21 Haziran 2019 tarihli ve 30808 sayılı Resmi Gazete’de Kişisel Sağlık Verileri Hakkında Yönetmelik yayımlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca özel nitelik kişisel veriler arasında sayılan ve KVKK’da ayrı bir düzenlemeye tabi kılınan “sağlık verileri”, Sağlık Bakanlığı tarafından 20/10/2016 tarihli ve 29863 sayılı Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ile düzenlenmişti. Söz konusu düzenlemede zaman içerisinde değişiklikler yapılmış olup tartışmalar sonunda Danıştay Kararı ile ilgili yönetmelik hükümlerinin yürütmesinin durdurulmasına karar verilmiştir.

Sağlık Bakanlığı tarafından bugün yayınlanan Yönetmelik’in önceki düzenlemeye göre kapsamı daraltılmış ve KVKK, Kişisel Verileri Koruma Kurumu Kararları ve Rehberleri ile Avrupa Veri Koruma Tüzüğü (“GDPR”) düzenlemelerine paralel hükümler eklenmiştir. Yönetmelik ile getirilen yeni düzenlemeler ve değerlendirmelerimiz aşağıda yer almaktadır.

• KVKK hükümleri kapsamında, Sağlık Bakanlığı’nın merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektedir.

• Yönetmelik’in “Tanımlar” başlıklı 4. maddesinde; açık veri, açık sağlık verisi, kimliksizleştirme gibi yeni kavramlara yer verilmiştir. Açık veri; ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi; açık sağlık verisi ise açık veri haline getirilen sağlık verisini ifade etmektedir.

• Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek şekilde işlenmesini düzenleyen “kimliksizleştirme” kavramı ise GDPR’da tanımlanan “Pseudonymisation” yöntemini ifade etmektedir.

• Yönetmelik’in “Genel İlke ve Esaslar” başlıklı 5. maddesi, KVKK hükümleriyle paralel düzenlemeler içermektedir. Ayrıca Kişisel Verileri Koruma Kurulu’nun 21/12/2017 tarihli Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik ilke kararı, Yönetmelik maddesi olarak eklenmiştir. Buna göre Sağlık hizmeti sunucularının; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek şekilde gereken fiziki, teknik ve idari tedbirler alınması öngörülmüştür.

• Kişisel sağlık verilerine erişim ayrı bir başlık altında düzenlenmiştir. Yönetmelik’in 6. ve 11. maddeleri arasında sağlık personelinin verilere erişimi, Bakanlık birimlerinin verilere erişimi, çocukların sağlık verilerine erişim, sağlık verilerine hasta yakınlarının erişimi, sağlık verilerine avukatların erişimi, ölünün sağlık verilerine erişim ayrı ayrı düzenlenmiştir. Ayrıca vefat eden kişinin sağlık verilerinin en az 20 yıl saklanması öngörülmüştür.

• Kişisel sağlık verilerinin gizlenmesi ve kişisel sağlık verilerinin düzeltilmesi, kişisel sağlık verilerinin imha edilmesi, kişisel sağlık verilerinin aktarılması Yönetmelik’te ayrıntılı olarak düzenlenmiştir.

• Yönetmelik’in 16. maddesi, kişisel sağlık verilerini bilimsel amaçlarla işleyen kişilere yönelik bir düzenleme getirilmiştir. KVKK’nın madde 28/1-b hükmü uyarınca bu konu Kanun’un uygulanmayacağına yönelik bir istisna hali olarak düzenlenmiştir. Yönetmelik ise, kişisel sağlık verilerinin ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek suç teşkil etmemek kaydıyla alınacak idari ve teknik tedbirler çerçevesinde işlenebileceğini öngörmüştür. Sağlık verilerini bilimsel amaçlarla kullanan kişiler açısından bu hükmün olumlu yönde bir gelişme olduğu kanaatindeyiz.

• Sağlık sektöründe analiz, araştırma ve istatistik gibi faaliyetler yürüten şirketler bakımından olumlu bir gelişme olarak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla açık sağlık verisi internet sitesinde (sağlık bakanlığı tarafından bu konuya özel tahsis edilecek) yayınlanabilecektir.

• Yönetmelik’in 18. ve 20. maddelerinde veri güvenliğine ilişkin hükümler düzenlenmiştir. Teknik ve idari tedbirlerin alınmasında, Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınacağı hükme bağlanmıştır. Ayrıca Kişisel Verileri Koruma Kurulu’nun 21/12/2017 tarihli  “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere” ilişkin ilke kararına atıf yapmıştır.

Sonuç olarak Yönetmelik, KVKK ve ikincil mevzuat hükümleriyle mükerrer hükümler içerse de uygulamada bir bütünlük sağlanmıştır. Açık sağlık verisi ve kimliksizleştirme gibi düzenlemelerin, sağlık sektöründe yer alan ve bu alanda araştırmalar yapan şirketler bakımından olumlu yönde önemli bir gelişme olduğu düşüncesindeyiz.

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu