Yazar_Av. Tutam Turhan
Sağlık verileri; 2002 Washington Dünya Hekimler Birliği Genel Kurulu’nda kabul edilen bildirgeye göre, kişinin bedensel ya da zihinsel sağlığına ilişkin kaydedilmiş tüm bilgilerdir.
21 Haziran 2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik’te kişisel sağlık verisi, “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” olarak tanımlanmıştır. Örneğin; bir işe giriş sırasında istenen sağlık raporu, hastalığın teşhisi, geçirilen operasyonlar, sağlık kuruluşu tarafından toplanan veriler, kullanılan ilaçlar, kan grubu, uygulanan tedaviler, tedavi geçmişi, tahlil ve görüntüleme sonuçlarının yanı sıra kişinin genetik özellikleri, DNA’sı, parmak izi gibi biyometrik verileri, kişisel sağlık verileri olarak kabul edilmektedir.
Kişisel sağlık verileri, Kişisel Verileri Koruma Kanunu’nun 6. maddesinde belirtildiği üzere önem sınıflandırmasında özel nitelikli (hassas) kişisel verilerdir. Bu nedenle daha sıkı şekilde korunmaları gerekmekte olup ilgili kişinin açık rızası ile ya da Kanun’da sayılan sınırlı hallerde işlenebilmesi mümkündür.
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Kişisel verilerin bir dosyada veya dijital bir ortamda saklanması durumunda; saklanan sağlık verileriyle başkaca hiçbir işlem yapılmasa veya bu veriler kullanılmasa dahi, bu saklama eylemi başlı başına bir veri işleme faaliyetidir.
Kişisel sağlık verilerinin korunması açısından hukuk dünyasındaki en tartışmalı konu, sağlık verilerinin işlenmesidir.
Sağlık verilerinin özellikle dijital ortamda depolanması elbette bazı konularda yarar sağlamaktadır. Bunlar; hasta tedavi ve bakımının iyileştirilmesi, acil durumlarda hasta bilgilerine hızlı ulaşım, tetkiklerin tekrarından kaçınma ve zamandan kazanma, yasal bilgi ve belge oluşturmada kolaylık olarak sıralanabilir (1). Bunun yanında sağlık verilerinin dijital ortamda depolanmasının bazı sakıncaları da bulunmaktadır. Hasta mahremiyeti ortadan kaldırılarak kişilerin haksız ve ayrımcı işlemlere tabi tutulabilmesi, kişilere ait özel bilgilerin izinsiz ifşa edilebilmesi, verilerde izinsiz değişimlerin yapılabilmesi, hastanın bilgilerinin saklaması ve tedavinin bu durumdan etkilenmesi gibi durumlar ortaya çıkabilmektedir. 21 Haziran 2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik hangi verilerin, hangi amaçla, hangi süreyle, ne şekilde işleneceğine, nerede depolanacağına ve kimler ile paylaşılabileceğine ilişkin yasal düzenlemeler getirmiştir.
Diş hekimlerine yönelik yapmış olduğum bu çalışmamda Kanun ve Yönetmelik ile düzenlenen veri sorumlusu, ilgili kullanıcı, maskeleme, kimliksizleştirme, açık rıza, kişisel sağlık verilerine erişim gibi önemli tanımlamalara değinmek, uygulamacılar bakımından faydalı olacaktır.
Veri Sorumlusu Kimdir? İlgili Kullanıcı Kimdir? Hukuki Sorumluluk Kimdedir?
Veri Sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu sizin açınızdan diş hekiminin kendisidir.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. Diş hekiminden aldığı yetki ve talimatla kişisel sağlık verilerini işleyen hekim yardımcısı, sekreter ya da asistan, ilgili kullanıcıdır.
Esas sorumlu veri sorumlusu olmakla birlikte, veri sorumlusu tarafından dava yoluna gidilmesi halinde ilgili kullanıcıya rücu edilmesi mümkündür.
Maskeleme ve Kimliksizleştirme Nedir?
Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri ifade eder.
Kimliksizleştirme: Kişisel verilerin kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini ifade eder.
Yönetmeliğin 5. maddesinde “Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.” ifadesine yer verilmiştir. Buradaki esas amaç, kişisel sağlık verisi içeren bir belgenin yetkisiz kişilerin eline geçmesi tehlikesine karşın, veriyi eline geçiren kişinin verinin ait olduğu gerçek kişiyi tespit edememesi ve bu tespitin mümkün olduğunca zorlaştırılmasıdır. Kimliksizleştirme ve maskeleme tedbirleri de bunu sağlayabilecek yöntemler olarak örnek gösterilmiştir. Öyleyse sağlık hizmeti sunucusu bu amacı gerçekleştirecek başka tedbirler almakta da serbesttir; ancak her şekilde tespitin zorlaştırılması gerektiği unutulmamalıdır (2).
Örneğin, hastalara kağıt ortamda verilen tahlil ve tetkik sonuçlarında da hastaların isimlerinin ve kimlik numaralarının tamamının yer almaması önemli bir tedbirdir.
Açık Rıza Nedir? Açık Rıza Alınırken Dikkat Edilmesi Gerekenler Nelerdir?
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Kişisel Verileri Koruma Kanunu kapsamında açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de, veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır. Açık rızanın bu anlamda, rıza veren kişinin olumlu irade beyanını içermesi gerekmektedir.
