KVKK ve Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Sağlık Verilerine İlişkin Düzenlemeler
1.Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Anılan yasa, kişisel verileri, işlenmesini ve korumasını tanımlayan, kişisel verilerin işlenmesinin ve korunmasının nasıl yapılacağını belirten ve bunların yanı sıra yapılan düzenlemelere uyulmaması halinde yaptırımlar öngören bu alandaki temel düzenleyici kanundur. [1]
Avrupa Birliği Genel Veri Koruma Tüzüğü, 25 Mayıs 2018 tarihinde, 95/46/EC sayılı Yönerge’nin yerini almak üzere yürürlüğe girmiş olup günümüzle daha uyumlu, daha dinamik ve bireysel haklar açısından daha koruyucu olan bir düzenlemedir. [2]
Belirtilen her iki düzenlemede, sağlık verisi özel nitelikli kişisel veri adı altında yer almakta olup işbu makalede, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Avrupa Birliği Genel Veri Koruma Tüzüğü’nün sağlık verilerine ilişkin düzenlemeleri kıyaslamalı olarak değerlendirilecektir.
2.Sağlık Verisi Bakımından 6698 Sayılı Kanun
Sağlık verisinin 6698 sayılı Kanun’da herhangi bir tanımı bulunmamakla birlikte kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgileri ifade etmektedir.[3]
Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde sağlık verisi, “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlığı altında düzenlenmiştir. Söz konusu maddenin birinci fıkrası ile, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, cezamahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” denilerek sağlık verisi özel nitelikli kişisel veri kapsamında ele alınmıştır.
6698 sayılı Kanunu’nun 6. Maddesinin ikinci fıkrası ile özel nitelikli kişisel verilerin işlenmesi ile ilgili bir kural koyulmuş ve “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Ibaresi ile özel nitelikli veri olan sağlık verisinin açık rıza olmaksızın işlenemeyeceği açıkça düzenlenmiştir. Bu kuralın istisnaları ise yine aynı maddenin üçüncü fıkrası ile belirtilmiştir. Kanun’un üçüncü fıkrasına göre “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” Fıkra uyarınca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hallerinden biri söz konusu olduğunda açık rıza aranmaksızın sağlık verisi işlenebilecektir. En temel olarak doktorun hastası hakkında işlediği sağlık verileri söz konusu ise açık rıza aranmayacağı örneği verilebilir. [4]
6698 sayılı Kanunu’nun anılan maddesine getirilen eleştirilerin başında sağlık verisinin açık rıza aranmaksızın işlenebileceği haller düzenlenirken “kanunda öngörülme şartı” aranmaması olmuştur. Kanunu’nun 5. Maddesinde “kanunda açıkça öngörülme” şeklinde düzenleme mevcuttur. 6. Maddenin üçüncü fıkrasında sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler için “kanunda öngörülme” şartı aranmaktadır. Ancak hem özel nitelikli kişisel veri sayılan hem de maddede ayrıca düzenlemesi bulunan sağlık verisi için kanunda öngörülme şartı aranmamaktadır. Diğer yandan kişilerin sağlık verilerinin işlenmesinin kanun dışında tüzük, yönetmelik gibi düzenleyici işlemlerle yapılması Anayasamızın 20/3 ve 13. Maddeleri ile engellenmektedir. [5]
Üzerinde durulması gereken bir diğer husus ise Kanun’nun 6. Maddesinin dördüncü fıkrasında düzenlenen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” Diyerek vurgulanan yeterli önlemin ne olduğudur. Kişisel Verileri Koruma Kurulu’nun madde 22’de düzenlenen görev ve yetkileri arasında yeterli önlemleri belirlemek de yer almaktadır. Bu doğrultuda Kurul, Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesine ilişkin 31/01/2018 tarihli ve 2018/10 sayılı bir karar yayımlamıştır. Buna göre öncelikle özel nitelikli kişisel verilerin güvenliğini sağlamaya yönelik “sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi”ne hükmedilmiştir. Kararın içeriğinde çalışanlara yönelik nasıl tedbirler alınacağı, kişisel verilerin fiziksel ya da elektronik ortamda muhafaza edilirken veya kişisel verilerin aktarılması söz konusu olduğunda nelere dikkat edilmesi gerektiği ve hangi yöntemlere başvurulabileceği düzenlenmiştir. Belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.[6]
3.Sağlık Verisi Bakımından Avrupa Birliği Genel Veri Koruma Tüzüğü
6698 sayılı Kanun’dan farklı olarak GDPR’da sağlık verisinin tanımı yapılmıştır. GDPR’ın Tanımlar başlığı ile düzenlenen 4. maddesinin 15. Bendine göre ‘sağlıkla ilgili veri’ sağlık hizmetlerinin sağlanması da dahil olmak üzere bir gerçek kişinin sağlık durumuyla ilgili bilgilerin açıklandığı, söz konusu gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin kişisel verilerdir.
