Anasayfa / Haber & Güncel / 663 Sayılı KHK Madde 47: Kişisel Sağlık Verileri

663 Sayılı KHK Madde 47: Kişisel Sağlık Verileri

GİRİŞ

Kişisel sağlık verileri; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Değiştirilen ve Eklenen Hükümler” başlıklı 30. maddesinin 7. fıkrasının[1] atfıyla 663 sayılı Kanun Hükmünde Kararname’nin “Bilgi Toplama, İşleme ve Paylaşma Yetkisi” başlıklı 47. maddesinde[2] düzenlenmiştir.

Çalışmamızın ilk bölümünde kişisel sağlık verilerinin neler olduğu, bu verilerin işlenerek özellikle dijital ortamda tutulmasının olumlu ve olumsuz sonuçları açıklanacaktır. İkinci bölümünde ise kişisel sağlık verilerine ilişkin mevzuat ayrıntılı olarak incelenecektir ve mevzuat doğrultusunda kişisel sağlık verilerinin işlenerek depolandığı sistemlerden bahsedilecektir.

 1. KİŞİSEL SAĞLIK VERİLERİ, VERİLERİN İŞLENMESİ VE DİJİTAL ORTAMDA DEPOLANMASI

1.1. Kişisel Sağlık Verileri

Sağlık verileri; 2002 Washington Dünya Hekimler Birliği Genel Kurulu’nda kabul edilen bildirgeye göre kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgilerdir.[3] Kişinin yaşadığı sağlık sorunları, hekimi ile arasındaki ilişki, hastalığının ne olduğu, kullandığı ilaçlar, kendisine uygulanan tedaviler, vücut özellikleri, tahlil ve görüntüleme sonuçlarının yanı sıra kişinin genetik özellikleri, DNA’sı, parmak izi gibi biyometrik verileri; kişisel sağlık verileri olarak kabul edilmektedir.

1.2. Kişisel Sağlık Verilerinin İşlenmesi ve Dijital Ortamda Depolanması

Kişisel sağlık verilerinin korunması bakımından en sıkıntılı husus, sağlık verilerinin işlenmesidir. Verilerinin işlenmesi; tedavinin sürekliliği, bilimsel ve istatistiksel değerlendirmeler aracılığıyla toplum sağlığına katkı sağlama ve hukuksal durumlarda belge işlevi taşıma gibi nedenlerle gerekli olsa dahi çok ciddi temel hak ve özgürlük ihlalleri doğurabilmektedir. Buradaki sorun hangi verilerin, hangi amaçla, hangi süreyle, ne şekilde işleneceğine, nerede depolanacağına ve kimler ile paylaşılabileceğine ilişkindir.

KVKK’nın 6. maddesinde[4] belirtildiği üzere; sağlık verileri özel nitelikli verilerdendir ve 6/3’teki özel düzenleme uyarınca cinsel hayata ilişkin veriler ile birlikte sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Sağlık verilerinin özellikle dijital ortamda depolanması elbette bazı konularda yarar sağlamaktadır. Bunlar; hasta tedavi ve bakımının iyileştirilmesi, acil durumlarda hasta bilgilerine hızlı ulaşım, tetkiklerin tekrarından kaçınma ve zamandan kazanma, yasal bilgi ve belge oluşturmada kolaylık olarak sıralanabilir. Ancak sağlık verilerinin dijital ortamda depolanmasının birçok olumsuz yanı da bulunmaktadır. Hasta mahremiyetinin ortadan kalkması ve kişilerin maddi, manevi ve sosyal yönden zarar görmesi bunlardan en önemlileridir. Bunun sonucunda kişilerin haksız ve ayrımcı işlemlere tabi tutulabilmesi, kişilere ait özel bilgilerin izinsiz ifşa edilebilmesi, verilerde izinsiz değişimlerin yapılabilmesi, hastanın bilgilerini saklaması ve tedavinin bu durumdan etkilenmesi gibi durumlar ortaya çıkabilmektedir. Toplanan verilerin metalaştırılarak alınıp, satılabilir hale gelmesi ve amaç dışı kullanılması da en büyük tehlikelerden biridir.

 

 1. KİŞİSEL SAĞLIK VERİLERİNE İLİŞKİN MEVZUAT

2.1. Genel Olarak

663 sayılı KHK’nın 47. maddesi, Anayasa Mahkemesi tarafından 14.02.2013 ve 04.12.2014 tarihlerinde olmak üzere iki kere iptal edilmiştir ve 6698 sayılı Kanun ile düzenleme son halini almıştır. Kişisel sağlık verilerine ilişkin 20.10.2016 tarihli yönetmelik hakkında 06.07.2017 tarihinde yürütmenin durdurulması kararı verilmesine rağmen, 24.11.2017 tarihinde bu yönetmelikte değişiklik yapılmasına ilişkin yönetmelik yayımlanmıştır.

Görüldüğü üzere, kişisel sağlık verilerine ilişkin düzenlemelerin birçok kere hukuka ve mevzuata uygun olmadığı yargı kararları ile tespit edilmesine rağmen yasama ve yürütme tarafından aynı veya benzer yönde düzenlemeler yapılmıştır. Mevzuat değişikliklerine ilişkin bu süreç, ayrıntılı şekilde açıklanacaktır. Kişisel sağlık verilerinin düzenlendiği 663 sayılı KHK’nın 47. maddesi ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in önemli maddeleri bazı hususlarda 24.11.2017 tarihli yeni yönetmelik ile karşılaştırılarak aktarılacaktır.

2.2. 6223 Sayılı Kamu Hizmetlerinin Düzenli, Etkin Ve Verimli Bir Şekilde Yürütülmesini Sağlamak Üzere Kamu Kurum Ve Kuruluşlarının Teşkilat, Görev Ve Yetkileri İle Kamu Görevlilerine İlişkin Konularda Yetki Kanunu

6223 sayılı Yetki Kanunu, 06.04.2011 tarihinde kabul edilmiş olup, 03.05.2011 tarihli ve 27923 sayılı Resmi Gazete’de yayımlanmıştır. Yetki kanununun “Amaç ve kapsam” başlıklı 1. maddesinin 1. fırkasında[5] belirtildiği üzere, kanunun amacı kamu hizmetlerinin düzenli, süratli, etkin, verimli ve ekonomik bir şekilde yürütülmesini sağlamaktır. Bu amaçla, maddenin 2. fıkrasının (a) bendinde 19 alt bent halinde sayılan kamu kurum ve kuruluşlarına ilişkin kamu hizmetlerinin bakanlıklar arasındaki dağılımının belirlenmesi öngörülmüştür. 2. fıkranın (a) bendinin (20) numaralı alt bendinde[6] ise 19 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarının da bünyesinde değişiklikler yapılabileceğine ilişkin düzenleme yer almaktadır. 2. fıkranın (b) bendinde 6 alt bent halinde sayılan kamu kurum ve kuruluşlarında istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılması öngörülmüştür. Yine, 2. fıkranın (b) bendinin (7) numaralı alt bendinde[7] 6 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarda istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılabileceğine dair düzenleme yer almaktadır.

