicinin aklında olmasa bile önüne çıkan reklamlarla tekrar düşünüyor ve sonunda almaya karar veriyor.

       Bütün bunların nedeni biz miyiz? Bu soru iki anlamda düşünülüp iki farklı yanıtla cevaplandırılabilir. Birinci yanıt evet. Bütün bunların nedeni biziz. Burada önemli olan bize bir şeyler aldırabilmek, kendilerinin bir şeyler kazanmasına yardımcı olmak. İkinci yanıt ise hayır. Bütün bunların nedeni biz değiliz. Bu tür şeylerin hepsine biz neden olmuyoruz. Belki çoğu bilgimizi bilerek ama kullanılacağını bilmeyerek paylaşıyoruz ama bizim dışımızda bizim iznimiz olmaksızın bizim bilgilerimiz paylaşılıyor, veri transferleri oluyor.

       Satanın da alanın da bir menfaatinin var olduğu belli ama bunun ne olduğu kendi aralarındaki anlaşmaya bağlı bir şey. Peki bu veri transferlerine konu olan bilgilerin sahipleri? Onlar bu durumdan bihaber ya da “bu metni okudum, onaylıyorum.” butonuyla habersiz bırakılmaya çalışılıyorlar. Bu durumda ne olacak? İşte tam olarak burada kişisel verilerin işlenmesini engellemek ve bunun sonucunda doğacak istenmeyen durumların önüne geçmek amacıyla   Kişisel Verilerin Korunması Kanunu devreye girmektedir.

 

F.      Kişisel Verilerin İşlenmesinde Açık Rıza Aranmadığı Haller

      Bazı mekanizmalar hayatımızı kolaylaştırırken bazı mekanizmalar da bizi yönetenlerin daha kolay daha güvenli hizmet sunabilmesi için gerekli yok sayılamayacak kadar önemli hale gelmiştir. Hatta bazı şeylerin yokluğunda 'güvenilmez yer' damgasını yapıştıracak kadar hayatımıza kabul etmiş durumdayız. Peki bunlar ne işe yarıyor? Bizi biz yapan ögeleri bir araya getirip taşıdığımız vücudu tamamlayıp içini doldurmaya çabalıyorlar. Kendi bünyelerinde bizim varlığımızı kendilerince bizi oluşturmak için çalışıyorlar. Peki bünyelerinde bizleri oluşturabilmek için bazı sınırlar mevcut mu? KVKK md 4 fıkra 1 de kişisel veriler, ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir diyerek verilerin işlenmesine sınırlar getirilmiştir.

        KVKK 4. maddenin 2. Fıkrasına gelindiğinde de kişisel verilerin işlenmesi konusunda uyulması gereken sınırları belirtmiştir.

KVKK m 4- (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

 a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

       Veri sorumlusu, veri işlemesi yaparken amaç çerçevesinin dışına çıkmaması gerektiği ve gelecekte işlerine yarama ihtimaline karşın verilerin silinmemesi, anonim haline getirilmemesi amaç kapsamını aştığı için zamanı geldiğinde imha edilmesi zorunluluğu kanun maddesinde açıkça belirtilmiştir. Kanun koyucu bu maddeyle beraber veri sorumlusunun hareket alanını belirtmiş ve daraltmıştır. Veri sorumlusunun yukarıdaki ilkelere aykırı işlem yapması halinde bu işlemden dolayı sorumlu olacağı görülmektedir.

       Kural olarak kişisel verilerin işlenmesi ilgili kişinin açık rızasına bağlıdır. KVKK ‘NİN 5. maddesinin 1. Fıkrasında kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez diyerek kanunda açık bir şekilde bir maddenin konusunu oluşturmuştur. Maddenin gerekçesine bakıldığında 95746 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır diyerek açıklamıştır.

       5. maddenin devamına bakıldığında genel kural olan açık rıza olmaksızın veri işlenmesine açık kapı bırakan istisnaların olduğu görülmektedir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması yukarıdaki maddeye getirilen istisnalardır.

       Bir kural uzun bir süre devamlılığını sürdürebilmesi kuralın dışına çıkma ihtimalinin en aza indirgenmiş halde bulunmasına bağlandırılabilir. Bir kuralda ne kadar istisna varsa ne kadar açık varsa istisna içine girmemiş olsa bile kılıfına uydurulma ihtimali o kadar artıyor. KVKK bizler için korunmaya muhtaçlar için yapılmış bir kanun. Peki bu kadar istisna gerekli mi? Bazı istisnalara bakıldığında gerekliliği tartışılamayacak kadar önem arz ediyor. Onların yokluğunda korunan hukuki değer çatışmasında çatışmaya yer vermeyecek şekilde gerekli, bizler için yapılan kanunun varlık amacına hizmet ettiği gözler önüne seriliyor.

