W- Veri Koruma Derneği Yönetim Kurulu Üyesi Doç. Dr. Murat Volkan Dülger’in 6698 sayılı “Kişisel Verilerin Korunması Kanunu bazında sağlık alanına ait görüşlerini almak için birlikteyiz.
6698 sayılı “Kişisel Verilerin Korunması Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”
Kişisel veri nedir ve bu kanuna ihtiyaç duyuran gerekçeler nelerdi?
V.D.- Gerçek bir kişiye ait olan ve o kişiyi belirlenebilir kılan her türlü veri kişisel veridir.
Tüzel kişilere, derneklere, vakıflara vs. ait olan veriler bu kanunun koruması kapsamında değildir.
Örnek vermek gerekirse; resminiz, isminiz , soy isminiz, TC kimlik numaranız, sağlık durumunuza ilişkin veriler kişisel verilerdir.
Türkiye’de Kişisel Verileri Koruma Kanunu Avrupa Birliği’ne uyum süreci kapsamında atılan bir adım olmakla birlikte bu hususla ilgili olarak öncesinde Türk Ceza Kanunu’nda ve Anayasa’da düzenlemeler olmakla birlikte, çerçeve bir düzenleme yoktu. Önce Anayasa’ya daha sonra Türk Ceza Kanunu’na düzenlemeler getirildi ancak kişisel verilerin hangi şartlar altında alınacağı, saklanacağı ve işleneceği gibi hususları düzenleyen bir mevzuat yoktu. Bu kanun yürürlüğe girmeden önce de hali hazırda belirli kuruluşlar kişisel verileri kaydediyorlar ve işliyorlardı bu zamana kadar bu faaliyetlerini bunları sınırlayacak bir düzenleme olmadan gerçekleştiriyorlardı ve ayrıca ortada bir kanun olmadığında bu gibi faaliyetleri özel kişiler de kolaylıkla yapabiliyordu en azından buna bir sınırlama getirilmesi gerekiyordu. Günümüzde kişisel veriler bir takım kurumlar tarafından istihbari faaliyetler çerçevesinde veya güvenlik gerekçeleriyle hiçbir kural olmaksızın işleniyordu, söz konusu düzenlemeyle en azından bu işlemenin hangi şartlar altında ne kadar süreyle ne amaçla işlendiğinin biliniyor olması sağlanacaktır.
W- Kişisel veri tanımı nedir ve kişisel verilerin korunması evrensel bir hak mıdır?
V.D.-Kişisel verilerin korunması hakkı bir temel hak ve özgürlüktür.
Türkiye bunun alt yapısını geçtiğimiz senelerde düzenledi. Anayasa’da yapılan değişiklikle Anayasa’nın özel hayatın gizliliği hakkını düzenleyen yirminci maddesine eklenen fıkralarla kişisel verilerin de hem bir özgürlük hem de bir temel hak olduğu düzenlendi. Ancak altını önemle çizmek gerekir ki, hem ulusalüstü hem de ulusal hukuk sistemlerinde kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkından bağımsız, müstakil bir hak olarak kabul edilmektedir.
W- Avrupa Birliğinde konunun önemi ve boyutunu alabilir miyiz?
V.D.-Öncelikle belirtmek gerekir ki Avrupa ülkeleri kişisel verilerin korunması alanında öncü durumundadır. Diğer ülkelere göre çok daha önce bu konuda adım atılmıştır. Bunun nedeni ise teknolojik gelişmelerin ve hukuk bilincinin daha gelişmiş olmasıdır. Teknolojinin daha fazla gelişmesiyle konuyla ilgili tehditler ortaya çıkmış ve bu da hukuki düzenleme ihtiyacını doğurmuştur. AB’de bu konuyla ilgili yapılan ilk çalışma 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’dir. Bu direktifin amacı birinci maddesine göre kişisel verilerin işlenmesine dair başta kişisel mahremiyet hakkı olmak üzere gerçek kişilerin temek haklarını ve özgürlüklerini korumaktır. Direktif kişisel verilerin hangi şartlar altında işlenebileceği, veri işlemenin yasallaşmasını sağlayan nedenleri, verilerin sınırlı amaçlar için işlenebileceği, hassas verilerin istisnai durumlarda işlenebileceği gibi hususları düzenlemektedir.
Bu direktifin bizim açımızdan en önemli noktası ise 6698 sayılı KVKK’da esas alınmış olmasıdır.
Direktifin yanı sıra Avrupa Birliği Temel Haklar Şartı’nın 7. Maddesinde, Avrupa Parlamentosu ve Konseyi’nin 2002/AT Sayılı Elektronik Haberleşme Sektöründe Özel Alanın Korunması ve Kişisel Bilgilerin İşlenmesi Yönergesi’nde, 2006/24/EC Sayılı İletişim Trafik Verilerin Saklanması Yönergesi’nde kişisel verilerin önemi vurgulanmıştır.
Teknolojinin daha da gelişmesiyle Direktif yetersiz kalmış ve yeni bir düzenlemeye ihtiyaç duyulmuştur. Bunun üzerine Direktifin yerini almak üzere 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Bu tüzükle var olan birçok düzenleme değiştirilmiş ve yeni düzenlemeler de getirilmiştir. Görüldüğü üzere kişisel veriler konusu ülkemize göre Avrupa Birliği’nde çok daha fazla önemsenmekte ve bu alanda çok daha fazla çalışmalar yapılmaktadır.
