W- Veri Koruma Derneği Yönetim Kurulu Üyesi Doç. Dr. Murat Volkan Dülger’in 6698 sayılı “Kişisel Verilerin Korunması Kanunu bazında sağlık alanına ait görüşlerini almak için birlikteyiz.
Aile Hekimlikleri (ASM) işletim sorumluluğu Valiliklerle sözleşme imzalayan hekimlerin burada bir yükümlülük var mıdır?
V.D.-Aile hekimleri de diğer hekimlerle aynı yükümlülüklere dahildir. Yani ancak ilgili kişinin açık rızası varsa veya kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile finansmanın planlanması ve yönetimi amacıyla işleniyorsa sağlık verilerini işleyebilirler. Bunlar haricinde hastalarını aydınlatma ve sır saklama yükümlülükleri mevcuttur.
W- Benzeri şekilde ilaç firmalarının sorumlulukları var mıdır?
İK biriminde çalışanlara ait çok detaylı veriler (psikolojik test vb) var, bunlarda kanun kapsamında mıdır?
İlaç araştırması-klinik çalışma esnasında kişilere ait veriler de bu konuya dahil midir?
V.D.-İlaç firmaları hastaların verilerini işlemediklerinden sağlık kurumları gibi özel nitelikte kişisel veri işlemediklerini düşünüyorum. Ancak doğrudan klinik araştırma yapmaları veya yaptırmaları ve bu esnada belli ya da belirlenebilir gerçek kişiye ait kişisel sağlık verileri işliyorlarsa söz konusu ağırlaştırılmış yükümlülükler bu firmalar için de geçerlidir.
Eğer İK’nın aldığı sağlık verileri o iş kapsamındaysa iş sözleşmesi, iş kanunu, sigorta kanunu gibi kapsamlar dahilinde alınıyorsa sağlık verileri bir sorun olmayacaktır. Ancak her halükarda hassas nitelikli kişisel veri söz konusu olacağından dikkatli olunmalı ve olabildiğince az hassas veri işlenmelidir. Gereksiz yere böyle bir verinin şirkette tutulmasına gerek yoktur.
İlaç firmaları tarafından denek olan kişilere ait sağlık verileri de elbette bu konuya dahildir. Bu kişilerin verileri işlenmeden önce aydınlatma yapılmalı ve muhakkak açık rızaları alınmalıdır.
W- Bu kanunda eczanelerin bir yeri var mıdır?
Eczanelerde hastaların bilgilerini bir şekilde depoluyor veya kullandıkları sistemlerden görmekteler, (hastanın ad-soyad-TCKN, teşhis ve dopal olarak ilaç vb.) burada bu verileri görme-işleme yetkilisi olacak ve bunun dışındakiler bu verileri göremeyecek midir, eczanelerin yükümlülükleri neler olmaktadır?
V.D.-Eczanelerde hastaların açık rızalarını almaya gerek yok. Ancak eczacıların da aydınlatma yükümlülüğü vardır. Eczacılar hastaların kişisel verilerini tutmadıklarını sadece ilgili kurumun ara yüzüne işlediklerini hastalara bildirmelidir. Ancak yine bir şekilde kayıt ettikleri ve işledikleri kişisel veri olması halinde hukuki yükümlülükler eczacılar bakımından da geçerlidir.
W- Tüm sağlık alanında (hastane, asm, eczane vd) kamera sistemleri mevcut kanun burada da yükümlülük-sınırlama getirmekte midir?
V.D.-Burada meşru menfaat söz konusudur. Bu kapsamda hastanelerde vs. yer alan ortak alanlarda kamera bulunabilir. Ancak muayene odalarında ve doktor odalarında kamera bulunmamalıdır. Ayrıca kişilere o yerde izlendiklerine ilişkin bildirim yapılmalıdır. Örneğin duvarlara kamera ile izlenildiğine ilişkin aydınlatma metinleri asılabilir.
W- Sağlık, eczane ve ilaçta en büyük kişisel veri Bakanlık ve bağlı olduğu merkez-sahra teşkilatlarındadır, bakanlığın sorumluluğu da aynı derecede büyüktür sanıyorum özellikle sahra teşkilatları bu konuda yeterli bilgiye sahip mi bilemiyoruz burada temel sıkıntılar neler olabilir?
V.D.- Kanun kolluk ve istihbarat dışındaki hiçbir kamu kuruluşunu istisna tutmamıştır. Tek istisna hali idari para cezasıdır bu da amir ve memurların ceza hukuku sorumluluğu olmadığı anlamına gelmez. Bu noktada en çok kişisel veri tutan bakanlık Sağlık Bakanlığı ve bağlı birimleridir. Bu konuya en çok ilgi gösteren ve en baştan beri önlemler almaya çalışan bakanlık da Sağlık Bakanlığı’dır.
Nitekim Sağlık Bakanlığı kişisel sağlık verilerinin işlenmesine ilişkin yönetmelik çıkarmıştır. Ancak bu yönetmeliğin Danıştay tarafından yürütmesi durdurulmuştur. Sağlık Bakanlığının bir an önce bu konuya ilişkin KVK Kanununa uyumlu ve KVK Kuruluyla işbirliği halinde ikincil düzenlemeler çıkarması ve tüm bağlı birimlerinin de buna uymasını sağlaması son derece önemlidir.
