Türkiye Cumhuriyeti Sağlık Bakanlığı (“Bakanlık”), ilgili kişilerin kişisel sağlık verilerinin korunmasına, veri mahremiyetinin sağlanmasına, kişisel sağlık verilerinin işlenmesi, aktarılması ve bu verilere erişim için kurulacak, ilgili kişilerin kişisel sağlık verilerine dair erişim, değişiklik ve paylaşım yapmasına olanak sağlayan merkezi sisteme ilişkin usul ve esasları belirledi.

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (“Yönetmelik”), 20.10.2016 tarih ve 29863 sayılı Resmi Gazete’de yayımlanarak aynı tarihte yürürlüğe girdi.

Türkiye 7 Nisan 2016 tarih ve 28677 sayılı Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile 2016 yılı içindeki kişisel verilerin korunmasına yönelik bir çerçeve belirledi. Kanun’a ve uygulamasına ilişkin daha fazla bilgiye bu linkten ulaşılabilir. Kişisel sağlık verilerine ilişkin Yönetmelik de bu Kanun’a dayanılarak çıkarılmıştır.

Kanun ve Kişisel Verileri Korunma Kurulu ilkelerine uygun şekilde Sağlık Bakanlığı’nın kişisel verilerin korunmasına yönelik politikalarını belirlemek, aktarım talepleri, uyum ve ihtilafların çözümü de dahil olmak üzere kişisel sağlık verilerine ilişkin konuların takibi ve denetlenmesi amacıyla yetkili olmak üzere Kişisel Sağlık Verilerini Koruma Komisyonu (“Komisyon”) kurulacaktır.

Kişisel sağlık verilerinin işlenmesi usulü 

Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altında olacaktır.

İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir. Kanun’dan farklı olarak kişisel sağlık verilerinin işlenmesi için alınan açık rıza yazılı şekilde alınmalıdır.

Ancak, kişisel sağlık verileri;

  • kamu sağlığının korunması,
  • koruyucu hekimlik,
  • tıbbî teşhis,
  • tedavi ve bakım hizmetlerinin yürütülmesi,
  • sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

Kişisel sağlık verilerinin işlenmesinde genel ilkeler

Kişisel sağlık verilerinin işlenmesinde aşağıda sayılan başlıca ilkelere uyulması zorunludur:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve güncel olma (gerekli olması halinde),
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Sağlık hizmet sunucularında görevli kişiler ilgili kişinin kişisel sağlık verilerini ancak verilecek sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilecek ve erişilebileceklerdir.

Kişisel sağlık verilerinin anonimleştirilmesi ve silinmesi

Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilecek ve aktarılabilecektir.

Kanun’a ve Yönetmelik’e uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir. Silinen yahut anonim hale getirilen kişisel sağlık verileri; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde veri bütünlüğü bozulmadan arşivlenecektir. Arşivlenen verilere bu amaçlar dışında erişim engellenecektir. Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten on yıl sonra yerel veri tabanından silinebilecektir.

Kişisel sağlık verilerinin aktarılması 

Kişisel sağlık verileri aşağıdaki koşulların sağlanması halinde ilgili kamu kurum ve kuruluşlarına aktarılabilecektir:

  • Veri Koruma Kurulu tarafından belirlenen önlemlerin alınmış olması;
  • Söz konusu kamu kurum ve kuruluşları ile Bakanlık arasında kişisel sağlık verilerinin aktarılması ile ilgili olarak bir protokol bulunması;
  • Aktarımın ilgili kamu kurum ve kuruluşlarının kanunlarında açıkça öngörülmüş olması ve kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi veya sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerçekleştirilmesi.

Sayılanlar haricindeki amaçlarla veri aktarımı ancak verilerin anonim hale getirilmesi suretiyle yapılır.

Sayılanlar haricindeki aktarım talepleri ve kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep Kanun’da öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak oluşturulmasının ardından, kurulacak olan Kişisel Sağlık Verileri Komisyonu tarafından değerlendirilecektir.

İlgili kişinin hakları

İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde, verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilecektir. Ancak rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmayacaktır.

İsteyen her vatandaş kullanıcı hesabını e-devlet üzerinden oluşturulabileceği gibi, ilgili kişinin başvurusu üzerine aile hekimi tarafından da oluşturulabilecektir. Kullanıcı hesapları aşağıdaki amaçlar ile kullanılabilecektir:

  • kendisine sunulan sağlık hizmetlerini takip etmek,
  • kendisine ait sağlık kayıtlarını aşağıdaki kapsamda yönetmek:
    • verilerin kaldırılmasını talep etmek,
    • eksik bilgileri sisteme eklemek,
    • yanlış bilgilerin düzeltilmesini veya silinmesini talep etmek,
    • kullanıcı hesabını dondurmak.
  • sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek,
  • kişisel sağlık verilerine her yerden erişmek ve
  • bu verileri yetki verdiği üçüncü kişilerle paylaşmak.

Buna ek olarak, ilgili kişinin hakları Kanun kapsamında genel olarak aşağıdaki hususları da kapsayacak şekilde düzenlenmiştir:

  • Kişisel sağlık verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel sağlık verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel sağlık verilerine erişim ve bu verileri isteme,
  • Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel sağlık verilerin silinmesini veya yok edilmesini isteme,
  • İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • İhlal halinde tazminat talep etme.

Veri sorumlusunun yükümlülükleri 

Yönetmelik uyarınca, veri sorumlusu, gerekmesi hâlinde bulunduğu ilde görev yapan bilgi güvenliği yetkilisi ve Siber Olaylara Müdahale Ekibi yetkilisi ile işbirliği yapacaktır. Bu yükümlülük sadece kişisel sağlık verilerine münhasır olarak uygulanmaktadır.

Veri sorumlusunun yükümlülükleri ve veri güvenliğine ilişkin alması gereken önlemler Kanun ile paralel olarak aşağıdaki gibi düzenlenmiştir.

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin Yönetmeliğin 10. Maddesinde yer alan hakları

Ek olarak, veri sorumluları toplanan verilerin güvenliğini sağlamak kapsamında

  • Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel sağlık verilerinin muhafazasını sağlamak,
  • Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının önüne geçmek,

zorundadır.

Sağlık hizmet sunucularının yükümlülükleri

Yönetmelik kapsamında, “sağlık hizmeti sunucuları” sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişileri olarak tanımlanmıştır.

Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulu’nun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumlu olacaktır.

Kişisel Sağlık Verileri Komisyonu ve Sağlık Bilgi Sistemleri Genel Müdürlüğü 

Yönetmelik uyarınca Sağlık Bakanlığı Müsteşarına bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonu oluşturulacaktır. Bakanlık tarafından söz konusu Komisyon’un kurulması için bir süre öngörülmemiştir.

Komisyon toplam on üyeden oluşacak olup, kurulmasını takiben aşağıdaki konularda görev yapacaktır:

  • Bakanlık politikasının belirlenmesine yardımcı olmak,
  • görüş belirtmek,
  • anlaşmazlıkları çözümlemek,
  • veri aktarımına ilişkin başvuruları değerlendirmek,
  • şikayetleri incelemek ve
  • gerekli denetimleri yapmak.

Komisyon, kişisel sağlık verilerinin hukuka uygun olarak işlenmesi ve mahremiyetinin korunması için ilgili yerlerde denetim yapabilecektir.

Sağlık Bilgi Sistemleri Genel Müdürlüğü ise kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kuracak ve bu sistemin işleyişi ile ilgili düzenlemeleri yapacaktır.

Yönetmelik’e ilişkin metnin tamamına bu linkten ulaşabilirsiniz.