Kişisel Verilerin Korunması Çerçevesinde Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun
15.01.2025 tarihli ve 32783 sayılı Resmî Gazete’de yayımlanan 7538 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 3359 sayılı Sağlık Hizmetleri Temel Kanununa (“Kanun”) Ek Madde-19 eklenmiştir. Bu düzenleme ile Kanun, 6698 sayılı Kişisel Verilerin Korunması Kanununa (“KVK Kanunu”) uygun hale getirilmiştir.
Kanun, esasen “sağlık hizmetleriyle ilgili temel esasları düzenlemek” (md. 1) amacıyla getirilmiş olup sağlık kurum ve kuruluşlarının karşılaması gereken standartlar, ülke çapında sağlık personelinin istihdamı, halk sağlığı ve ilaç üretimi gibi sağlık sistemi ile ilgili konuları kapsamaktadır. Bu faaliyetlerin sürdürülmesi ve hizmetlerin ifası sırasında kişilerin verilerin toplanması, işlenmesi ve muhafaza edilmesi, faaliyetlerin doğası gereği kaçınılmazdır. Bu kapsamda işlenen kişisel veriler içinde özellikle sağlık bilgilerinin bulunduğu ise şüphesizdir.
KVK Kanununun 6. maddesinde açıkça düzenlendiği üzere kişilerin sağlığına ilişkin bilgiler “özel nitelikli kişisel veri” niteliğini haizdir ve aynı maddede öngörülen istisnalar haricinde -ilgili kişinin açık rızasının alınması vb.- işlenmesi yasaktır. Bu verilerin işlenebileceği hallerden biri, bu faaliyetin “kanunlarda açıkça öngörülmesi” olarak öngörülmüştür (md. 6/3/b). Metin bu bakımdan sağlık verilerinin kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi amaçlarla işlenmesini öngördüğünden, KVKK m.6/3 ile büyük ölçüde uyumlu görünmektedir. Ancak, bu tür bir işleme faaliyeti KVKK’nın temel ilkeleri olan hukuka uygunluk, ölçülülük, veri minimizasyonu ve şeffaflık prensiplerine uygun olarak gerçekleştirilmelidir. Veri minimizasyonu ilkesi gereği, işlenen sağlık verilerinin yalnızca ilgili amaca yönelik olması, herhangi bir amaç dışında kullanılmaması ve gereğinden fazla veri toplanmaması önem arz etmektedir
Ek Madde 19; sağlık hizmeti almak üzere kamu veya özel sağlık kuruluşlarına başvuran kişilerin sağlık verilerinin işlenebileceğini ve Sağlık Bakanlığı tarafından bu verilere kamu sağlığının korunması, tıbbi teşhis, tedavi, bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve maliyet hesaplamaları amacıyla erişilebileceğini öngörmektedir. Yine, kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişilere istihdam ettikleri personeli ve personel hareketlerini Bakanlığa bildirme yükümlülüğü getirilmiştir.
Dolayısıyla, Kanuna eklenen madde ile sağlık hizmetlerinden amacıyla kişisel verilerin işlenmesi için açık rıza alınması zorunluluğu ortadan kalkmıştır. Bu çerçevede sağlık verilerinin kaydedilmesi, depolanması, muhafaza edilmesi, artık Kanun tarafından açıkça öngörüldüğünden, ayrıca bir hukuki sebebe de dayanılmasına gerek olmaksızın mümkün olacaktır. Ancak, verilerin aktarımı konusunda KVK Kanunundan kaynaklanan sınırlamalar geçerliliğini korumakta olup Sağlık Bakanlığının bu faaliyetleri KVK Kanununun belirlediği çerçevede yürütmesi gerekmektedir.
Sağlık verilerine erişim yetkisi ve veri güvenliği üzerine bir değerlendirme yapılacak olursa; Ek Madde 19, sağlık verilerine erişimin Sağlık Bakanlığı ve sağlık hizmeti sunan kuruluşlarla sınırlı olduğunu belirtmektedir. Ancak, KVK Kanunu açısından değerlendirildiğinde, erişim yetkilerinin net bir şekilde sınırlandırılması ve denetlenmesi gerektiği ortaya çıkmaktadır. KVK Kanunu 12. madde, veri sorumlularına kişisel verilerin hukuka aykırı erişimini engelleme yükümlülüğü getirmiştir. Bu çerçevede, sağlık kuruluşları ve Sağlık Bakanlığı, kişisel sağlık verilerine kimlerin erişebileceğini belirlemeli ve yetkisiz erişimleri önlemek adına erişim kontrol sistemleri kurmalıdır.
Nitekim, Bakanlığa getirilen bir diğer yükümlülük ise, KVK Kanunu’nun 11. maddesi çerçevesinde ilgili kişilerin (veya yetkili temsilcilerinin) kendi verilerine erişimini sağlamak amacıyla bir sistem kurulmasını zorunlu kılmaktadır. Bu veri sisteminin güvenilirliği ve işleyişi konusunda Bakanlık, Kişisel Verileri Koruma Kurumunun belirlediği ilkelere uygun olarak standartları belirleme ve verilerin güvenliği sağlamakla sorumludur. Yine Sağlık Bakanlığı’nın, “kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması” ile ilgili hususları yönetmelik vasıtasıyla düzenleyeceği hüküm altına alınmıştır.
Bu düzenleme kapsamında Sağlık Bakanlığı, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan (…) tüzel kişi” olarak veri sorumlusu niteliğini haiz olacaktır.
Sonuç olarak bu kanun değişikliği, sağlık hizmetlerinin dijitalleşmesi ve kişisel sağlık verilerinin işlenmesine dair önemli bir yasal çerçeve sunmaktadır. Ancak, kişisel verilerin korunması ve veri güvenliği ilkeleri açısından bazı ek düzenlemelere ihtiyaç duyulmakta olduğu kanaatindeyiz. Özellikle, sağlık verilerine erişim sınırlarının net olarak belirlenmesi, yetkisiz erişimlerin engellenmesi ve yurtdışı veri aktarımı konusunda kesin kuralların oluşturulması kritik öneme sahiptir. Bu bağlamda, Sağlık Bakanlığı’nın bu verileri nasıl yöneteceği, hangi protokollerin uygulanacağı ve hangi teknik önlemlerin alınacağına dair ayrıntılı ikincil mevzuatlar çıkarılması gereksiniminin doğması muhtemeldir. Ek madde ile sağlık sektöründe daha bütünleşik bir veri yönetim sistemi oluşturulması sağlanacak olsa da hasta mahremiyetinin korunması, veri güvenliğinin sağlanması ve kişisel verilerin kötüye kullanımının önlenmesi açısından sürekli denetim ve kontrol mekanizmalarının etkin bir şekilde işletilmesi hususu önem arz etmektedir.
