Kişisel verilerin korunması ve sağlık sektöründeki yansımaları

Serbest Kürsü
Serbest Kürsü

Ahmet Sağlı - EY Türkiye Sağlık Sektörü Lideri

Son yıllarda teknolojinin hayatımızın her alanına girmesi ve özellikle internet kullanımının yaygınlaşması ile kişisel verilere erişim ve bunların kullanımı çok daha kolay bir hale gelmiş ve yoğunlaşmıştır. Tüm bu gelişmeler Türkiye’de kişisel verilerin korunmasına ilişkin bir yasal düzenleme ihtiyacı ortaya çıkarmıştır. Bu gereksinimin neticesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.

Kanunun amacı kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri toplama, düzenleme, saklama, aktarım gibi işlemler yaparak kişisel veriyi işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve bu işlemlerle ilgili temel ilke ve kuralları belirlemektir. Kanun ile birlikte, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, açık rıza, veri sorumluları sicili gibi yeni kavramlar hayatımıza girmiştir.

Kanun günlük ticari faaliyetlerinde kişisel verileri çok yoğun şekilde işleyen başta sağlık sektörü olmak üzere özellikle sigortacılık, banka, telekomünikasyon, perakende gibi sektörleri çok yakından ilgilendirmektedir.

Sağlık Bakanlığı tarafından düzenlenen “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” (Yönetmelik) 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Dijitalleşme ile birlikte kişisel sağlık verilerine, yani hasta bilgilerine çabuk ulaşım, hizmetlerin daha verimli ve planlı şekilde sunulması gibi avantajların yanı sıra artık kişisel sağlık verilerine ulaşım son derece kolaylaşmıştır. Bu durum Kanun tahtında özel nitelikli olarak addedilen “kişisel sağlık verilerinin” güvenliğinin ve muhafaza standartlarının belirlenmesi ve kontrol altın alınmasını tetiklemiştir. Yönetmelik kanunda belirlenen kural ve ilkeleri sağlık sektörü için özelleştirmiş ve buna göre bazı alanlarda uygulama esaslarını belirlemiştir. Yönetmelik kişisel sağlık verileri işlenen kişilerin, yani hastaların haklarını korumayı esas almakta olup; Kanun’a göre daha kati düzenlemeler içermektedir.

İlgili yönetmelikte “sağlık hizmet sunucuları” sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu veya özel hukuk tüzel kişileri şeklinde çok geniş bir şekilde tanımlamıştır. Bu tanımdan, sağlık hizmet sunucularının veriyi işleyen Sağlık Bakanlığı, SGK, hastaneler, ilaç şirketleri, sağlık profesyonelleri gibi sağlık hizmetleri sunmakta olan bütün sağlık tesislerini ve kişileri kapsadığı değerlendirilebilir. Bunun yanında yönetmelikte açıkça ifade edilmemekle beraber sigorta şirketleri, asistan firmalar gibi doğrudan sağlık hizmeti ile ilgili faaliyette bulunmayan şirketlerin “sağlık hizmetleri sunucuları” kapsamında olmadığı düşünülmekle beraber özellikle sigorta şirketlerinin durumu net bir şekilde düzenlenmiş değildir.

Ayrıca, kanunda kişisel veri sahibinden alınacak açık rızanın şekline ilişkin bir açıklama yok iken, yönetmelikte sağlık hizmet sunucuları açısından açık rıza şekle bağlanmış ve geçerlilik şartı olarak açık rızanın mutlaka yazılı olması öngörülmüştür. Bu durum sağlık hizmet sunucularının tanımını ve kimleri kapsadığını daha da önemli hale getirmektedir.

Öte yandan, yönetmelikte açık rızayı gerektirmeyen istisnai amaçlar arasında bulunan “sağlık hizmetleri ve finansman planlaması yönetimi” hususu bulunmakla beraber bu istisnanın hangi kurum ve kuruluşları kapsadığı konusunda halen bazı tereddütler yaşanmaktadır.

Türkiye’deki diğer sektörlerde olduğu gibi sağlık sektöründe de kişisel veriler ve bunların korunması hakkında köklü bir kültür ve alışkanlığımızın olmadığı şüphesizdir. Sağlık sektörünün karmaşık yapısı gereği kişisel veri paylaşımı yapan birçok farklı kurum ve kuruluş bulunması ve bilgi teknolojileri uygulama ve sistemleriyle ilgili sağlık hizmet sunucularının veri işleyen konumundaki dış firmalara bağlılığı gibi konular da veri sorumlularının mevzuata uyumunu güçleştirebilecek temel unsurlardır.

Ayrıca yönetmelikte özellikle yazılı açık rıza gerekliliği, sağlık hizmet sunucusu tanımının çok geniş olması; sağlık hizmetleri ve finansman planlaması yönetimi istisnasının hangi faaliyetleri kapsadığı gibi hususlar yönetmeliğin uygulanması açısından bazı zorluklara neden olabilecektir.

Sonuç olarak, bu düzenlemeler yasal manada çok önemli bir boşluğu doldurmuş olsa da sağlık sektörüne özgü halen netleştirilmesi ve düzenlenmesi gereken birçok konu vardır.

Tüm bunların yanında, kanun ve yönetmelik’in tüm maddeleriyle yürürlükte olduğu da unutulmamalıdır. Özel nitelikli kişisel veri olan sağlık kişisel verilerini işleyen kamu ve özel tüzel kişileri ile gerçek kişilerin yürürlükteki mevzuata uyumlu halde gerçekleştirmeleri ve bu amaçla sağlık kişisel verilerine dokunan ticari faaliyet ve süreçlerini tekrar gözden geçirerek hukuk, organizasyon, ve bilgi güvenliği gibi alanlarda ihtiyaç duyacakları çalışmaları yapmaları gerekmektedir.

Yazara Ait Diğer Yazılar Tüm Yazılar