 

G.     Özel Nitelikli Kişisel Veri

       KVKK’ nin 6. maddesine bakıldığında özel nitelikli kişisel verilerin ne olduğu açıklanmıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

       İlgili maddeye bakıldığında özel nitelikli kişisel verilerin ne olduğu teker teker sayılmıştır. Bu verilerin neden özel nitelikte olması gerektiği kanun maddesinin gerekçesinde belirtilmiştir. Gerekçesinde özel nitelikli kişisel verilerin başkası tarafında öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olabilmesi dikkate alınmakta, bu sebeple tu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.

       KVKK ‘nin 6. Maddesinin 3. Fıkrasında bir özelleştirme söz konusudur.

 KVKK m 6 – (3): Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.  Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

       Bakıldığında kişisel verileri istisna içine istisna sığdırılmış bir biçimde KVKK adı altında toplamışlar ve sunmuşlardır.

 

H.      Kişisel Verileri Koruma Kanunu Madde 6

       Kişisel verilerin korunması kanunun 6. Maddesine bakıldığında, ilgili kişinin açık rıza açıklaması söz konusu olmaksızın özel nitelikli kişisel verilerinin işlenme şartları göz önüne alındığında görüldüğü gibi kişisel sağlık verileri (cinsel hayata ilişkin kişisel verilerin korunması dışında) ayrı bir düzenlemeye sahip olduğu görülmektedir. Bu yüzden kişisel sağlık verilerinin korunması konusu daha ayrıntısına inebilmek adına mercek altına alınıp incelenmelidir.

       Hayatımızda önemli bir yeri olan sağlık, diğer özel nitelikli kişisel veri olarak sayılan haller dışında özel bir düzenlemeye tabi tutulup kendine has istisnalarla hayatımızdaki yeri gibi özelleştirilmiştir. Peki bu özelleştirilmiş kişisel sağlık verilerin korunması için yeteri kadar önlem alınıyor mu? Alınan önlemlere rağmen kişisel sağlık verilerinin sızması mümkün mü? Bu konuda önlem alması gereken organlar hangileridir?

 

İ.       Hasta -Doktor ve Hasta-Hastane İlişkisi

       Sağlık, insanların hayatında önemli bir yere sahip olup bu hususta hastalar doktorlara güvenip kendilerini bu konuda emanet edebilecekleri en bilgili insanlara emanet ediyorlar. Peki hastalar doktorlardan ne bekler? Hastaların doktorlardan en birincil isteği tabi ki kendisinin iyileşmesini sağlamak. Bunun yanında ikincil nitelikte diye sayabileceğimiz ama doktorların olmazsa olmaz görevleri içerisinde yer alıp aynı zamanda Hipokrat yeminlerinde de bulunan hastaların meslek dolayısıyla öğrendiği sırları saklayacağına dair husustur. Tabi ki doktorun hasta ve yakınlarını aydınlatma yükümlülüğü de vardır. Bu iki konu arasındaki sınır iyi korunmalıdır. Hastalar genel olarak doktorların yapacağı işlemleri, çok fazla aşırıya kaçmamak suretiyle işlemler bittikten sonra ne halde olabileceğinin yanıtını beklerler. Ayrıca hastalar kendileri ve hastalıklarına dair bilgilerin gizli kalmasını ummaktadırlar. Buna benzer bazı hususlar da dahil hastalar doktorlardan bunları beklemektedirler fakat bunların korunması için doktora ayrıca bir bildirim yapılmasına gerek yoktur. Bu bildirimler olmasa bile doktorların tabi olduğu yükümlülükler kısmında ayrıntılı bir biçimde incelenmiştir.

       Hastaların kendisi ve hastalığıyla ilgili bilgilerinin gizliliği sadece doktorlar için sınırlı değildir. Hastanede hastayla her kim ilgilenmişse bu yükümlülüğü üzerinde taşır. Danışmalar, hastanede tedavi olabilmek için uğranılacak ilk yer. Bu yüzden kişi, hastanede tedavi görmek istiyorsa adımlarının ilk doğrultusu danışmaya doğru olmalıdır. Danışmaların bizden isteyeceği ilk şey kimliğimiz yani bize dair bir şey öğrenmek isteyen bir kimsenin öğrenmek isteyeceği ilk bilgiler yani ana bilgilerimizin var olduğu bir çeşit kağıt. Bu durumda kişi hakkında bilgiler hastaneye adım atmakla paylaşılır hale geliyor. Hemşireler de hasta ile ilgilenen hastalığıyla ilgili bilgilere ulaşacak ve hastayı hastalığından kurtarabilmek için bazı tetkiklerin yapılmasına önayak olacak kimselerdir. Onlara apayrı bir görev düşmektedir. Hastayla ilgili bilgilerin satılıp ticari bir konuya sebebiyet vermeleri bir yana bu konuların herhangi bir yer ve zaman platformunda konuşulması bile sakıncalı bir durumdur. Tüm bunları toplamak gerekirse hastane ve hasta arsında gizli bir antlaşma olan bilgileri bizzat belirtmeye gerek olmaksızın aralarında sır kalacak şekilde tedavi süreci başarıyla sonlandırılarak hasta memnun edilmiş bir halde evine göndermek gerekir.