Yetki Kanunu’nda sayılmayan ancak “Diğer kamu kurum ve kuruluşları” olarak belirtilen kurumların yapısında ve bu kurumlarda istihdam edilen kişilere ilişkin konularda değişiklik yapma yetkisinin verilmesi nedeniyle; Yetki Kanunu’nun 1. ve 2. maddelerinin, Anayasa’nın 2., 7., 87. ve 91. maddelerine aykırılığı savıyla ana muhalefet partisi milletvekilleri tarafından düzenlemenin iptali ve yürürlüğünün durdurulması istemi ile Anayasa Mahkemesi’ne başvurulmuştur.

Kanunun Anayasa’ya aykırılığı hususunda Serruh Kaleli, Fulya Kantarcıoğlu, Mehmet Erten, Fettah Oto, Serdar Özgüldür, Osman Alifeyyaz Paksüt ile Recep Kömürcü’nün “İptal istemine konu 6223 sayılı Yetki Kanunu’nun 1. maddesinin (2) no’lu fıkrasının (a) bendinde 19 alt bend, (b) bendinde 6 alt bend halinde, nasıl ki belli konu koşulunu yerine getirmek üzere sayılarak yazılan ve bu nedenle de Anayasa’ya aykırılık kapsamında değerlendirilmeyen niteleme gibi bir açıklık, netlik, belirlilik içermeyen 20 ve 6 No’lu  alt bentlerde yer alan  “Diğer Kanun ve KHK’lerin.” şeklindeki  kuralın; hangi kanun, hangi KHK sorusunu sordurarak bir bilinmeyene işaret etmesi, düzenlemenin amaç ve kapsam yönünden çok geniş ve genel anlatımla, ilgili ilgisiz tüm mevzuatı değiştirme yetkisi tanıması itibariyle  ucu açık bir  mahiyet arzetmesi karşısında, artık  “belli” bir konu ve kanundan da söz edebilmeye imkân yoktur ve bu somut tespit söz konusu kuralları Anayasa’ya aykırılıkla sakatlamış bulunmaktadır. Açıklanan nedenlerle, ilgili kuralların iptali gerektiği kanısına vardığımızdan; çoğunluğun aksi yöndeki kararına katılamıyoruz.” gerekçesiyle kullandıkları karşı oya rağmen Anayasa Mahkemesi’nın 2011/60 E., 2011/147 K. ve 27.10.2011 tarihli kararıyla[8] 6223 sayılı Yetki Kanunu Anayasa’ya uygun bulunarak söz konusu istem oy çokluğu ile reddedilmiştir.

Anayasa Mahkemesi’nin bazı yargıçlarının karşı oyunda belirtildiği üzere, kanun hükmünde kararnamelerin çıkarılması için verilen yetkinin; amaç, kapsam ve ilkelerinin belirlenmesi ve bu yetki ile Bakanlar Kurulu’nun çıkaracağı kanun hükmünde kararname ile neleri gerçekleştirebileceğinin açıklığa kavuşturulması gerekmektedir. Ancak 6223 sayılı Yetki Kanunu, Bakanlar Kurulu’na verilen yetkiyi somutlaştırmamıştır ve yetkinin çerçevesi çizilmemiştir. Tam aksine, verilen yetki yasama yetkisinin devri anlamına gelecek şekilde genelleştirilmiştir. Bu hususlar göz önünde bulundurularak söz konusu yetki kanununun Anayasa’ya aykırılığı nedeniyle iptaline karar verilmesi gerekirken oy çokluğu ile istem reddedilerek temel hak ve özgürlükleri daraltacak şekilde düzenleme yapılmasının önü açılmıştır.

2.3. 663 Sayılı Sağlık Bakanlığı Ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname

6223 sayılı Yetki Kanunu’na dayanılarak çıkartılan 663 sayılı KHK, 11.10.2011 tarihinde kabul edilerek 02.11.2011 tarihli, 28103 sayılı Resmi Gazete’de yayımlanmıştır. Ayrıntılı olarak bahsedildiği üzere, söz konusu KHK ile 6223 sayılı Yetki Kanunu’nda sayılmayan kamu kurum ve kuruluşlarından biri olan Sağlık Bakanlığı’nın yapısında değişiklikler yapılmıştır. KHK’nın amacı, 1. maddenin 1. fıkrasında[9] belirtildiği gibi Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektir.

Kişisel sağlık verileri, KHK’nın “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 47. maddesinde[10] düzenlenmiştir. Anamuhalefet partisinin 118 milletvekili tarafından 47. madde de dahil olmak üzere 663 sayılı KHK’nın, Anayasa’nın birçok maddesine aykırı olduğu iddiasıyla yürürlüğünün durdurulması ve iptali istemiyle dava açılmıştır.

Anayasa Mahkemesi tarafından ilk olarak KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının 6223 sayılı Yetki Kanunu’nun kapsamında olup olmadığı incelenmiştir. Anayasa Mahkemesi; 2011/150 E., 2013/30 K. ve 14.02.2013 tarihli kararı ile Anayasa’nın “Kanun Hükmünde Kararname Çıkarma Yetkisi Verme” başlıklı 91/1[11] maddesine atıf yaparak temel hak ve özgürlüklerin sıkıyönetim ve olağanüstü haller dışında kanun hükmünde kararname ile düzenlenemeyeceğini ve 663 sayılı KHK’nın 47. maddesi ile Anayasa’nın “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünün 20. maddesinde[12] yer alan özel hayatın gizliliği ve kişisel verilerin korunması haklarına ilişkin düzenleme yapılmasının 91. maddeye aykırı olduğunu tespit etmiştir. KHK’nin 47. maddesini içerik yönünden ise 1., 2. ve 3. fıkralar, Anayasa 91/1 uyarınca Anayasa’ya aykırı bulunarak iptal edildiğinden incelememiştir. Maddenin 4. ve 5. fıkralarına ilişkin iptal istemini ise ileri sürülen iddiaların sadece 1., 2. ve 3. fıkraları kapsaması, anılan fıkralarda düzenlenen hususların ise istihdam edilen sağlık personelinin kurumsal kimliğiyle ilgili bilgilerin ve sağlık personeli hareketlerinin toplanmasına ilişkin olması ve bu nedenle Anayasa’nın 17. ve 20. maddeleriyle ilgisinin bulunmaması nedeniyle reddetmiştir.

Anayasa Mahkemesi tarafından 47. maddenin 1., 2. ve 3. fıkralarının, Anayasa’nın 91. maddesine aykırılığı nedeniyle iptal edilmesine ilişkin karar verilmesine rağmen, Mahkeme tarafından içerik ile ilgili bir incelemenin yapılmaması isabetli olmamıştır. 6223 sayılı Yetki Kanunu’nun iptal edilmemesi sonucunda bu yetki kanununa dayanılarak 663 sayılı KHK’nın çıkarılmasına benzer şekilde, 663 sayılı KHK’nın 47. maddesinin içerik olarak Anayasa’ya aykırılığının incelenmemesinin sonucunda Anayasa Mahkemesi tarafından iptal edilen düzenleme, hiçbir değişiklik yapılmaksızın bu sefer bir torba kanun ile getirilmek istenmiştir.

2.4. 6495 Sayılı Bazı Kanun Ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun

TBMM’de 12.7.2013 tarihinde kabul edilerek ve 02.08.2013 tarihli, 28726 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6495 sayılı Kanun’un 73. maddesinin 1. fıkrasının (h) bendinin 3 numaralı alt bendi[13] ile 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları aynen düzenlenmiştir.

Anayasa Mahkemesi tarafından iptal edilen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları, bu sefer bir kanun ile getirilmiş görünmek ile birlikte, esasında 6495 sayılı Kanun’un 73. maddesi yine 663 sayılı KHK’nın 47. maddesinde değişiklik yapmaktadır. Görünüşte kanun ile yapılan düzenleme; yine kanun hükmünde kararnamede değişiklik meydana getirdiğinden, temel hak ve özgürlüklerin kanun hükmünde kararname ile düzenlenemeyeceğine ilişkin Anayasa’ya aykırılık hususu giderilmemiştir.

Söz konusu torba kanunun birçok maddesine karşı, ana muhalefet partisinin 128 milletvekili tarafından kanunun Anayasa’ya aykırı olduğundan bahisle, iptal ve yürürlüğün durdurulması istemiyle dava açılmıştır. Kişisel sağlık verilerine ilişkin iptal isteminin gerekçesi ise; Sağlık Bakanlığı ve bağlı kuruluşlarına kişisel verileri toplama, saklama, işleme ve paylaşma yetkisinin verilmesinin özel hayatın gizliliği ve kişisel verilerin korunması haklarının özüne müdahale etmesi ve bu hakları ölçüsüzce sınırlandırılması sonucunu doğurması nedeniyle Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğudur.

Anayasa Mahkemesi, 16.07.2015 tarihli ve 29418 sayılı Resmi Gazete’de yayımlanan 2013/114 E., 2014/184 K. ve 4.12.2014 tarihli kararı[14] ile 6495 sayılı Kanun’un 73. maddesinin atfıyla aynen düzenlenen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarını bu kez içerik bakımından incelemiştir.

Mahkeme, 47/1’de anılan sınırlamayla, kişilerin her türlü kişisel bilgilerinin değil, sadece sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları bilgilerin toplanması, işlenmesi ve paylaşılması yetkisi verilmesi nedeniyle bu sınırlamanın özel hayatın ve kişisel verilerin korunması haklarını bütünüyle ortadan kaldırmadığına veya ciddi surette güçleştirip amacına ulaşmasına engel olmadığına karar vermiştir. Ancak, kişisel bilgilerin “her türlü vasıtayla” toplanmasına, işlenmesine ve paylaşılmasına izin verilmesinin sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin gizliliğinin keyfi şekilde ihlal edilmesi sonucunu doğurabilecek bir araca dönüştürdüğünü belirtmiştir. Bu hususun ise sınırlama aracıyla sınırlama amacı arasında bulunması gereken makul dengeyi bozduğunu, özel hayatın ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanındığını tespit etmiştir.

47/2’deki düzenleme ile 47/1’de belirtilen yöntemlerle toplanan ve işlenen kişisel verilerin ilgili üçüncü kişiler ile kamu kurum ve kuruluşlarıyla paylaşılması öngörüldüğünden Mahkeme, aynı gerekçelerle bu düzenlemenin de ölçülülük ilkesini ihlal ettiğini belirtmektedir.

47/3’teki düzenlemeye ilişkin olarak ise Anayasa Mahkemesi, Sağlık Bakanlığı ve bağlı kuruluşlarına verilen görevlerin çok geniş bir alanı kapsamakta olduğuna ve bu görevlerin tamamının kişilerin özel hayatlarına müdahale edilmesini gerektirecek bir toplumsal zorunluluğu bünyesinde barındırmadığına karar vermiştir. Dava konusu kuralla sadece demokratik toplum düzeni yönünden zorunlu olan sınırlamalara değil, özel hayatın ve kişisel verilerin korunması haklarına yapılabilecek her türlü sınırlamaya izin verilmesinin kuralda anılan haklara sınırlama getirilirken sınırlama aracının sınırlama amacına uygun ve orantılı olarak kullanılmasını temin edecek güvencelere yer verilmemesinin ölçülülük ilkesine aykırı düştüğünü belirmiştir.

Anayasa Mahkemesi, belirtilen gerekçe ile dava konusu kuralların Anayasa’nın “Cumhuriyetin nitelikleri” başlıklı 2., “Temel hak ve hürriyetlerin sınırlandırılması” başlıklı 13. ve “Özel hayatın gizliliği” başlıklı 20. maddelerine aykırı olması nedeniyle iptal edilmesine karar vermiştir. Aynı zamanda, iptal hükmünün kararın Resmi Gazete’de yayımlanmasından başlayarak 6 ay sonra yürürlüğe girecek olması nedeniyle, 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının; bu fıkraların uygulanmalarından doğacak, sonradan giderilmesi güç veya olanaksız durum ve zararların önlenmesi ve iptal kararının sonuçsuz kalmaması için yürürlüklerinin durdurulmasına oy çokluğu ile karar vermiştir.

 1. 5. 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kişisel sağlık verilerine ilişkin nihai düzenleme, 24.03.2016 tarihinde kabul edilerek 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kanun’un 30. maddesi ile yapılmıştır. “Değiştirilen ve eklenen hükümler” başlıklı 30. maddenin 7. fıkrası ise yine 663 sayılı KHK’nın 47. maddesine[15] atıf yapmaktadır.

Maddenin son hali 6 fıkradan oluşmakta olup, ilk fıkrasında kişisel verilerin işlenebileceğine dair genel düzenleme yer almaktadır. Verilerin işlenmesi hususunda eski düzenlemede, bakanlık ve bağlı kuruluşlarının mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için sağlık verilerinin işlenebileceği öngörülmüşken; maddenin son halinde, bu muğlak ve geniş halleri kapsayan ifadelere yer verilmeksizin maddenin 2. fıkrasında verilerin, “sağlık hizmetinin verilmesi”, “kamu sağlığının korunması”, “koruyucu hekimlik”, “tıbbi teşhis”, “tedavi ve bakım hizmetlerinin yürütülmesi” ile “sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması” amaçlarıyla işlenebileceği belirtilmiştir. Bu düzenlemenin 6698 sayılı Kanun’un 6/3 düzenlemesiyle paralel şekilde yapıldığı görülmektedir.

2. fıkrada ise verilerin aktarılmasına ilişkin olarak 6698 sayılı Kanun’da öngörülen şartlara atıf yapılmıştır ve bu haller dışında verilerin aktarılamayacağı düzenlenmiştir. Kanun’un “Kişisel verilerin aktarılması” başlıklı 8. maddesi[16] ise yine 6/3’e atıf yapmaktadır ve sağlık verilerinin aktarılması için de kişisel verilerin açık rıza olmadan işlenmesine ilişkin hallerin geçerli olduğu belirtilmiştir.

Maddenin 3. fıkrasında, 2. fıkra gereğince toplanan ve işlenen kişisel verilere ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistemin Bakanlıkça kurulacağından bahsedilmektedir. 4. fıkrada ise 3. fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulu’nun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği ve kayıtlı bilgilerin ne amaçla kullanıldığının denetlenmesine ilişkin kurulacak güvenlik sistemleri düzenlenmiştir.

5. fıkrada sağlık personeli istihdam eden tüm sağlık hizmeti veren kuruluşların bu personelleri ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğundan bahsedilmiştir. Maddenin son fıkrasında ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğine yer verilmiştir.

