Kişisel sağlık verileri
KVK Kanunun ilgili maddeleri aşağıdaki gibidir:
Madde 6 –
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel verilerin korunması için neler yapılabilir?
Kişisel Verilerin Korunması Kanunu uyarınca, sağlık verileri, özel nitelikli kişisel veri olarak kabul edilmektedir.
Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Bununla birlikte, Kişisel Verilerin Korunması Kanunu‘nun 6’ncı maddesinin 2’inci fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmiştir.
Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak sağlık hizmeti sunanların kişisel sağlık verilerine erişimi ve bu verileri işlemesine dair Sağlık Bakanlığı tarafından “Kişisel Sağlık Verileri Hakkında Yönetmelik” hazırlanmıştır. 21 Haziran 2019 tarihinde Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında, sağlık verilerinin işlenmesine dair genel ilke ve esaslar, kişisel sağlık verilerine erişim, kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması, bilimsel amaçlarla sağlık verilerinin kullanılması ile kişisel sağlık verilerinin güvenliğinin sağlanması gibi konular düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinin 4’üncü fıkrasında, özel nitelikli kişisel verilerin işlenmesinde, veri sorumluları tarafından alınacak yeterli önlemlerin Kişisel Verileri Koruma Kurulu tarafından belirleneceği ifade edilmiştir.
Bu doğrultuda, Kişisel Verileri Koruma Kurulu tarafından alınan 31 Ocak 2018 tarihli ve 2018/10 sayılı karar ile sağlık verileri dahil olmak üzere özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler belirlenmiştir.
Bu önlemler kapsamında, özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir politika ve prosedüre, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlar ile işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara ilişkin alınacak ek tedbirlere ve özel nitelikli kişisel veriler aktarılacaksa dikkat edilecek hususlara yer verilmiştir.
Yukarıda belirtilen hukuki düzenlemelere rağmen, kişisel sağlık verilerinin işlenmesine dair uygulamada bazı sorunlar ortaya çıkmaktadır.
Örneğin, bir trafik kazasına şahit olan bir kişi, kaza ile ilgili olarak 112 Acil Çağrı Merkezini aradığında kendisinden kaza geçiren kişinin sağlık durumu ile ilgili bilgiler istenecek ve kaza geçiren kişinin bilincinin açık olup olmadığı, kanamasının olup olmadığı gibi sorular sorulabilecektir.
Böyle bir durumda, kazaya şahit olan kişi, kazayı geçiren kişinin bilinci yerinde değilse açık rızasını alamayacak ve kendisinin sır saklama yükümlülüğü altında bulunan kişilerden olmaması sebebiyle kaza geçiren kişinin sağlık verilerini kanunen işleyemeyecek ve 112 Acil Çağrı Merkezi tarafından istenen bilgilere cevap veremeyecektir.
Kişisel verilerinizi korumak için;
1. Düzenli olarak parolalarınızı değiştirin. Parolaları değiştirmek çok basit bit güvenlik önerisi gibi görünse de kişisel verilerin korunması adına en önemli adımlardan birini oluşturuyor. Özellikle online bankacılık hizmetlerinde ve sosyal medya hesaplarında kişilerin en çok zarar gördüğü noktayı, sürekli kullanılan basit şifreler oluşturuyor. Bu tür sorunlara karşı alınabilecek en önemli ve basit yöntemi, şifrelerinizi düzenli olarak değiştirmek oluşturuyor.
2. Sosyal medya hesap ayarlarını kontrol etmek gerekiyor. Kullanıcıların sosyal medya hesaplarını gizli tutması ve neyi, kiminle paylaştıklarını netleştirmek için gizlilik ayarlarını gözden geçirmeleri son derece önem arz ediyor. Hackerler, kullanıcılarla ilgili gizli verilere kolayca erişebilir ve bunları sahte online hesaplar oluşturmak veya kimlik avı saldırısı gerçekleştirmek için kullanabilir. Bu nedenle özel verilerinizi paylaşmayın, iki faktörlü kimlik doğrulamayı kullanın ve sosyal medya profil sayfanızda erişime sağladığınız bilgileri en aza indirin.
3. Herkese açık Wi-Fi hizmetlerini kullanırken dikkatli olun. Siber suçlular, verilerinizi çalmak adına sahte, ücretsiz Wi-Fi ağları kurarlar. Kablosuz ağ ayrıntılarını her zaman hizmeti aldığınız yerden doğrulayabilir ve böyle durumlarda VPN kullanarak kendinizi daha da koruma altına alabilirsiniz.
4. Basit güvenlik soruları kullanmayın. Özellikle şifrelerin unutulması durumunda kullanıcıya bilgi verilmesi veya şifresini yeniden sıfırlaması için kullanılan bu yöntem için daha karmaşık ve tahmin edilemeyecek cevaplar kullandığınızdan emin olun.
5. IP adresinizi gizleyin. IP adresleri kişisel olarak tanımlanabilir bilgileri içerir. Bu nedenle, online trafiğinizi hedefe ulaşmadan önce güvenli sunucular üzerinden yeniden yönlendirmek adına bir VPN üzerinden gerçekleştirebilirsiniz.