      Hastalardan alınan bilgiler tedavi süreci içinde onun yararı için kullanılmalıdır. Hastaların bunu bilmesi hastaneye olan güvenini dolayısıyla doktora olan güvenini artırır. Doktorların tedavi sürecini doğru ve hızlı bir şekilde ilerletebilmesi için en büyük ve önemli yardımcıları tabi ki hastanın kendisi ve onun yakınlarıdır. Tedavi süreci boyunca karşılıklı doğru iletişim bilgileriyle ilerlemek bu bakımdan çok önemlidir. Eğer bu güven insanlara verilmezse hasta-sağlık personelleri, hasta-hastane arasındaki güven ilişkisi zedelenecektir. Sağlıkta dönüşüm adıyla da anılan gelişen ve büyüyen sağlık sistemi gereğince hastaların hastanede tedavi görebilmesi için hastane ile paylaştıkları bilgilerin bir araya toplanılması iletişim ve haberleşme alt yapıları yüzünden kişisel sağlık verileri kapsamında tutulan bilgilerin korunmasını zorlaştırmaktadır. Bu bilgilerin korunmasının zorlaşması dolayısıyla bilgilere erişiminin kimlere açık olduğunu bilmemek insanlarda güven eksikliğine sebebiyet verebilecek olan durumlar arasındadır.

 

J.       Teknoloji ve Sağlık

       Teknoloji hayatımızın her bölümünde etkisini gösterdiği gibi sağlık kısmında da etkisini göstermiştir. Bu etkilerin varlığına şaşıramayacak kadar kabul etmiş durumdayız. Eskiden analog şeklinde sistemleştirilen hasta kayıt dosyaları artık sağlık verilerinin elektronik kayıt altına alınması bu değişimlerin sadece bir kısmıdır. Söz konusu Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik beraberinde sağlık verilerinin elektronik ortamda kayıt altına alınıp bu bilgilerin bir arada toplanmasını sağlamıştır. Böyle bir durum beraberinde hem kişisel hem de toplumsal açısından zarar risklerini ve yararları barındırmaktadır. Hastalardan bizzat bilgi alınmayacak durumlarda bilgilerin elektronik ortamda toplu halde bulunması sayesinde hasta bilgilerine ulaşmak açısından kolaylık sağlamaktadır. Var olan bilgilerin tekrar tekrar uğraşmamak ve kaybolmaması adına yararlıdır. Sağlık hizmeti başta olmak üzere anonimleştirilen bilgilere dayanılarak çeşitli çıkarımlarda bulunmak için istatiksel bilgilere sahip olmak idarenin daha iyi hizmet sunabilmesi adına eline geçen önemli bir fırsattır.

       Bu uygulamanın yararları olduğu gibi zararlarını görmek de mümkündür. Sağlık hizmetlerinin özelleştirilmesi yolunda ilerlenirken verilerimizin kar amacı güden yapıların eline geçmesi ile ticari bir işin konusu haline gelme riskini de artırmaktadır. Veri madenciliği adıyla da andığımız veri ambarı verilerin bir maden kadar önemli olduğunu vurgulamaktadır. Zira bu veriler birkaç verinin bir araya gelmesiyle büyük çıkarımlara sebep olacak kadar değerlidir. Büyük veri dediğimiz bu oluşum kişinin farklı yönlerini birleştirip kişiler üzerinde tahmin yürütmeye kolaylaştırmaya yarar. Bu yüzden hastaların bilgilerine ulaşma isteği de artmıştır. Bu verilerin kar amacı güden mekanizmalarının eline geçme hususunda hastaların yani kişisel veri sahiplerinin açık rızasının alınmaması hukuki yönden bir suçun konusunu oluşturmaktadır. Tıp etiği olarak düşündüğümüz sır saklama yükümlülüğünü gerçekleştirmek teknolojik gelişmelerle zor bir durum haline gelmeye başlamıştır. Bunun için ya tıp etiği gereği uyulması gereken kuralları zorlaştırmayacak uygulamalarla karşımıza çıkmaları ya da bilgilerimizin kullanım amacı dışında kullanılmasını engelleyebilecek kapasitedeki sisteme sahip olunmalıdır.