 1. 6. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Söz konusu yönetmelik, 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 1. maddede[17] yönetmeliğin amacı belirtilmiş olup amaç özetle; verilerin korunması ve veri mahremiyetinin sağlanması, kişisel sağlık verilerinin işlenmesi, aktarılması ve verilere erişim için kurulacak sistemlerin belirlenmesi, sistemlerin güvenliği ve denetimi ile ilgili usul ve esasların düzenlenmesidir.

Tüm Eczacı İşverenler Sendikası ve Türk Dermatoloji Derneği ile Türk Psikiyatri Derneği tarafından ilgili yönetmeliğin yürütmesinin durdurulması ve iptali talebi ile Danıştay’da dava açılmıştır. Yönetmeliğin; 6698 sayılı Kanun’un 6/3 ve 6/4 maddelerine, 663 sayılı KHK’nın 47., AY’nin 2., 17., 20., 56. ve 108 sayılı Sözleşme’nin 10/2 maddesine ve BİYOTIP Sözleşmesi’ne aykırılık nedeniyle 90. maddelerine aykırı olduğu iddia edilmiştir.

İstemin gerekçeleri ise; 6698 sayılı Kanun’un 22. maddesinin (ç) ve (h) bentleri[18] gereğince Kişisel Verileri Koruma Kurulu’nun görevleri ve yetkileri arasında yer alan özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemlerin belirlenmesi ve kişisel verileri içeren mevzuat taslakları hazırlanırken görüş bildirme şartlarının yerine getirilmemesi, 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme”ye aykırı olarak özel hayatın korunmasının özünü zedeleyecek şekilde verilerin işlenmesine ilişkin hallerin geniş tutulması, neredeyse istisna bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenerek kamu kurum ve kuruluşları arasında paylaştırılması, sağlık verilerinin korunma yönteminin, esaslarının, kapsamının belli olmaması ve idareye ucu açık, çerçevesi belli olmayan bir yetki alanı tanınmasıdır.

Danıştay 15. Dairesi’nin 2016/10488 ve 2016/10500 E. sayılı, 06.07.2017 tarihli kararı ile yönetmeliğin yürütmesinin durdurulmasına karar verilmiştir. Söz konusu kararında Danıştay; kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmenin, Kanun’un 22. maddesinin 1. fıkrasının (h) bendinde düzenlendiği gibi Kişisel Verileri Koruma Kurulu’nun görevleri arasında olduğunu belirtmiştir. Yine Kanun’un 6. maddesinin 4. fıkrasında özel nitelikli verilerin işlenmesinde Kurul tarafından belirtilen önlemlerin alınmasının şart olduğuna ilişkin hükme atıf yapmıştır. Kanun’un Geçici 1. maddesinin 1. fıkrasına[19] göre Kanun’un Resmi Gazete’de yayımlandığı 07.04.2016 tarihinden itibaren 6 ay içinde, Kurul’un üyelerinin seçiminin tamamlanması gerekirken bu zorunluluğun 30.01.2017’de yerine getirildiğini, iptali istenen yönetmeliğin tarihi olan 20.10.2016’da henüz Kurul’un oluşturulmadığını ve 6/4’teki yeterli önlemler belirlenmeden, 22/1 (h)’deki kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan yönetmelik düzenlediğini tespit etmiştir. Danıştay 15. Dairesi, Kurul’un denetim yetkisinin genel nitelikte olduğu ve Kurul’dan görüş alınmaması nedeniyle Kurul’un denetim ve kontrol yetkisinden geçmeyen yönetmeliğin mevzuata ve hukuka aykırı olduğu gerekçesiyle Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in yürütmesinin durdurulmasına karar vermiştir.

 1. 7. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına İlişkin Yönetmelik

Söz konusu yönetmelik, 24.11.2017 tarihinde 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Burada ilginç olan husus ise yürütmesi 06.07.2017 tarihinde durdurulan yönetmelikte değişik yapılmasıdır. İdari işlemler ve idare tarafından yapılan genel düzenleyici işlemler; idari yargı organları tarafından yürütmeleri durduruluncaya veya iptal edilinciye karar hukuka uygunluk karinesinden yararlanırlar. Ancak yürütmesinin durdurulmasına karar verilen bir yönetmelikte değişiklik yapılması idarenin hukuka uygun davranma bilincinin olmadığını ve bu düzenlemenin yapılması hususunda ne kadar ısrarcı olduğunu göstermektedir.

İşbu yönetmelik ile yapılan değişikliklerin başlıcaları, Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik maddeleri açıklanırken ayrıntılı şekilde aktarılacaktır.

 1. 8. Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in Önemli Maddelerinin 24.11.2017 Tarihli Yönetmelik İle Karşılaştırılarak Değerlendirilmesi

Yönetmeliğin 5. maddesinde[20] genel ilke ve esaslar belirtilmiş olup, 6. fıkrada sağlık hizmet sunucularının elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından ve elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumlu olduğuna dair düzenlemeye yer verilmiştir. 8. fıkrada ise kişisel sağlık verilerinin merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun şekilde aktarılacağı belirtilmiştir.

Maddenin ilgili fıkralarında açıkça belirtildiği gibi 663 sayılı KHK’nın 47. maddesinin son halinde bahsi geçmeyen bir merkezi sağlık veri sistemi kurulmuştur ve sağlık kurum ve kuruluşları tarafından sağlık hizmeti alan kişilerin verileri bu sisteme aktarılacaktır. Verilerin depolandığı bir merkezi sistemin kurulmasının ve aktarım usulünün yönetmelikle dahi net şekilde düzenlenmemesi sonucu idareye temel hak ve özgürlükleri daraltabilecek bir yetki tanınmıştır.

7. maddede[21] en önemli tartışma konularından bir tanesi olan sağlık verilerinin işlenmesi düzenlenmiştir. 1. fıkrada, Kanun ve 663 sayılı KHK’nın 47. maddesi ile paralel olarak açık rıza alınmadan verilerin işlenebileceği haller sayılmıştır. Bu hallerden kamu sağlığının korunması, isabetli bir amaç olarak görünmekle birlikte muğlak ve sınırları çizilmemiş bir kavram olduğundan diğer amaçlar ile işlenemeyecek birçok sağlık verisinin işlenmesini mümkün kılmaktadır. Koruyucu hekimlik ve tıbbi teşhis amaçları; kişiye özel nedenler teşkil etmekte olduğundan verilerin işlenmesi bakımından en makul amaçlar olarak sıralanabilir. Tedavi ve bakım hizmetlerinin yürütülmesi ve sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları ise hem neye işaret edildiği tam olarak anlaşılamayan hem de esasında kişilerin özel hayatına müdahale edecek şekilde birçok verinin işlenmesine neden olabilecek amaçlardır. Görüldüğü üzere; yönetmelikle getirilen düzenleme, Kanun’a ve ilgili KHK’ya uygundur ancak Kanun’un 6/3 maddesinde sayılan hallerin çok geniş tutulması sonucu neredeyse tüm sağlık verilerinin işlenmesi olanaklı hale getirilmiştir.