6. Cihaz seçiminde dikkatli olun. Herhangi hesaba kendi cihazınız üzerinden giriş yaptığınıza emin olun. Sosyal medya veya banka hesaplarına erişirken genel erişimli bilgisayarları kullanmaktan kaçının. Giriş bilgilerinizi veya kişisel verilerinizi çalabilecek kötü amaçlı yazılım bulaşmış olabilen genel kullanıma açık cihazlara dikkat edin.
7. HTTPS içeren web site adreslerini kullanın. Özellikle online alışveriş, kişisel verilerin web siteleriyle paylaşılmasıyla gerçekleşmektedir. Ancak kullanıcıların, HTTP bağlantılar üzerinden gönderilen verilerin şifrelenmediğini ve bu yüzden online alışveriş yapılan sitede HTTPS yoksa hackerlerin verileri çalabileceğini unutmamaları gerekiyor.
8. Oturumu kapatın. Web’deki herhangi bir hesaba eriştiğinizde ve işinizi bitirdiğinizde oturumu kapatmayı unutmayın. Kendi ağınıza sahip olmayan bir kablosuz ağ kullanıyorsanız, yaptığınız işi bitirdikten sonra cihazınızda mutlaka “Bu ağı unut.” seçeneğini seçin.
9. Kimlik avı dolandırıcılıklarına dikkat edin. Kullanıcıların yazım hatalarına, gereksiz eklere, garip selamlara, bulanık logolara, kendilerine aşina olmayan ve fark edilir derecede belirsiz içeriklere dikkat etmesi gerekiyor. Herhangi bir bağlantıyı veya düğmeyi tıklamadan önce URL’leri ön izlemeleri yaptığınızdan emin olun.
10. Güvenlik çözümüne sahip olun ve kullanın. Virüsten koruma yazılımınızın en son sürümüne sahip olduğuna dikkat edin. Bu, casus yazılım, Truva Atı, virüs ve diğer kötü amaçlı programların cihazınıza başarıyla saldırmasını önlemenize yardımcı olurken sizin de kişisel verilerinizi koruma altında tutacaktır.
Kişisel sağlık verileri nelerdir?
Sağlık verileri; 2002 Washington Dünya Hekimler Birliği Genel Kurulu’nda kabul edilen bildirgeye göre kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş tüm bilgilerdir. Kişinin yaşadığı sağlık sorunları, hekimi ile arasındaki ilişki, hastalığının ne olduğu, kullandığı ilaçlar, kendisine uygulanan tedaviler, vücut özellikleri, tahlil ve görüntüleme sonuçlarının yanı sıra kişinin genetik özellikleri, DNA’sı, parmak izi gibi biyometrik verileri; kişisel sağlık verileri olarak kabul edilmektedir.
Kişisel Sağlık Verilerinin İşlenmesi ve Dijital Ortamda Depolanması
Kişisel sağlık verilerinin korunması bakımından en sıkıntılı husus, sağlık verilerinin işlenmesidir.
Verilerinin işlenmesi; tedavinin sürekliliği, bilimsel ve istatistiksel değerlendirmeler aracılığıyla toplum sağlığına katkı sağlama ve hukuksal durumlarda belge işlevi taşıma gibi nedenlerle gerekli olsa dahi çok ciddi temel hak ve özgürlük ihlalleri doğurabilmektedir.
Buradaki sorun hangi verilerin, hangi amaçla, hangi süreyle, ne şekilde işleneceğine, nerede depolanacağına ve kimler ile paylaşılabileceğine ilişkindir.
KVKK’nın 6. maddesinde belirtildiği üzere; sağlık verileri özel nitelikli verilerdendir ve 6/3’teki özel düzenleme uyarınca cinsel hayata ilişkin veriler ile birlikte sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Sağlık verilerinin özellikle dijital ortamda depolanması elbette bazı konularda yarar sağlamaktadır.
Bunlar; hasta tedavi ve bakımının iyileştirilmesi, acil durumlarda hasta bilgilerine hızlı ulaşım, tetkiklerin tekrarından kaçınma ve zamandan kazanma, yasal bilgi ve belge oluşturmada kolaylık olarak sıralanabilir.
Ancak sağlık verilerinin dijital ortamda depolanmasının birçok olumsuz yanı da bulunmaktadır. Hasta mahremiyetinin ortadan kalkması ve kişilerin maddi, manevi ve sosyal yönden zarar görmesi bunlardan en önemlileridir.
Bunun sonucunda kişilerin haksız ve ayrımcı işlemlere tabi tutulabilmesi, kişilere ait özel bilgilerin izinsiz ifşa edilebilmesi, verilerde izinsiz değişimlerin yapılabilmesi, hastanın bilgilerini saklaması ve tedavinin bu durumdan etkilenmesi gibi durumlar ortaya çıkabilmektedir.
Toplanan verilerin metalaştırılarak alınıp, satılabilir hale gelmesi ve amaç dışı kullanılması da en büyük tehlikelerden biridir.