 

K.     Yönetmeliğin Amacı

       Hastaların bilgileri herhangi bir kazanç politikasının konusu olmamalıdır. Meslek etiği gereği, yaptıkları hizmet gereği zaten müşkül durumda olan hastaların belki hiç hissetmeyecek olsa bile bu zor durumlarından yararlanıp onlardan faydalanmak söz konusu olmamalıdır. Bunun için gerekli önlemler alınmalı ve ona göre hareket edilmelidir. Tüm bu önlemlere rağmen yine de bu bilgilerin sızması karşın da KVKK md6 da bir düzenlemeye tabi tutulmuştur. Bu madde bu konu hakkında genel bir düzenlemedir fakat bu konuyu daha da içine alan Kişisel Sağlık Verilerin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik’in varlığı söz konusudur. Bu yönetmeliğin amacına yönelik fikir yürütmek istersek şayet yönetmeliğin 1. maddesine bakılabilir.

MADDE 1 – (1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerinin işlenmesine, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemektir.

        Yönetmeliğin amacına bakıldığında iki yönlü olarak ele alınabilir. Maddede mahremiyeti sağlayacak sistemden ve bu sistemin güvenliğine ve denetimine ilişkin işlemlerde uyulması gereken usul ve esasları içeren bir düzenlemeyle karşı karşıyayız.

       Yönetmeliğin bu maddesi, yapılan düzenlemelerle değişime tabi tutulmuştur. 29863 sayılı Resmi Gazete’ de yayımlanan Yönetmeliğin 1. Maddesinde yer alan “kişisel sağlık verilerini toplama, işleme, aktarma” ibaresi “kişisel sağlık verilerinin işlenmesine,” olarak değiştirilmiştir. Bu değişikliğin olması kapsam bakımından esasen bir fark oluşturmamıştır. Çünkü bu yönetmeliğin tanımlar başlıklı 4. maddesine bakıldığında işleme kavramının zaten toplama ve aktarma kavramlarını kapsadığı görülebilir. 

 

 

L.      Kişisel Sağlık Verileri

       Kişisel sağlık verileri, genel hatlarıyla kişisel veri olarak nitelendirdiğimiz bilgilerin içinde yer alan daha özelleştirilmiş halidir. Peki kişisel sağlık verisinden ne anlamalıyız? Kanun koyucu bu söz öbeğinden ne anlamamız gerektiğini Yönetmeliğin tanımlar başlıklı maddesinde açıklamıştır.

MADDE 4 - (f) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri, olarak tanımlanmıştır.

       Maddenin düzenlenmiş haliyle birlikte ‘fiziksel ve ruhsal sağlığına ilişkin’ ve ‘kişiye sunulan sağlık hizmetiyle ilgili bilgiler’ eklentileri karşımıza çıkmıştır. Yönetmelik düzenlemeye tabi olmadan önce de bu eklentileri kişisel sağlık verisi olarak kabul etmemiz zaten mümkündü fakat eski halinde bu madde kişisel sağlık verisi olarak nitelendirilen bilgilerin sadece fiziksel sağlığa ilişkin bilgiler gibi düşünülmesi daha muhtemel bir görüştü.  Ruhsal sağlığa ilişkin hükmün getirilmesi ile kişinin sağlık verilerinin çift taraflı olarak düşünüldüğünün belirginliğini sağlamıştır.

      Bunun yanında “kişiye sunulan sağlık hizmetiyle ilgili bilgiler’ in de sağlık verisi olduğu tanıma eklenerek özellikle belirtilmiştir. Buna göre, kişinin sağlık durumu, kullandığı ilaçlar veya hastalığı gibi verilerin yanında yalnızca hizmet, aldığı sağlık birimi veya uygulanan herhangi bir tedavi aşaması bilgisi de sağlık verisi olarak kabul edilmektedir. Verinin mutlaka kişinin hastalığına dair kesin bir bilgiyi veya kullandığı ilacın tam olarak ismini içermesi gerekmez; hastanın hangi hastanede, hastanenin hangi biriminde hizmet gördüğü de buna dahildir. Örneğin, kalp damar tıkanıklığı sebebiyle kardiyoloji bölümünde tedavi gören bir hastanın; hastalığı, tedavi süreci veya kullandığı kalp ilaçlarının yanında yalnızca hastanenin sunduğu kardiyoloji servisi hizmeti bilgisi dahi, o kişinin sağlık verisidir.[9]

       Kişisel sağlık verisini, başkası tarafından duyulduğunda kafasında bir yerlere yerleşip de karşılaşma durumunda kişiyi anımsatacak veya merak edilip de araştırma yapıldığında o olduğu ortaya çıkmasını sağlayacak bir bilgi tanesi gibi düşünülebilir. Yani hasta için kabul edilen kişisel sağlık verisi hastayı herhangi bir kılıfa sığdırılmasını sağlayacak her türlü bilgidir.