7. madde[22] kişisel sağlık verilerinin aktarılmasına ilişkindir. 1. fıkrada verilerin açık rıza olmaksızın işlenmesine ilişkin amaçlar, aynen verilerin aktarılması için de sayılmıştır. 3. fıkrada, kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımının, aktarım usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılacağı düzenlemesine yer verilmiştir. Bu fıkrada verilen yetki ile içeriği belirsiz protokoller ile diğer Bakanlık tarafından diğer kamu kuruluşlarına veri aktarımı yapılması düzenlenmiştir. Veri sahiplerinin aktarıma müdahale etme yetkisinin olmaması ve aktarımda uygulanacak kuralların belirlenmeksizin protokollere bırakılmış olması idareye geniş bir yetki alanı tanımaktadır. 24.11.2017 tarihli yönetmeliğin 8. maddesi[23] ile yapılan değişiklik ile 8/3 maddesi yürürlükten kaldırılmış olup, verilerin aktarımı hususunda Kanun’un 8. ve 9. maddelerine atıf yapılmıştır.

Kişisel sağlık verilerinin silinmesi 9. madde[24] ile düzenlenmiştir. 1. fıkradaki düzenleme gereğince kişisel sağlık verileri, verilerin işlenmesini gerektiren halin ortadan kalkması durumunda derhal silinmemektedir ve ancak ilgilinin talebi üzerine anonim haline getirilmektedir veya silinmektedir. Söz konusu düzenleme, işlenmesini gerektiren bir hal olmamasına rağmen verilerin idarenin bünyesinde kalmasına izin vermektedir. Nitekim, 24.11.2017 tarihli yönetmeliğin 9. maddesi[25] ile yapılan değişiklik sonucu verlerin işlenmesini gerektiren halin ortadan kalkması durumunda, verilerin ilgilinin talebi üzerine ve re’sen silineceği öngörülmüştür. 2. fıkrada ise silinmesi talep edilen verilerin bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde arşivleneceği düzenlenmiştir. Verilerin silinmesi halinde dahi ne Kanun’da ne de ilgili KHK’da gösterilen amaçlar olmaksızın başka nedenlerle verilerin arşivde tutulabileceğine ilişkin düzenleme, esasında verilerin hiçbir şekilde silinmemesi sonucunu doğurmaktadır. Bu husus da aslında bir defa işlenen verilerin silinmesinin söz konusu olmadığı ve idarece saklandığı anlamına gelmektedir, ki bu husus Anayasa 20/3’te düzenlenen kişisel verilerin korunması hakkının ihlalidir. Yine, 24.11.2017 tarihli yönetmelik ile; söz konusu yönetmeliğin 9/2 maddesi yürürlükten kaldırılmıştır. 3. fıkrada ise, sağlık verilerinin yerel sistemden 10 yıl sonra silinecekleri düzenlenmiş olup, verilerin ana bilgi deposundan ise ne zaman silineceği düzenlenmemiştir. Yukarıda yapılan eleştiriler bu husus için de geçerlidir, verilerin yerel sistemden silinmesi bu veriler merkezi veri sisteminde tutulduğu sürece işlevsizdir ve veriler Kanun’a aykırı şekilde tutulduğu için Anayasa 20/3’ün ihlali meydana gelmektedir.

12. madde[26] ile Kanun’da yer almayan bir komisyon olan Kişisel Verileri Koruma Komisyonu oluşturulmuştur. Bu komisyona veri aktarımına ilişkin başvuruları değerlendirme, şikayetleri inceleme ve gerekli denetimleri yapma gibi önemli yetkiler verilmiştir. Ancak belirtildiği gibi, bu komisyonun hiçbir meşruiyeti bulunmamaktadır. Ayrıca, komisyonun üyeleri tarafsız olmayan ve alana ilişkin meslek örgütlerinden olmayan kişilerdir. Komisyona, Kanun’un 9. maddesine aykırı olarak yurt dışına veri aktarımı da dahil olmak üzere veri aktarım taleplerini değerlendirme yetkisi verilmiştir ancak Kanun’daki düzenlemeye göre bu yetki, Kişisel Verileri Koruma Kurulu’ndadır. 24.11.2017 tarihli yönetmeliğin 13. maddesi[27] ile Kişisel Verileri Koruma Komisyonu’nu düzenleyen 12. madde yürürlükten kaldırılmıştır.

12. maddede[28] Genel Müdürlük düzenlenmiş olup, bu kuruma verilen görevlerin bazılarından bahsedilecektir. Genel Müdürlüğün görevlerinden en önemlisi kişisel sağlık verilerinin tutulacağı merkezi veri sistemini kurmaktır ve tutulan kayıtların merkezi sağlık veri sistemine gönderilmesini sağlamaktadır. Bununla beraber, kişisel sağlık kaydı sistemini kurmak da bu kurumun görevleri arasında sayılmıştır.

En çok tartışılan husus olan merkezi sağlık veri sistemi, yönetmeliğin 14. maddesinde[29] yer almaktadır. Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri kaydetmek ve bu verileri merkezi sağlık veri sistemine göndermek ile yükümlü kılınmıştır.

Kişisel sağlık kaydı sistemi ise yönetmeliğin 15. maddesinde[30] düzenlenmiştir. Bu sistem, 663 sayılı KHK’nın 47. maddesinin 3. fıkrası ile öngörülen sistemdir. Sunulan sağlık hizmetlerini takip etmek, sağlık kayıtlarını yönetmek, sağlık tesislerinde uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verilen kişilerle paylaşmak için Bakanlık tarafından bir sistem kurulmuştur. 5. fıkrada, ilgili kişilere kişisel sağlık kaydı sisteminde kişinin değişiklik yapma ve bu sistemi yönetme yetkisi tanınmıştır. Ancak Bakanlığın elindeki tüm verilerin yer aldığı sistem, merkezi sağlık veri sistemi olduğundan kişisel sağlık kaydı sistemi üzerinde değişiklik yapılmasının hiçbir anlamı bulunmamaktadır. Kişisel sağlık kaydı sistemi; sadece kişilerin verilerini takip edebileceği bir sistem olup, burada yapılan değişiklik, silme, ekleme gibi işlemlerin merkezi sağlık kaydı sistemindeki verilere herhangi bir etkisi yoktur.

“Yaptırım” başlıklı 17. maddede[31], yönetmeliğe aykırı davranılması halinde uygulanacak yaptırımlar düzenlenmiştir. Maddede, 6698 sayılı Kanun’un 17. ve 18. maddelerine atıf yapılmakta olup, 17. madde[32] Türk Ceza Kanunu’nun 135. ve 140. maddeleri arasındaki suçları ve 18. madde[33] kabahatleri düzenlemektedir.

Yönetmelik maddeleri ile birlikte ayrıntılı olarak değerlendirildiği üzere, yönetmelikte yapılan 24.11.2017 tarihli değişiklik bazı hususlarda lehedir. Ancak, özellikle verilerin işlenmesine ve işlenen verilerin merkezi bir sistemde tutulmasına ilişkin düzenlemeler; özel hayatın gizliliği ve kişisel verilerin korunması haklarının özüne dokunmaktadır ve bu nedenle Anayasa’nın 20 ve 20/3 maddelerine aykırılık teşkil etmektedir. Yönetmeliğin amaçlarından bir tanesi, kişisel sağlık verilerinin mahremiyetinin sağlanması olsa da söz konusu yönetmelik bundan ziyade, neredeyse her halde verilerin işlenmesine imkan tanıyan ve verilerin tutulduğu merkezi sistemlere meşruiyet kazandırmaya çalışan bir düzenleme olarak karşımıza çıkmaktadır.