Kanun’un 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın üç unsuru bulunmaktadır: i) Belirli bir konuya ilişkin olması, ii) rızanın bilgilendirmeye dayanması ve iii) özgür iradeyle açıklanması.
Belirli Bir Konuya İlişkin Olması
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar, “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Yani veri sorumlusu (diş hekimi) tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, ilgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum.” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.
Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için (örneğin istatiksel çalışma nedeniyle veri aktarımı gibi) mutlaka ve ayrıca açık rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir (3).
Bilgilendirmeye Dayanması
Hastanın özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi gerekir. Hastanın yalnızca rızasının kapsamını değil, aynı zamanda rızasının hukuki ve sosyal sonuçları üzerinde de yeterince bilgi sahibi olması gerekir. Bilgilendirme, açık, yalın ve anlaşılır bir şekilde yapılmalıdır. Bilgilendirme sırasında kişisel sağlık verilerinin nasıl ve ne amaçlarla kullanılacağı detaylı şekilde açıklanmalı, hastanın anlamayacağı teknik terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.
Özgür İradeyle Açıklanması
Hukuka uygun verilecek rıza, kişinin kendi kararı olması halinde geçerlilik kazanacaktır. Örneğin, bir hizmetten veya indirimden yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza, özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır (4).
Açık Rıza Yazılı Olmak Zorunda mıdır?
20 Ekim 2016 tarihli Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik'in yürürlükten kaldırılmasıyla kişiye ait sağlık verilerinin işlenip aktarılmasında aranan “yazılı rıza” şartı yeni Yönetmelik’te yer almamıştır. Bu nedenle, artık açık rızanın yazılı şekilde alınması kanunen bir zorunluluk değildir. Açık rızanın her türlü elektronik ortam ve sesli çağrı sistemleri gibi yollarla alınması da mümkündür. Her ne kadar kanunen bu şekil şartı kaldırılmış ise de; ispat yükümlülüğü veri sorumlusuna (diş hekimine) ait olduğundan yazılı yapılmasını tavsiye etmekteyim.
Avukatlar Müvekkillerinin Sağlık Verilerine Erişebilir mi?
Yönetmelikle getirilen bir başka değişiklik ise sağlık verilerine avukatların erişimi konusunda olmuştur. Yönetmeliğin ilgili maddesine göre, avukatların müvekkillerinin sağlık verilerini talep edebilmeleri için 'açık rıza gösteren özel bir hüküm' olması gerekmektedir. Söz konusu maddede "Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir" ifadesine yer verilmiştir.
Sağlık Verilerine Hasta Yakınları Erişebilir mi?
Sağlık Verisi Yönetmeliği’nin 9. maddesi sağlık verilerine hasta yakınlarının erişimini düzenlemiştir. Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, Hasta Hakları Yönetmeliği’nin 18’inci maddesinin üçüncü fıkrasına uygun hareket edilmesi gerektiği ifade edilmiştir. Buna göre esas olan hastanın bizzat kendisinin bilgilendirilmesidir. Hasta, bir başkasının bilgilendirilmesini talep ederse, bu talep kişinin imzası ile yazılı olarak kayıt altına alınır ve sadece bilgilendirilmesi istenen kişilere bilgi verilir.
Örneğin bir baba ve kızının muayenehaneye birlikte gelip kızı için tetkik yaptırması ve 2 saat sonra babanın tek başına gelerek tetkikleri almak istemesi durumunda kızın imzasını içeren yazılı talebi yok ise babaya tetkik sonuçları verilmemelidir. Verilmesi durumunda hekim aleyhine 1.000.000 Türk lirasına kadar idari para cezası uygulanabilecektir.
Ölen Kişinin Sağlık Verilerine Erişim Mümkün müdür?
Sağlık Verisi Yönetmeliği’nin 11. maddesi ölünün sağlık verilerine erişimini düzenlemiştir. İlgili maddede, ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğu düzenlenmiştir. Ölmüş bir kimsenin sağlık verilerinin ise en az 20 yıl süre ile saklanacağı açıkça düzenlenmiştir.
Velayet Hakkı Kendisine Bırakılmayan Anne Veya Baba Çocuğun Sağlık Verilerine Erişebilir mi?
Çocukların sağlık verilerine erişim alanındaki bir düzenleme de boşanma durumunda velayet hakkı üzerinde bırakılmayan tarafın, çocuğun sağlık verilerine erişimi konusudur. İlgili maddeye göre, anne ve babanın boşanması hâlinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilecektir.
Yazar Hakkında
2010 yılında Yeditepe Üniversitesi Hukuk Fakültesi’nden mezun olan Av. Tutam Turhan, 2017 yılında Bahçeşehir Üniversitesi Kamu Hukuku bölümünde yüksek lisansını tamamlamıştır. 2011 yılından itibaren İstanbul Barosu’na kayıtlı olarak özellikle Sağlık Hukuku, Ceza Hukuku, İş Hukuku, Ticaret Hukuku, Aile Hukuku, İdare Hukuku, Anayasa Hukuku ve Avrupa İnsan Hakları Hukuku alanlarında avukatlık ve arabuluculuk yapmaya devam etmektedir.
Not: Makalenin kaynakları yayıncıdan istenebilir.