 

M.   Kişisel Sağlık Verilerinin İşlenmesi

      Söz konusunu yönetmeliğin 4. Maddesinin g bendinde kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi, diyerek kişisel sağlık verilerinin işlenmesinden ne anlamamız gerektiğini açıklamıştır. Kişisel sağlık verilerimiz bu kapsamda bakıldığında eğer bu kuralın tamamına uyulduğu takdirde güvenli olduğu düşünülebilir. Herhangi bir sağlık verisi herhangi bir sistemin parçası olmadığını bilmek hastanın güvenliği açısından önem sarf etmektedir.  Hastalar bir yana bir insanın kendi bilgilerinin herhangi bir kar mekanizmasının içinde bulunduğunu düşünmesi rahatsız edici bir durumdur.

      Bir insan için bilgilerinin başkaları tarafından bu kadar değerli olduğunu bilmek kendini değerli hissettirebilir hatta hissettirmeli de ama bunlar yasadışı faaliyetlerle ele geçirilmesi veya bu bilgilerin meşrulaştırılarak ele geçirilmesi maden diyerek nitelendirilen verilerin kişi üzerindeki değerini azaltmaktadır. Çünkü bu mekanizmaların gözünde kişi olarak vasfın değil de o kişiyi oluşturan veriler sayesinde kazanılan kar önemlidir.

 

a)      Kişisel Sağlık Verilerinin İşlenme Şartları

        Kişisel sağlık verileri diyerek nitelendirdiğimiz söz konusu bilgiler doktorun, hastanenin veya daha da kapsamlı düşünecek olursak devletin değildir. Kişisel sağlık verilerin sahibi sadece ve sadece hasta sahibinindir. Bu yüzden de bilgileri hastanın rızası olmaksızın işlenmesi mümkün olmamasını gerektirmektedir ama düzenin iyi ilerleyebilmesi için gerekli istisnaların varlığı olmazsa olmazdır. Peki gerekli istisnalar nedir? Kanun koyucu gerekli olduğuna nasıl karar veriyor? Kanun koyucu için asıl menfaat sahibi kimdir? Doğal olarak bir hiyerarşi olmamasına rağmen kişilerin bir arada düzen içinde yaşayabilmesi için oluşturulan bir mekanizmanın adıdır devlet. Bundan hareketle asıl menfaat sahibinin insanlar olduğu görülür. Çünkü asıl yetkili insanlar ve yetkilerinin bir kısmını devlete devrettiği görülmektedir.

      Kişisel verilerin işleme tabi olmasında asıl yetkili hastadır yani veri sahibidir ama var olan istisnalarla, açık rıza beyanı söz konusu olmaksızın, verilerin işlenmesine tabi olduğu bazı hususlar söz konusudur.  Bu konuda yönetmeliğin 5. Maddesinde bir açıklamanın varlığı söz konusudur.

MADDE 5 – (1) Kişisel sağlık verileri, ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak işlenebilir.

(5) Sağlık hizmeti sunucularında veri işleyen kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz.

       Bu düzenlemeyle beraber kişisel sağlık verilerimiz bazı uygulamalara tabi tutulmuştur. Veriler bazı sistemlerin yapısını oluşturur haldedir. Kişisel sağlık verisi denilen bilgiler bu sistemlerin içine aktarılır ve depolanır hale gelmiştir. Burada hastanın isteği göz önüne alınmaz fakat her ne şartla olursa olsun hangi istisnaya dahil olursa olsun yine de insanların bu otomatik aktarıma karşı çıkma ihtimalleri bulundurulmalıdır. Bu tür bir uygulamaya tabi olmak istemediğini belirtebilecek ve uygulanabilecek durumda olunmalıdır. Ayrıca eski düzenlemede bu madde içerisinde ‘Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde’ ifadesinin varlığı söz konusu değildir. Kanun koyucu burada verileri işleyebilecek mekanizmalar içerisine bir yenisini daha eklemiştir. Ayrıca onaylayacağı sistemler belirli değildir. Burada bir belirsizlik söz konusudur ve insanların hukuk güvenliği gibi önemli bir konuda açıklık bırakılmıştır. Bu belirsizlik iyi amaçlar için kullanılabileceği gibi kötü niyetli amaçlar için de kullanabilme riskine açık bir kapıdır.