 1. UYGULAMADA KİŞİSEL SAĞLIK VERİLERİNİN KAYIT ALTINA ALINDIĞI SİSTEMLER VE KAYIT ALTINA ALINAN KİŞİSEL SAĞLIK VERİLERİ

Sağlık Bakanlığı tarafından hali hazırda kişisel sağlık verilerinin depolandığı sistemler; E-nabız, Medula ve Sağlık.net 2 sistemleridir.[34] Bu sistemlerin hukuki dayanağı, 6698 sayılı Kanun’un 30. maddesinin 6. fıkrasının[35] atfı ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. maddesinin (f) bendinde[36] yer alan ve sağlık bilgilerinin takibi için gerekli kayıt sistemi oluşturulmasını öngören düzenlemedir.

Hassas sağlık verilerinin otomatik işlemlerle dijital ortama aktarılmasını sağlayan bu sistemler, kişiler tarafından kişisel sağlık verilerinin nerede depolandığının ve nerede karşılarına çıkacağının bilinmemesi nedeniyle esasında bir nevi sağlık panoptikonu yaratmaktadır.[37]

 1. 1. MEDULA Sistemi

2003 yılının Aralık ayında uygulamaya konulan Sağlıkta Dönüşüm Programı’na bağlı olarak 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun Mayıs 2006’da yürürlüğe girmesinin ardından Sosyal Güvenlik Kurumu tarafından MEDULA sistemi ile ödeme kapsamı içindeki bireylerin sağlık bilgileri elektronik ortamda kayıt altına alınmaya başlamıştır. Genel Sağlık Sigortası Genel Müdürlüğü ile sağlık tesisleri arasında, sağlık tesislerinin iç süreçlerine müdahale etmeksizin fatura bilgisini elektronik olarak toplamak ve hizmetlerin ödemesini gerçekleştirmek için oluşturulmuş bütünleşik sistem şeklinde tanımlanan MEDULA, sayısız kişisel veriyi barındıran bir sistemdir.[38]

Tüm sağlık verilerini tek bir sistemde birleştiren bir sistem olan MEDULA ile ilgili olarak; 2008 yılında Sağlık Bakanlığı’ndan Çalışma ve Sosyal Güvenlik Bakanlığı’na gönderilen 01.07.2008 tarihli ve 1486 sayılı yazıda, Dünya Sağlık Örgütü ve Uluslararası Telekomünikasyon Birliği ve Bakanlık Danışma tarafından yapılan üçlü değerlendirmede, sistemin E-sağlık Stratejisi ile paralel giden bir güvenlik ölçeğine sahip olmadığı açıkça ifade edilmiştir. Bununla birlikte, söz konusu yazıda güvenlik sorunu nedeniyle SGK tarafından elektronik ortamda yapılacak geri ödeme fatura kontrol işlemlerinin kişisel sağlık verileri toplanmaksızın yapılması gerektiği yönünde görüş bildirilmiştir. Sağlık Bakanı’nın imzası bulunan, kişisel sağlık verilerinin toplanmaması hususunda görüş bildirilen resmi yazıya rağmen MEDULA sisteminde kişisel sağlık verileri yıllardır kaydedilerek kurum ve kuruluşlar arasında aktarılmaktadır.[39]

 1. 2. E-Nabız Sistemi

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından E-Nabız, sağlık hizmetleri sunucusu olan hekim ile hizmeti alan kişi arasında, kişinin sağlığı hakkında doğrudan bilgi alışverişine, tıbbi görüntü ve raporlarının paylaşımına imkan sağlayan, arada herhangi bir üçüncü kişinin bulunmadığı, bu denli geniş kapsamlı ve güvenli bir hasta-hekim iletişim formu olarak dünyadaki ilk ve tek sistem olarak tanımlanmaktadır.

E-Nabız sisteminin kurulduğunu bildiren Sağlık Bakanlığı’nın 2015/5 sayılı Genelgesi’nin[40] yürütmesi Danıştay 15. Dairesi tarafından, dayanak olmaksızın kişisel verilerin toplanamayacağından cihetle durdurulmuştur. Bunun üzerine, Bakanlık tarafından çıkarılan 2016/6 sayılı Genelge[41] ile tüm üniversite ve özel hastanelerin, aile hekimliklerinin veri sisteminin ilgili sisteme entegre edilmesi ve tüm bilgilerin gönderilmesi, E-nabız’a entegre olmamış tüm sağlık tesislerinin bir an önce entegrasyonunun sağlanması, tüm hastaneler ve sağlık mensuplarına duyurulmuştur.[42]

 1. 3. Sağlık.net 2 Sistemi

Sağlık.net sistemi; sağlık kurumlarında elektronik ortamda üretilen verileri, doğrudan üretildikleri yerden standartlara uygun şekilde toplamayı, toplanan verilerden tüm paydaşlar için uygun bilgiler üreterek birinci, ikinci ve üçüncü basamak sağlık hizmetlerinde verim ve kaliteyi arttırmayı hedefleyen, entegre, güvenli, hızlı ve genişleyebilen bir bilgi ve iletişim platformu olarak tanımlamaktadır. Sağlık.net veri sistemi, SGK ile sözleşmesi olmayan özel sağlık kuruluşlarını, muayenehaneleri, cezaevi hekimliklerini, aile hekimliği birimlerini de kapsayacak şekilde genişletilerek Sağlık.net 2 ismini almıştır. Bu sistem, kamu-özel ayrımı olmaksızın sağlık hizmeti veren tüm sağlık kurum ve kuruluşlarının verilerinin toplanmasının öngörüldüğü sistemdir. Sağlık Bakanlığı, bu sistemi ile bilgi ve iletişim platformu sağlık hizmeti sunan tüm yerleri kapsamına almayı amaçlamıştır.[43]

 1. 4. Kayıt Altına Alınan Kişisel Sağlık Verileri

Merkezi sistemlerde kayıt alına alınan veriler, Bakanlığa bağlı ya da Bakanlığın denetiminde bulunan sağlık kurumlarından birçok form aracılığıyla toplamaktadır. Bu formlar; GEBLİZ (Gebe, Lohusa İzleme), AşıNet (Yenidoğan ve aşılama), Kalıtsal Kan Hastalıkları Bildirim, 15-49 Yaş Kadın İzleme, Acil Servis Ünitesi İntihar Girişimleri Kayıtları, MORBİD Obez Hasta Bilgi formlarıdır.[44]

Kamu ve özel bütün sağlık kuruluşları tarafından merkezi sisteme göndermekle yükümlü olunan bilgiler, yalnızca bildirimi zorunlu hastalıklara ilişkin değildir. Bunların yanı sıra talep edilen bilgilerin arasında; kimlik, adres, iletişim bilgileri, hamilelik testleri, sağlık geçmişi, özürlülük durumu, medeni hal, alkol-madde-sigara kullanımı, iş, meslek, öğrenim durumu, eğitim kurumuna devam etme durumu, gelir durumu, ailesinde intihar girişimi, cinsel partner bilgileri, kişisel bakım, kişisel hijyen, mahkumiyet/tutukluluk durumu, hastalık şikayetleri, hastanın öyküsü (anemnezi), bütün tetkik sonuçları, tetkik istenen kurumlar, 15-49 yaş arası kadınların doğum, düşük türü ve sayıları, kadın sağlığı işlemleri, kullanılan aile planlaması yöntemi, gebelik tespiti sonuçları, son adet tarihi, babanın kan grubu, gebe olduğu tespit edilmiş olsun ya da olmasın, doğum ya da düşükle sonuçlanan tüm gebelikler, ağız ve diş sağlığı ile ilgili tüm koruyucu hekimlik, teşhis ve tedavi işlemleri ve daha pek çok bilgi yer almaktadır.[45]

Kişisel sağlık verilerine ilişkin kayıt altına alınan bilgiler; hekimler, dişhekimleri, konsültanlar, diğer sağlık çalışanları, sağlık hizmet kurumları, idari personel ve yöneticiler, laboratuarlar ve çalışanları, eczaneler, Sağlık Bakanlığı, Sosyal Güvenlik Kurulu, Maliye Bakanlığı, adli süreçler söz konusu olduğunda adli makamlar ve görevlileri, hasta yakınları tarafından kolaylıkla izlenebilmektedir.

