Yeni Gelişme

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ("Kişisel Sağlık Verileri Yönetmeliği") 20 Ekim 2016 tarihinde Sağlık Bakanlığı tarafından yayımlanmıştı. 24 Kasım 2017 tarihinde ise Yönetmelik'te yapılan değişiklikler yayımlandı.

Yönetmeliğin Arka Planı

Kişisel Sağlık Verileri Yönetmeliği, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") esas alınarak ikincil mevzuat olarak hazırlanmıştı. Sağlık Bakanlığı, Kanun uyarınca kişisel verilere ilişkin olarak uygulanan hükümler ve oluşturulan kurumları dikkate almaksızın çeşitli kurallar yayımlamış ve bu durum sağlık hizmet sunucuları için çelişkili uygulamalar doğurduğundan uygulamada sıkça eleştirilmişti.

Kişisel Sağlık Verileri Yönetmeliği hükümlerinin uygulanması bakımından, kişisel sağlık verilerinin kopyalanması ve kaydedilmesine yönelik sınırlayıcı hükümler ve verilerin merkezi sağlık veri sistemine aktarılması için belirli yazılımları kullanma zorunluluğu birtakım endişelere yol açmıştır. Sağlık hizmet sunucuları, bu tür sıkı kuralların kanundan doğan yükümlülüklerini yerine getirmelerini zorlaştıracağı ve ticari faaliyetlerini sekteye uğratacağını ifade etmişti.

Danıştay, 6 Temmuz 2017 tarihinde, Kişisel Verileri Koruma Kurumu'nun kişisel verilerin korunmasına ilişkin olarak genel düzenleme ve denetim yetkisini haiz olması ve tüm devlet kurumlarının kişisel verilere ilişkin ikincil mevzuat yayımlamadan önce Kişisel Verileri Koruma Kurumu'nun görüşünü alması gerektiğinden iki maddenin yürütülmesinin durdurulmasına karar vermişti.

Değişiklikler Ne Getiriyor?

Sağlık Bakanlığı, sağlık hizmet sunucularının tanımını "ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesisleri" olarak değiştirerek Kişisel Sağlık Verileri Yönetmeliği'nin kapsamını açıklığa kavuşturmuştur. Sağlık kurum ve kuruluşları 23 Ekim 2008 tarihli Tedavi Yardımına İlişkin Uygulama Tebliği'nin 2/2 maddesinde tanımlanmıştır. Buna göre, sağlık hizmet sunucuları; kamu ve özel hastaneleri, poliklinikler, tıp merkezleri, aile hekimleri, eğitim ve araştırma hastaneleri ve üniversite tıp fakültesi hastaneleri ve bunlarla sınırlı olmamak üzere çeşitli kuruluşları kapsamaktadır.

Kişisel verilerin işlenmesi, veri transferleri, bilgi güvenliği ve bildirim yükümlülükleri ile verilerin silinmesine ilişkin kurallar Kanun ile uyumlu hale getirilmiştir. Ayrıca, sağlık sektöründeki veri ihlalleri Kişisel Verileri Koruma Kurulu'na bildirilecektir.

Açık rıza için ıslak imza şartı kaldırılmış olup Kişisel Sağlık Verileri Yönetmeliği'nin açık rızaya ilişkin hükümleri Kanun'un bu konudaki hükümlerine atıfta bulunmaktadır.

Kişisel sağlık verisi daha detaylı bir şekilde tanımlanmış olup "gerçek kişilere ait fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi" ve "kişiye sunulan sağlık hizmetiyle ilgili bilgileri" kapsamaktadır. Danıştay tarafından yürütülmenin durdurulması kararı verilen ve kişisel sağlık verilerinin sağlık hizmeti sunucularının sistemleri ile Sağlık Bakanlığı tarafından kurulan sistemler dışında kopyalanması ve kaydedilmesini yasaklayan Madde 5(5)'te yapılan değişiklik ile verilerin kopyalanması ve kaydedilmesine ilişkin istisnalara "merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları" da eklenmiştir.

Kişisel Sağlık Verileri Komisyonu, Siber Güvenlik Ekibi, Ulusal Sağlık Veri Sözlüğü ve Bilgi Güvenliği Politikaları Yönergesi gibi kurum ve politikalar ilga edilmiştir. Ayrıca, Kişisel Sağlık Verileri Yönetmeliği'nin dayanak mevzuatının belirtildiği Madde 3'ün kapsamından Kanun çıkarılmıştır.

Kişisel Sağlık Verileri Yönetmeliği'nde hüküm bulunmayan haller için, ikincil mevzuata ek olarak Kişisel Verileri Koruma Kurumu'nun ilke kararlarına atıfta bulunmaktadır.

Kişisel Sağlık Verileri Yönetmeliği'nin tam metnine buradan ulaşabilirsiniz.

Sonuç

Sağlık hizmet sunucuları, kişisel veri işleme faaliyetlerini Kanun ve Kişisel Sağlık Verileri Yönetmeliği'ne uygun hale getirmek için gerekli adımları atmalıdır.