W- Danıştay 15. Dairesi Esas No: 2018/1490 kararı ile Kişisel Sağlık Verileri’nin Toplanmasına Dair Yönetmeliğin yürütmesini durdurdu.
Bu konudaki değerlendirmenizi alabilir miyiz?
V.D.-Bu yönetmelik çıktığı tarihten itibaren fazlasıyla eleştiriye maruz kalmıştır. Yönetmelik, 6 Temmuz 2017 tarihinde verilen yürütmenin durdurulması kararının ardından, 24 Kasım 2017 tarihli hakkında değişiklik yapılmasına dair Yönetmelik ile çeşitli değişikliklere uğraşmış ve tekrar yürürlüğe konmuştur. Ancak değişiklik yapıldığı haliyle de kişisel sağlık verilerinin korunması bakımından tatmin edici yenilikler getirememiş olması sebebiyle Türk Tabipleri Birliği ve Türk Diş hekimleri Birliği tarafından Danıştay’da dava konusu edilmiştir. Yürütmenin durdurulması kararının gereği, Mahkemenin yürütmeyi durdurmasındaki gerekçelerini ele alarak söz konusu idari işlemde birtakım değişiklikler yaparak işlemin uygulanmasına devam etmek değil; idari işlemi hiçbir şekilde uygulamama ve yürütmemektir. Nitekim Danıştay da yürütmesi durdurulan bir düzenlemede kısmi değişiklikler yapmak suretiyle hukuka aykırılığı saptanmış olan düzenlemenin canlandırılmasının hukuken mümkün olmadığını belirtmiştir. Ayrıca Yönetmelik, Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemler belirlenmeden düzenlenmiştir. Oysaki, sağlık verileri gibi kişisel veriler alanının en önemli parçasını oluşturan ve kişilerin sağlık yaşamlarına ilişkin en mahrem bilgileri içermesi bakımından üst düzey koruma gerektiren kişisel verilere ilişkin bir düzenlemenin, Kurul tarafından konuya ilişkin olarak belirlenen yeterli önlemlerin dikkatle göz önünde bulundurularak oluşturulması gerekir.
Bu nedenlerle 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamı hakkında yürütmenin durdurulmasına karar verilmiştir.
Ben de yönetmeliği eleştiriyor ve Danıştay’ın kararını yerinde buluyorum. Danıştay’ın yürütmeyi durdurma kararındaki gerekçelerinin son derece iyi hazırlandığını ve son zamanlarda ülkemizde büyük bir erozyona uğrayan “hukuk devleti ilkesi” bakımından ders niteliğinde olduğunu da düşünüyorum.
W- KVK alanında hukuki davalar oluşmaya ve kararlar çıkmaya başladı mı?
V.D.- Elbette. Bir süredir fazlasıyla gündemde olan bir konu zaten gerek kurul kararlarına gerek mahkeme kararlarına yansıyan çok sayıda konu bulunmakta. Başına gelmeyenler çok farkında olmayabilirler ancak bu konuda Kişisel Verileri Koruma Kurulu’nun vermiş olduğu çok sayıda ihlal kararı ve idari para cezası bulunmakta. Ayrıca bu konuya ilişkin olarak Yargıtay Ceza Genel Kurulu’nun ve Yargıtay 12. Ceza Dairesi’nin de çok sayıda kararı bulunmakta.
W- Sağlık verileri neden satılamaz?
V.D.-Sağlık verileri 6698 sayılı Kanun uyarınca sınırlı olarak sayılan hassas nitelikli kişisel verilerdendir. Dolayısıyla kişinin açık rızası olmadan işlenemezler. Bu nedenle sağlık verilerinin satılması da mümkün olmayacaktır. Ama asıl neden, bu veriler ilgili olduğu kişiye aittir. Bir başkasına ait olan bilgiyi siz kim olarak, hangi hakla ve hangi sıfatla satabilirsiniz? Ayrıca bu bilgiler mülkiyete konu oluşturacak bir mal da değildir.
Bunlar insan onuruyla ilgili ve bir temel hak ve özgürlüğe konu olmuş ayrıca Avrupa İnsan hakları Sözleşmesi’nin 8. Maddesi gereğince Avrupa İnsan Hakları Mahkemesi kararlarıyla da koruma altına alınan bir insan hakkıdır. Dolayısıyla bire satış işlemine konu olmaları mümkün değildir.
W- Sağlık alanında KVK anlamında istisnalar var mıdır?
V.D.-Sağlık verilerinin işlenebilmesi için ilgili kişilerin açık rızası alınmalıdır. Sadece daha önce de belirttiğim üzere 6. maddenin 3. fıkrasındaki durumlar söz konusu olduğunda açık rızaya gerek yoktur. Buna göre kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın sağlık verileri ve cinsel hayata ilişkin veriler işlenebilir.
W- Hangi durumlarda rıza aranmalıdır?
V.D.-Kanun da yer alan m.6/3’de yer alan istisnalar söz konusu olmadığı sürece kişinin özel nitelikli kişisel verilerinin alınması durumunda açık rızalarının alınması gerekir. Yani kişisel sağlık verileri için kural “ilgilinin açık rızasının alınmasıdır”. Ancak hastanın bilincinin kapalı olması durumunda ya da kamu sağlığının gerektirdiği hallerde açık rızaya gerek yoktur.
W- Değerli Hocam görüşlerinizi paylaştığınız için çok teşekkür ederiz.