 1. 5. Merkezi Sağlık Veri Sistemlerinin Eleştirisi

Türk Tabipler Birliği tarafından 18.09.2013 tarihinde onaylanarak[46] oluşturulan Kişisel Sağlık Verileri Çalışma Grubu tarafından düzenlenen değerlendirme yazısında da ayrıntılı olarak yer verildiği gibi; Sağlık Bakanlığı tarafından ısrarla sağlık verilerinin tutulduğu bilişim sistemleri oluşturulmak ve bu sistemlerde hiçbir ayrım yapmaksızın tüm kişisel sağlık verileri tutulmak istenmektedir.

Bakanlık; kişisel sağlık verilerinin toplanması için toplum sağlığının düzenlenmesi, iyileştirilmesi ve kişilerin daha iyi sağlık hizmeti alabilmesi gibi gerekçeler öne sürmesine rağmen verilerin Bakanlık bünyesinde işlenmesi yanında özel sektörle paylaşılıp paylaşılmayacağı ve paylaşılması durumunda özel sektörün hangi amaçlarla bu bilgileri kullanacağı ise belirsizliğini korumaktadır.

Sağlık Bakanlığı tarafından ileri sürülen sağlık hizmetlerinin planlanması ve sağlık politikalarının oluşturulması amaçları için tek yol; kişilerin kimlikleri anlaşılabilecek biçimde bütün sağlık bilgilerinin tutulması değildir. Bilgi içeriklerinin sınırlandırılması, azaltılması ve ayıklanmasının yanı sıra, ad ve soyadın kodlanması, sadece hasta ve hekimin göreceği şekilde şifrelenmesi gibi pek çok araç kullanılarak sağlık politikalarını belirleyecek ölçüde kişilerin sağlık kayıtlarına ulaşılabilir.

Kişisel sağlık verilerine ilişkin mevzuatın aktarıldığı bölümde de belirtildiği gibi hali hazırdaki düzenlemelerin amacı; kişisel verilerin korunmasından ziyade, idare tarafından verilerin toplanması, kayıt altına alınması ve istenildiği şekilde paylaşılmasıdır.

Merkezi sistemlerde kişisel sağlık verilerinin tutulmasının en büyük sıkıntılarından bir tanesi,  kişilerin bilgilerinin kamusal olarak kaydedilmesinden endişe duyarak sağlık hizmeti almamasıdır ve hastalığı toplum sağlığı açısından önem taşıdığı hallerde dahi hastalığını gizleme yoluna gitmesidir. Kişisel verilerin tutulması; toplum sağlığını olumsuz etkileyecek bu denli büyük sorunlara yol açabilmektedir.

SONUÇ

Üç bölüm halinde ayrıntılı olarak açıklandığı üzere; verilerin işlenmesine ilişkin hallerin çok geniş tutulmuş olması nedeniyle Sağlık Bakanlığı tarafından kişisel sağlık verileri, hiçbir ayrım yapılmaksızın merkezi veri sistemlerinde tutulmaktadır. Sağlık hizmeti alan kişilerin verilerinin işlenmemesini, tutulmamasını ve aktarılmamasını talep etme hakları bulunmamaktadır. Hatta; merkezi veri sistemlerinde kişilerin sadece sağlık verileri değil, diğer konulara ilişkin birçok kişisel verisi de tutulmaktadır.

Kişisel sağlık verilerine ilişkin kanun, yönetmelik, genelge dahil olmak üzere neredeyse tüm mevzuat; son halini alana kadar birçok kere yargı organları tarafından iptal edilmesine rağmen aynı ya da benzer düzenlemeler yapılması hususunda ısrarcı olunmuştur. Kanun koyucunun ve idarenin bu ısrarcı tutumu, maalesef temel hak ve özgürlüklerin alanının daralması sonucunu doğurmaktadır. Kişisel sağlık verilerinin korunması amacı ile değil, adeta verilerin işlenmesi ve bu verilerin kayıtlı olduğu sistemlerin kurulması amacı ile hareket edilmiştir.

Mevzuatta değişiklikler yapılarak bu denli fazla verinin işlenmesinin ve merkezi veri sistemlerinde tutulmasının engellenmesi gerekmektedir. Sadece, kişi ve toplum sağlığı için elzem amaçlar için kişisel sağlık verilerinin işlenmesine izin verilmelidir ve bu veriler takma adlar, kodlar kullanılarak saklanmalıdır. Kişilerin, sağlık hizmetleri almalarının bir sonucu olarak; verilerinin ölçüsüz olarak işlenmesi suretiyle Anayasa’daki düzenlenen özel hayatlarının gizliliği ve kişisel verilerinin korunması haklarının ihlal edilmesi hiçbir şekilde kabul edilebilir değildir.

 

[1] KVKK 30  (7) (11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ile ilgili olup yerine işlenmiştir.)

[2]663 sayılı KHK (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teş- his, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar. 

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.

[3] http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html (Erişim Tarihi: 05.12.2017)

[4] KVKK 6 (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

[5] 6223 sayılı Kanun m. 1 (1) Bu Kanunun amacı, kamu hizmetlerinin düzenli, süratli, etkin, verimli ve ekonomik bir şekilde yürütülmesini sağlamak üzere…

[6] 6223 sayılı Kanun 2/a (20) Diğer kanun ve kanun hükmünde kararnamelerin görev, yetki, merkez, taşra ve yurt dışında teşkilatlanma esasları, kadrolar, bağlı, ilgili ve ilişkili kuruluşların bağlılık ve ilgilerine ilişkin hükümlerinde… 

[7] 6223 sayılı Kanun 2/b (7) Diğer kanun ve kanun hükmünde kararnamelerin memurlar, işçiler, sözleşmeli personel ile diğer kamu görevlilerinin atanma, nakil, görevlendirilme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin hükümlerinde yapılacak değişiklik ve yeni düzenlemeleri kapsar.

[8] http://www.resmigazete.gov.tr/eskiler/2011/12/20111215-29.htm  (Erişim Tarihi: 10.12.2017)

[9] 663 sayılı KHK m. 1 (1) Bu Kanun Hükmünde Kararnamenin amacı; Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektir.

[10] 663 sayılı KHK m. 47 (1) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.

(2) Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini yapmalarına yetecek derecede paylaşabilir.

(3) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkilidir. İlgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlüdür.