        Kişilerin haklarıyla doğrudan ilgili bir düzenleme yaparken ayrıyeten dikkat ve özen gösterilmelidir ki bu özel alanlar korunabilsin. Bu düzenlemeler en başta anayasanın ruhuna uygun olmalıdır. Düzenleme istenilen sonuca hizmet edebilmeli ve ölçülü olmalıdır. Sağlık verilerini koruma kanunu kapsamındaki düzenlemelere bakıldığında amaçlanan sonuç veya istenilen amaca uygunluk tartışması yapılmalıdır. İnsanlar böyle bir düzenlemenin varlığıyla bilgilerinin üçüncü kişilerden gizlendiğini ve koruma altında olduğunu düşünmektedir.

 

b)     Kişisel Sağlık Verilerinin Anonimleştirilmesi

       Kişisel verilerin anonimleştirilmesini verilerin kişisellikten arındırılması diye ifade edebiliriz. Kişisel bilgilerimizin otomatik olarak bir sisteme aktarılmasıyla verilerin başkalarının elinde gelip giderken en azından anonimleştirilmesi güvenliğimizin sağlandığını sözde göstermelik teselli aracı olarak kabul ediyoruz. Verilerimizin anonimleştirilmesi zorunluluğu Yönetmeliğin 5. Maddesinin 7. Fıkrasının konusunu oluşturmaktadır.

MADDE 5- (7) Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilir ve aktarılabilir.

       Peki her bilgi anonimleştirilebilir mi? Mesela genetik bilgilerin anonimleştirilmesi mümkün mü? Genetik bilgiler insanların kendilerine özgü ve anonimleştirilme unsurunu genetik mühendislerinin biraz araştırmayla yıkılması mümkün bir kişisel sağlık verisidir. Yani genetik bilgilerin anonimleştirilip aktarılmayacak kadar sahipleri belirgindir. Genetik bilgiler anonimleştirme olasılığının zor olduğu hususlardan sadece biridir. Peki ya diğerleri?

       Bilgiler düşünüldüğü gibi durduğu yerde pek durmazlar aslında. Hele de herkesin bir menfaatin olduğu bir bilgiyse ona ulaşmak için ekstra uğraş sarf ediliyor. Kişisel veriler özellikle özel nitelikli kişisel veri olarak nitelendirilen sağlık verileri de bunlardan biridir.  Bu bilgilerin menfaat sahiplerine satılması hatta satılma düşüncesi bile insanları güvensizliğe düşürecek nedenlerden arasındadır ama ne yazık ki bunlar olan ve buna rağmen gitmekten de vazgeçemeyeceğimiz hizmet sektörü olan sağlık hizmetinde de mevcuttur. İnsanlar sağlıkları için hiç istemese bile kabul etmek zorunda kalıyor. Bu halde kişilerin bilgileri, araç halinde ticari işin konusu haline gelmiş durumdadır. Peki bu durumda ne yapılması gerekiyor? Devlete bu konuda ne kadar iş düşüyor? Devlet yaptığı düzenlemeleriyle bu durumu meşrulaştıran yapının ta kendisi aslında. Bu yüzden devlet, devlet olarak değil de bağımsız bir yapıyla karşımıza çıkmalıdır. Herhangi bir tarafa mensup olmayan, amacı insanların menfaati olan bağımsız bir kurum. Bu kurum üçüncü kişileri hatta amaç dışında kullanan, amacını aşmış devleti bile denetleyebilir halde olmalıdır. Söz konusu kurum, her şeyi elinde bulunduran üst otorite için gücünü kötüye kullanmasını önleyecek nitelikte, kişilerin bilmediği durumları aktaracak dili konumunda olmalıdır. Gerekirse cezai açıdan da yaptırımı da uygulanabilir.

c)      Veri Sorumlusu ve Tabi Olduğu Yükümlülükler

        Veri sorumlusu kimdir? Hangi amaç varlığını sürdürmektedir? Yönetmeliğin tanımlar maddesinde veri sorumlusunun tanımı yapılmıştır.