W-Dijitalleşme bu alanda bir kolaylık sağlıyor mu yoksa veri tabanlarındaki kişisel bilgilerin kolaylıkla ifşa olmasına yol açabilir mi? Depolama ve saklama konusu daha da önemli hale mi geldi?
V.D.-Dijitalleşme aslında kişisel verilerin öneminin ortaya çıkmasını sağlayan en büyük etkendi. Bu dijitalleşme ve veri depolayıp işleme sayesinde büyük veri kavramı ortaya çıktı. Bu da yapay zeka çalışmalarının bir anda ilerlemesini sağladı. Kişisel verilerin bu kadar büyük ve yoğun oranda işlenmesinin bireylere sağladığı yararların yanında tabii ki bir sürü de riski barındırmakta. Birey doğrudan bir kişisel verisini vermese dahi bırakmış olduğu veri kırıntıları işlenerek dolaylı olarak da olsa bireye ait kişisel veriler elde edilip işlenebilmektedir. Bu ise büyük riskler doğurmakta özellikle mahremiyeti ihlal etmekte ve gözetim toplumunu ortaya çıkarmaktadır.
W- Veri sorumlusu kimdir ve sorumlulukları nelerdir?
V.D.- Veri sorumlusu Kanun’da “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
Veri sorumlularına ait en büyük sorumluluk Kurul’un gözetiminde olan ve Başkanlık tarafından yönetilen Veri Sorumluları Sicili’ne kayıt olma yükümlülüğüdür. Sicil kamuya açıklık ilkesine göre tutulması ve bireyler istediği zaman sicili görebilmelidir. Böylelikle ilgili kişiler de veri korumadan etkin bir şekilde faydalanmış olacaktır. Bunun yanı sıra ilgili kişileri aydınlatma yükümlüğü, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, ilgili kişiler tarafından yapılan başvurulara cevap vermek ve kurul kararlarını yerine getirmek de veri sorumlularının yükümlülükleri arasında yer almaktadır.
W- Verilerin korunması, işlenmesi, anonimleştirilmesi ve aktarılması konularının yasal sınırları nelerdir?
V.D.- Bunun yasal sınırı 6698 Sayılı kanunda ve buna ilişkin yönetmeliklerde düzenlenmiştir. Bunlara tek tek cevap vermek bu röportajın sınırlarını aşar, ancak ulusal ve ulusal üstü düzenlemelerde kabul edilmiş kişisel veri işleme ilkeleri bu sınırları belirlemektedir. Bu ilkelerin başlıcaları ise amaca bağlılık, veri minimizasyonu, kişisel verilerin belli bir zaman sınırıyla tutulması ve işlenmesi, düzeltme hakkı ve unutulma hakkıdır.
W- Hangi kişisel verilerin toplanabileceği, hangilerinin toplanamayacağı sınırları belli midir ve bu sınırlar sağlık kurumlarında farklılık arz etmekte midir?
V.D.- Bellidir 6698 sayılı Kanun’un 5. maddesinin 1. fıkrasında basit kişisel veriler düzenlenmektedir. Maddenin 2. fıkrasında ise özel nitelikli kişisel veriler düzenlenmektedir. Özel nitelikli kişisel verilerden en önemlileri de sağlık ve cinsel yaşama ait olanlardır. Bu veriler de hem işleme hem de aktarma açısından basit verilere göre çok daha sıkı şartlara tabi tutulmuş durumdadır. Bu tür verilerin işlenebilmesi için birkaç istisna durum dışında veri ilgilisinden açık rızası alınmasıdır.
W- Sağlık alanında KVK’nın önemini nasıl anlamalıyız? Sağlık işletmeleri, muayenehane hekimleri (ki özel hastanelerde çalışan bazı hekimler şirketleşip hastane ile sözleşme imzalamakta böylece onlarda bir işletme sayılır ) yükümlülükleri nelerdir?
V.D.- Öncelikle tüm hekimler hastalarına ait bilgileri gizli tutmakla yükümlüdür.
Hastalarının özel hayatlarına ve kişisel verilerine ilişkin bilgileri kanuni yükümlülükler ve istisnalar dışında kimse ile paylaşmamaları gerekir. Ayrıca hekimlerin hastalarını aydınlatmak ve hastalarının verilerini işleyebilmek adına gerektiği zamanlarda açık rızalarını almak gibi yükümlülükleri de mevcuttur.
Özel nitelikli kişisel verilere ilişkin istisnalar Kanun’daki 6. maddedenin 3. fıkrasında sayılmıştır.
Bu durumlar dışında ilgililerin açık rızalarının alınması gerekir. Öte yandan sağlık kurumları sigorta şirketleri ile veri paylaşırken çok dikkatli olmalıdır. Sigorta şirketlerinin özel nitelikli kişisel verilerin alınması ve işlenmesi bakımından (özellikle de sağlık ve genetik veriler bakımından) bir istisnası söz konusu değildir. Ancak sağlık sigortası sözleşmesinin yapılmasıyla sigorta yaptıran veri ilgilisinin bu yöndeki açık rızası ile üçüncü kişilerdeki sağlık verilerinin alınması ve işlenmesi söz konusu olabilir. En azından şu andaki mevcut hukuki düzenlemeler bu sonuca işaret etmektedir.
W- Aile Hekimlikleri (ASM) işletim sorumluluğu Valiliklerle sözleşme imzalayan hekimlerin burada bir yükümlülük var mıdır?
devam edecek….