(4)  Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(5) Bu maddenin uygulanmasına ilişkin hususlar Bakanlıkça çıkarılacak yönetmelikle düzenlenir.

[11] AY 91 (1) Türkiye Büyük Millet Meclisi, Bakanlar Kuruluna kanun hükmünde kararname çıkarma yetkisi verebilir. Ancak sıkıyönetim ve olağanüstü haller saklı kalmak üzere, Anayasanın ikinci kısmının birinci ve ikinci bölümlerinde yer alan temel haklar, kişi hakları ve ödevleri ile dördüncü bölümünde yer alan siyasi haklar ve ödevler kanun hükmünde kararnamelerle düzenlenemez.

[12] AY 20 (1) Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Mülga üçüncü cümle: 3/10/2001-4709/5 md.)(…)

(2) (Değişik fıkra: 3/10/2001-4709/5 md.) Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.

(3) (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

[13] 6495 sayılı Kanun m. 73 (1) h) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin;

3) 47 nci maddesinin birinci, ikinci ve üçüncü fıkraları aşağıdaki şekilde değiştirilmiştir.

“(1) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve daha hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.

 (2) Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması hâlinde görevlerini yapmalarına yetecek derecede paylaşabilir.

(3) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkilidir. İlgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlüdür.”

[14] http://www.kararlaryeni.anayasa.gov.tr/Karar/Content/c14189c6-478e-45a0-b279-f8a1d5af952d?excludeGerekce=False&wordsOnly=False (Erişim Tarihi: 12.12.2017)

[15] 663 sayılı KHK m. 47 (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.

[16] KVKK 8 (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. 

[17] KSVİMSHY 1 (1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemektir.

[18] KVKK 22 (ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek

(h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek

[19] KVKK Geçici m. 1 (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.

[20] KSVİMSHY 5  (1) Kişisel sağlık verileri, ancak bu Yönetmelikte ve Kanun’da öngörülen usul ve esaslara uygun olarak işlenebilir.

(3) Sağlık hizmet sunucularında görevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir.

(6) Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.

(8) Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde aktarılır.

[21] KSVİMSHY 7 (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(2) Kişisel sağlık verilerinin, ilk fıkrada sayılan amaçlar dışında anonim hale getirilmeden işlenmesi için ilgili kişiye ait verilerin işlenme gerekçesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir.

[22] KSVİMSHY 8 (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.

(3) Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.

[23] m. 8 Aynı Yönetmeliğin 8 inci maddesinin birinci ve ikinci fıkraları aşağıdaki şekilde değiştirilmiş, üçüncü ve dördüncü fıkraları yürürlükten kaldırılmıştır.

“(1) Kişisel sağlık verileri, ancak Kanunun 8 inci ve 9 uncu madde hükümleri uyarınca aktarılabilir.

(2) Kişisel sağlık verileri, Kanunun 8 inci ve 9 uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak anonim hâle getirilmek suretiyle aktarılabilir.”

[24] KSVİMSHY 9 (1) Bu Yönetmelik, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.

(2) Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde veri bütünlüğü bozulmadan arşivlenir. Arşivlenen verilere bu amaçlar dışında erişim engellenir.

(3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 yıl sonra yerel veri tabanından silinebilir.

[25] m. 9 Aynı Yönetmeliğin 9 uncu maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiş, ikinci fıkrası yürürlükten kaldırılmıştır.

“(1) Kanun, bu Yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”

[26] KSVİMSHY 12 (1) Kişisel sağlık verilerine ilişkin hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, görüş belirtmek, anlaşmazlıkları çözümlemek, veri aktarımına ilişkin başvuruları değerlendirmek, şikayetleri incelemek ve gerekli denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonu oluşturulur.

[27] m. 13 Aynı Yönetmeliğin 12 nci maddesi yürürlükten kaldırılmıştır.

[28] KSVİMSHY 13 (1) Aşağıda belirtilen görevler, Genel Müdürlük tarafından yürütülür.

 1. a) Kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kurar,
 2. b) Sağlık hizmeti sunan tüm kamu ve özel sağlık kuruluşları ile sağlık meslek mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından merkezi sağlık veri sistemine gönderilmesini sağlar,
 3. d) İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan bir kişisel sağlık kaydı sistemi kurar,

[29] KSVİMSHY 14 (1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine aktarılması, veri sorumlusunun görev ve yetkisindedir.

[30] KSVİMSHY 15 (1) İsteyen her vatandaş; kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını yönetmek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verdiği üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir.

(5) İlgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine ilişkin sağlık verilerini yönetebilir, bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir.

[31] KSVİMSHY 17  (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.

(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Özel hukuk kişileri hakkında ilgili mevzuata göre işlem yapılır.

[32] KVKK 17 (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

[33] KVKK 18 (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

[34] http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html (Erişim Tarihi: 12.12.2017)

[35] KVKK 30 (6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile ilgili olup yerine işlenmiştir.)

[36] 3359 sayılı Kanun m. 3 (f) (Değişik: 24/3/2016-6698/30 md.) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.

[37] Yılmaz Sabire Sanem, Tıp Alanında Kişisel Verilerin Suçu, Seçkin Yayınları, Ankara, 2017, s. 58.

[38] http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html (Erişim Tarihi: 12.12.2017)

[39] Yılmaz, s. 50.

[40] http://sbsgm.saglik.gov.tr/TR,1346/e-nabiz-projesi-hakkinda-20155-sayili-genelge.html (Erişim Tarihi: 15.12.2017)

[41] http://dosyamerkez.saglik.gov.tr/Eklenti/820,genelge20166pdf.pdf?0 (Erişim Tarihi: 15.12.2017)

[42] Yılmaz, s. 102.

[43] http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html (Erişim Tarihi: 12.12.2017)

[44] Yılmaz, s. 50.

[45] http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html (Erişim Tarihi: 12.12.2017)

[46] http://www.kisiselsaglikverileri.org/icerik/dosyalar/onayyazisi.pdf (Erişim Tarihi: 12.12.2017)

KAYNAKÇA

 

Kitap

Yılmaz Sabire Sanem, Tıp Alanında Kişisel Verilerin Suçu, Seçkin Yayınları, Ankara, 2017

Elektronik Kaynaklar

http://www.kisiselsaglikverileri.org/32-saglik-hizmetlerinde-kisisel-veri-toplanmasi-korunmasi-ve-degerlendirilmesi.html

http://www.resmigazete.gov.tr/eskiler/2011/12/20111215-29.htm

http://www.kararlaryeni.anayasa.gov.tr/Karar/Content/c14189c6-478e-45a0-b279-f8a1d5af952d?excludeGerekce=False&wordsOnly=False

http://sbsgm.saglik.gov.tr/TR,1346/e-nabiz-projesi-hakkinda-20155-sayili-genelge.html

http://dosyamerkez.saglik.gov.tr/Eklenti/820,genelge20166pdf.pdf?0

http://www.kisiselsaglikverileri.org/icerik/dosyalar/onayyazisi.pdf

Yazar: Av. Göze NALBANTOĞLU

Ayrıca bknz.

Günümüzün Perde Arkası Sorunu ‘’BİLİRKİŞİLİK’

Bilirkişilik kurumunun kökeni çok eski tarihlere dayanmaktadır. Sosyo-ekonomik,toplumsal ve teknolojik gelişmeler neticesinde bilirkişilik kurumuna verilen …