MADDE 4 – (j) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade edilmektedir.  Veri sorumlusunun görevleri düşünüldüğünde kişilerin haksızlığa uğramasını engellemeye yöneliktir. Veri sorumlusu verilerin işlenme amaçlarını belirlerken aynı zamanda da bu verilerin hukuka aykırı olarak işlenmesini önlemek de görevleri arasındadır. Kişisel sağlık verilerinin hukuka aykırı olarak erişilmesini önlemek ayrıca bu verilerin muhafazasını sağlamak da veri sorumlusunun varlık amacına hizmet etmektedir.  Veri kayıt sisteminin kurulmasını sağlarken sistemde yaşanabilecek muhtemel veri kayıplarının önüne geçmek adına görevlerini sürdürmektedirler. Veri sorumluları görevlerini icra ederken amaçları doğrultusunda, uygun güvenlik düzeyini temin etmeye yönelik Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.

       Bir iş yapılırken gerekli özen gösterilmeli şayet başkasına yaptırılıyorsa da gerekli denetimlerle işin düzgün bir şekilde ilerlemesi sağlanmalıdır. Söz konusu iş önemli bir konu üzerineyse gerekli tedbirler alınmalı, işin savsaklanmasına fırsat verilmemelidir. Kişisel sağlık verilerin kişisel verileri koruma kanununda özel nitelikli kişisel veri olarak adlandırılarak ne kadar önemli olduğu görülmektedir. Bu yüzden veri sorumluları işlerini en iyi şekilde yapmalı veya yaptırmalıdır.

       Bazı mesleklerin getirisi olarak her ne kadar görevi sona erse dahi tabi olduğu meslek yükümlülükleri kişilerin üzerinde hala devam etmektedirler. Veri sorumluları görevleri dolayısıyla zaten mahremiyet kelimesiyle içli dışlı hale gelmiş durumdadır. Onlar bu konuda kanunlarda veya Yönetmeliğe aykırı olarak öğrendikleri bilgileri dışarıya yayamaz. Görevleri sona ermiş olsa dahi bu konu üzerindeki yükümlülükleri devam etmektedir. Böyle bir uygulamanın olması oldukça gereklidir çünkü veri sorumlusunun görevi sona erdiğinde insanların bilgileri değişime uğramıyor, önemini kaybetmiyor.

       Veri sorumlusunun tabi olduğu görev dolayısıyla söz konusu verileri korumak gibi yükümlülükleri vardır fakat teknolojinin getirisi olarak bu bilgilerin korunması zorlaştırmaktadır. Sağlık verilerimizin amaçlandığı gibi korunmaması halinde veri sorumluları en kısa sürede Kurula bildirmekle yükümlüdür. Yönetmeliğin tanımlar başlıklı maddesine bakıldığı zaman bu kuruldan kastının Kişisel Verileri Koruma Kurulu olduğu görülmektedir.

MADDE 4 –(ğ) Kurul: Kişisel Verileri Koruma Kurulunu,

 

N.    Merkezi Sağlık Veri Sistemi

       Yönetmeliğin ulaşmak isteği amaçlar doğrultusunda yönetmeliğin 1. Maddesine bakıldığında verilere erişim için kurulacak bir sistemden bahsedilmektedir. Bu sistem kişisel sağlık verilerinin toplandığı, Bakanlık tarafından oluşturulan merkezi sağlık veri sistemidir. Hangi bakanlık olduğu yönetmeliğin 4. maddesine bakıldığında Sağlık Bakanlığı olarak anlaşılır.

MADDE 4 – (h) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,

       Kişisel sağlık verilerimizin merkezi sağlık veri sistemine aktarımı veri sunucularıyla veri sorumlusunun birlikte gerçekleştirdiği bir durumdur. Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kimselerin verilerini kaydedip Bakanlıkça belirlenen usullerle merkezi veri sistemine gönderiyor ve veri sorumlusu da bu verileri merkezi veri sistemine aktarıyor.

       Bir sistemin düzenli bir şekilde ilerleyebilmesi için uyulması gereken kuralların varlığına ihtiyaç vardır. Bu yüzden her iki görevli tarafında tabi olduğu bazı yükümlülükleri vardır. İlgili yönetmeliğin 14. maddesinde veri sorumlusunun tabi olduğu sorumluluklar görülebilir. Mesela veri sunucuları verileri herhangi bir şekilde kaydetmeyip uyması gereken şekli usulleri varlığı söz konusudur. Hatta bu verileri gönderim zamanı bile belirli sürelerle sınırlandırılmıştır. Tüm bu kısıtlamalar Bakanlıkça belirlenip onlara uymak zorunludur. 

 

 

O.    İlgili Kişinin Talepleri ve Kişisel Sağlık Verilerinin Silinmesi

 

       Yönetmeliğe göre ilgili kişi, kişisel sağlık verisi işlenen gerçek kişiyi ifade etmektedir. Yani sağlık hizmetinden yararlanan kimseleri ifade eder. Sağlık verisinin işlenip işlenmemesine açık rıza aranamadığı hallerde kişinin karşı çıkacak bir durumu söz konusu değildir ama verilerine erişim için talepte bulunabilir ve ne şekilde işlendiğini öğrenebilir. Kişi en azından verileri hakkında bu kısımda kendini gösterebilir haldedir.