Kişisel Verileri Koruma Kanunu ile paralel bir düzenleme olarak GDPR’ın 9. Maddesinin birinci fıkrasında sağlık ile ilgili veriler, “özel kategorideki kişisel verilen işlenmesi” başlığı altında düzenlenmiştir. Söz konusu düzenlemede, “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin,sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.” Ibaresi ile kural olarak sağlık verisinin işlenemeyeceği ortaya koyulmuştur. Maddenin ikinci fıkrasında ise sağlık verisinin işlenebileceği istisna durumlar sayılmıştır. Anılan düzenlemeye göre: açık rıza, iş ve sosyal güvenlik hukuku alanında yükümlülüklerin yerine getirilmesi ve hakların kullanılması, ilgili kişi hukuken ya da fiziksel olarak rıza gösteremiyorsa kendisinin veya bir başkasının hayati menfaatini korumak, kar amacı gütmeyen kuruluşların meşru faaliyetleri kapsamında üyelerinin verilerinin işlenmesi, alenileştirme, bir hakkın tesisi kullanılması korunması veya mahkemelerin gerek duyması, birlik veya üye devlet hukuku temelinde önemli kamu yararı gerekçeleri için, bireysel sağlık hizmetlerinin sunulması ve kamu sağlığı alanında kamu yararı gerekçeleri için gerekli olması ve son olarak Kamu yararı için arşivleme, bilimsel veya tarihi araştırma ve istatiksel amaçlar için gerekli olması hallerinden biri söz konusu olduğunda sağlık verisi işlenebilecektir. [7]
Anılan maddenin üçüncü fıkrasında “1. paragrafta atıfta bulunulan kişisel veriler Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında ya da Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak başka bir kişi tarafından işlendiğinde, söz konusu veriler 2. paragrafın (h) bendinde atıfta bulunulan amaçlara yönelik olarak işlenebilir.” Düzenlemesi ile aynı maddenin ikinci fıkrasının h bendinde yer alan “koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve 3. paragrafta atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması” istisnasına atıfta bulunulmuştur. Buna göre özel nitelikli kişisel veriler, üçüncü fıkrada bahsi geçen kişiler tarafından sadece ikinci fıkranın h bendindeki amaçlara yönelik olarak işlenebilir. [8]
Son olarak aynı maddenin dördüncü fıkrasında ise “Üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir.” Ifadesi ile kişisel verilerin işlenmesi ile ilgili olarak üye devletlerin tümünde uygulanacak olan asgari koşullar belirlenmiştir. Üye devletler, isterlerse bu asgari koşullara ek kurallar koyarak kişisel verilerin işlenmesi şartlarını daha katılaştırabilirler. Bu maddeyle ulaşılmak istenen asıl amaç üye devletlerin tümünde asgari bir veri işleme standartı belirleyerek üye devletler arasında veri akışını sağlamaktır.[9]
4.İlgili Kararlar
4.1. Kvkk, 05/12/2018 tarihli ve 2018/143 sayılı kararı ile sağlık verilerinin 6698 sayılı Kanun’un altınca maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü kişilere aktarımı hakkında bir karar yayımlamıştır. 6698 sayılı Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir. Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;
uKişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
uKişisel verilere hukuka aykırı olarak erişilmesini önlemek,
uKişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.
Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır. [10]
4.2.Aihm’in, 20837/92, 27/08/1997 sayılı M.S v. İsveç kararı, Mahkeme tarafından olayda özel yaşamın gizliliğine dair ihlal olmadığı yönünde karar verilmiş olması sebebiyle farklılık arz etmektedir. Bu davada başvurucu işyerinde yaşadığı bir kaza sonucunda çok ağır bel ağrıları oluştuğu gerekçesiyle tazminat davası açmıştır. Sosyal Sigortalar Kurumu başvurucunun tedavi görmüş olduğu klinikten başvurucunun tıbbi kayıtlarını istemiştir. Kliniğin gönderdiği raporda, başvurucunun bel ağrılarının kazadan önce geçirmiş olduğu bir rahatsızlıktan kaynaklandığı ve bu rahatsızlıktan dolayı kürtaj olmak zorunda kaldığı açıklanmıştır. Başvurucu, tıbbi kayıtlarının klinik tarafından Sosyal Sigortalar Kurumu’na gönderilmiş olmasının tıbbi verilerin gizliliğine yönelik bir müdahale oluşturduğunu ileri sürmüştür. Mahkeme söz konusu müdahalenin yasaya uygun olarak yapıldığı ve meşru bir amacının olduğu kanaatine varmıştır. Mahkemeye göre, tıbbi kayıtların gönderilmesinin nedeni, iş kazası yüzünden tazminat ödenmesinin koşullarının oluşup oluşmadığı sorununa açıklık getirmektir. Burada ülkenin ekonomik refahının korunması amacı gözetilmiştir. Bu kayıtlar olmaksızın Sosyal Sigortalar Kurumu’nun, başvurucunun tazminat talebinin haklı olup olmadığına karar vermesi çok zor olacaktır. Alınan önlem, izlenen meşru amaç ile orantılıdır. Bu nedenle özel yaşam hakkının ihlali söz konusu değildir. [11]
5.Sonuç
6698 sayılı Kanun ile GDPR arasında paralellikler bulunmaktadır. Nitekim 6698 sayılı Kanun, GDPR’dan sonra GDPR örnek alınarak düzenlenmiştir. Her iki kanun da sağlık verilerini özel nitelikli kişisel veri olarak düzenlemiştir.
GDPR’da yukarıda değinildiği üzere 9. Maddenin ikinci fıkrasının h bendindeki amaçlara yönelik olarak kimlerin kişisel veri işleyebileceği üçüncü fıkrada ele alınmıştır. 6698 sayılı Kanun’da ise 6. Maddenin üçüncü fıkrasında sağlık verilerinin açık rıza aranmaksızın işlenebileceği amaçlar veya işleyebilecek kişiler belirtilmiştir. Her ne kadar bu açıdan paralel bir düzenlemeden söz edilebilecek olsa da GDPR’ın üye devletleri daha serbest bıraktığını söyleyebiliriz. 6698 sayılı Kanun ise GDPR’a göre daha katı düzenlenmiş olup bunun bilinçli bir katılıktan öte özensizlikten kaynaklandığını söylemek isabetli olacaktır.
6698 sayılı Kanun’un 6. Maddesinin üçüncü fıkrası eleştirilere açık bir hükümdür. Daha önce de belirtildiği gibi Kanun’un 5. Maddesinde kişisel verilerin işlenme şartları düzenlenmiş ve istisnalarda kanunda açıkça öngörülme şartına yer verilmiştir. Kanun’un 6. Maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarında ise sağlık ve cinsel hayat ile diğer özel nitelikli kişisel veriler şeklinde bir ayrıma gidilmiş ve diğer olarak adlandırılan grup için “kanunda öngörülme şartı” aranmıştır. Oysaki aynı maddede özellikle belirtilen ve diğerlerinden ayrı tutulan sağlık verileri için kanunda açıkça öngörülme şartı hatta kanunda öngörülme şartı dahi aranmamıştır. Bu noktada çok açık bir çelişki olduğundan söz etmek yanlış olmayacaktır. Buradaki eksikliğin suistimal edilmesi Anayasamızın 20/3 ve 13. Maddelerindeki düzenlemelerle engellenmektedir.
Ülkemizde 6698 sayılı Kanun’un var olması ve vatandaşların farkındalıkların günden güne artması dahi sevindirici olmakla birlikte bahsi geçen boşlukların zamanla doldurulması ve çelişkiye yer bırakmayan bir yasal düzenlemenin ortaya çıkması amaçlanmalıdır. Böylece en önemli ve hassas varlıklarımız olan sağlık verilerimiz daha güvenle korunacaktır.
Bibliyografya
ATAK, Songül, Avrupa Konseyi’nin Kişisel Verileri Açısından Sağladığı Güvenceler, TBB Dergisi, Ankara, 2010, S. 87.
DEVELİOĞLU, Hüseyin Murat, 6698 Sayılı Kişisel Verilerin Kanunu ile Karşılaştırılmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, 1. Baskı, Ankara, 2018.
KÜZECİ, Elif, Kişisel Verilerin Korunması, 3. Baskı, Ankara, 2019.
ÖNGÜN AYÖZGER, Çiğdem, Kişisel Verilerin Korunması Hukuku, 2. Baskı, İstanbul, 2019.
Elektronik Kaynaklar
http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_ Tuzugu.pdf.
https://www.kvkk.gov.tr/Icerik/4110/2018-10.
https://www.kvkk.gov.tr/Icerik/5364/2018-143.
[2] https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/.