       İlgili kişi verilerine eriştiğinde herhangi bir yanlış olduğunu gördüğünde onu düzeltmeleri için talepte bulunabilir.  Verilerin rıza aranmadığı hallerde önemli bir durum olmalıdır ki istisnanın varlığı amacına uygun olsun. Bu durumda kişiler verilerinin işlenmesini amaca uygunluğu doğrultusunda öğrenmek istemesi en doğal istekleri arasındadır. Kişisel sağlık verilerimiz önemli bilgi niteliğinde ve ulaşılmak istenen bilgiler arasındadır. İlgili kişi verilerinin kimle paylaşıldığını bilme isteğine karşı verilerimizin paylaşıldığı üçüncü kişileri bilme hakkı yönetmelikte kişilere tanınmıştır.

      Verilerimiz bizler için önemli ve değerlidir. Sadece bizler için değil bazı sistemler için de gerekli hatta bu sistemi oluşturan yapı taş niteliğindedir. Bu sistemleri çalıştıran ve devamlılığını getiren bizim verilerimizdir. Bu sistemlerde her ne kadar biz önemli olsak da aleyhimize sonuç doğurması mümkündür. Bu durumda itiraz etme hakkımız yönetmelik dolayısıyla mevcuttur. Hukuka aykırı bir sistemin içerisine girip de zarar görmemiz halinde zararı tazmin için ilgili kişi talepte bulunabilir.

       İlgili kişi yönetmeliğin 9. Maddesinde öngörülen şartlar çerçevesinde kişisel sağlık verilerinin silinmesini isteme hakkına sahiptir. Kişisel verilerimiz öylece bir kenarda dursun diye bir yerde toplanılması düşünülemez ki kimse öylece dursun diye bir uğraş içerisine girmez. Verilerimizin toplanılması bir amaca hizmet etmekte ve sonrasında etkisini yitirmektedir. Bu durumda bilgilerimizin ki bir zaman sonra bir yığın haline geldiği düşünüp fayda vermesi söz konusu değilse verilerin hala var olması amacına hizmet etmemektedir. Bunun için belirli bir zamanın geçmesi halinde silinmesi düşünülebilir. Bu yüzden kanun koyucu bu konuyu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebiyle silinir, yok edilir veya anonim hale getirilir diyerek açıklamıştır.

İlgili maddeye bakıldığında kişisel sağlık verilerimiz 10 yıllık bir zamanaşımı süresine tabidir. 10 yıl geçtikten sonra yerel veri tabanından silinebilir.

 

 MADDE 9 – (3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 yıl sonra yerel veri tabanından silinebilir.

 

       Maddede görülen ‘silinebilir’ ifadesi anlaşılacağı üzere olasılık ifade etmektedir. Bu yüzden zamanaşımı konusunda bir belirsizlik söz konusudur. Sanırım bu belirsizlik amaç unsurundan kaynaklanmaktadır. Çünkü verilerimiz amaca hizmet ettiği sürece sistemde varlığını sürdürmeye devam edecektir. Ayrıca yönetmelik olması dolayısıyla bağlı olduğu kanunların varlığı söz konusudur. Altlık üstlük ilişkisine dayanılarak bazı istisnaların varlığı söz konusu olduğunda kanunlar ağır basmaktadır. Sonuçta onlara aykırı hareket etmek mümkün olmamaktadır daha doğrusu mümkün olmamalıdır.

 

 

KAYNAKÇA

Dülger, Murat Volkan, Kişisel Sağlık Verilerinin İşlenmesine Dair Yönetmelik’in Getirdikleri ve Dikkat Edilmesi Gereken Hususlar, 2017 ( www.hukukihaber.net)

Kişisel Sağlık Verileri 2. Ulusal Kongresi, 2017 (www.kisiselsaglikverileri.org)

Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması ve Uygulanması                                                                                     

Sağlık Başkanlığı Bilgi İşlem Daire Başkanlığı, Ulusal Sağlık Veri Sözlüğü Sürüm 1.1, 2008

 

www.gelisenbeyin.net/telefonun-icadi.html

www.ilkkimbuldu.com/akilli-telefonu-kim-buldu 

www.seninle.com.tr/hayata-dair/tartişma/785-teknoloji-ozel-hayatimizi-tehdit-mi-ediyor.html            

Songül Koç

Anadolu Üniversitesi Hukuk Fakültesi