6223 Sayılı Kamu Hizmetlerinin Düzenli, Etkin Ve Verimli Bir Şekilde Yürütülmesini Sağlamak Üzere Kamu Kurum Ve Kuruluşlarının Teşkilat, Görev Ve Yetkileri İle Kamu Görevlilerine İlişkin Konularda Yetki Kanunu
6223 sayılı Yetki Kanunu, 06.04.2011 tarihinde kabul edilmiş olup, 03.05.2011 tarihli ve 27923 sayılı Resmi Gazete’de yayımlanmıştır.
Yetki kanununun “Amaç ve kapsam” başlıklı 1. maddesinin 1. fırkasında belirtildiği üzere, kanunun amacı kamu hizmetlerinin düzenli, süratli, etkin, verimli ve ekonomik bir şekilde yürütülmesini sağlamaktır.
Bu amaçla, maddenin 2. fıkrasının (a) bendinde 19 alt bent halinde sayılan kamu kurum ve kuruluşlarına ilişkin kamu hizmetlerinin bakanlıklar arasındaki dağılımının belirlenmesi öngörülmüştür. 2. fıkranın (a) bendinin (20) numaralı alt bendinde ise 19 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarının da bünyesinde değişiklikler yapılabileceğine ilişkin düzenleme yer almaktadır. 2. fıkranın (b) bendinde 6 alt bent halinde sayılan kamu kurum ve kuruluşlarında istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılması öngörülmüştür.
Yine, 2. fıkranın (b) bendinin (7) numaralı alt bendinde 6 alt bent halinde sayılan kamu kurum ve kuruluşları dışındaki kamu kurum ve kuruluşlarda istihdam edilen kişilerin nakil, görevlendirme, seçilme, terfi, yükselme, görevden alınma ve emekliye sevk edilme usul ve esaslarına ilişkin değişiklik yapılabileceğine dair düzenleme yer almaktadır.
Yetki Kanunu’nda sayılmayan ancak “Diğer kamu kurum ve kuruluşları” olarak belirtilen kurumların yapısında ve bu kurumlarda istihdam edilen kişilere ilişkin konularda değişiklik yapma yetkisinin verilmesi nedeniyle; Yetki Kanunu’nun 1. ve 2. maddelerinin, Anayasa’nın 2., 7., 87. ve 91. maddelerine aykırılığı savıyla ana muhalefet partisi milletvekilleri tarafından düzenlemenin iptali ve yürürlüğünün durdurulması istemi ile Anayasa Mahkemesi’ne başvurulmuştur.
Kanunun Anayasa’ya aykırılığı hususunda Anayasa Mahkemesi’nin bazı yargıçlarının karşı oyunda belirtildiği üzere, kanun hükmünde kararnamelerin çıkarılması için verilen yetkinin; amaç, kapsam ve ilkelerinin belirlenmesi ve bu yetki ile Bakanlar Kurulu’nun çıkaracağı kanun hükmünde kararname ile neleri gerçekleştirebileceğinin açıklığa kavuşturulması gerekmektedir.
Ancak 6223 sayılı Yetki Kanunu, Bakanlar Kurulu’na verilen yetkiyi somutlaştırmamıştır ve yetkinin çerçevesi çizilmemiştir.
Tam aksine, verilen yetki yasama yetkisinin devri anlamına gelecek şekilde genelleştirilmiştir.
Bu hususlar göz önünde bulundurularak söz konusu yetki kanununun Anayasa’ya aykırılığı nedeniyle iptaline karar verilmesi gerekirken oy çokluğu ile istem reddedilerek temel hak ve özgürlükleri daraltacak şekilde düzenleme yapılmasının önü açılmıştır.
663 Sayılı Sağlık Bakanlığı Ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname
6223 sayılı Yetki Kanunu’na dayanılarak çıkartılan 663 sayılı KHK, 11.10.2011 tarihinde kabul edilerek 02.11.2011 tarihli, 28103 sayılı Resmi Gazete’de yayımlanmıştır.
Ayrıntılı olarak bahsedildiği üzere, söz konusu KHK ile 6223 sayılı Yetki Kanunu’nda sayılmayan kamu kurum ve kuruluşlarından biri olan Sağlık Bakanlığı’nın yapısında değişiklikler yapılmıştır.
KHK’nın amacı, 1. maddenin 1. fıkrasında belirtildiği gibi Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektir.
Kişisel sağlık verileri, KHK’nın “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 47. maddesinde düzenlenmiştir.
Anamuhalefet partisinin 118 milletvekili tarafından 47. madde de dahil olmak üzere 663 sayılı KHK’nın, Anayasa’nın birçok maddesine aykırı olduğu iddiasıyla yürürlüğünün durdurulması ve iptali istemiyle dava açılmıştır.
Anayasa Mahkemesi tarafından ilk olarak KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının 6223 sayılı Yetki Kanunu’nun kapsamında olup olmadığı incelenmiştir.
Anayasa Mahkemesi; 2011/150 E., 2013/30 K. ve 14.02.2013 tarihli kararı ile Anayasa’nın “Kanun Hükmünde Kararname Çıkarma Yetkisi Verme” başlıklı 91/1 maddesine atıf yaparak temel hak ve özgürlüklerin sıkıyönetim ve olağanüstü haller dışında kanun hükmünde kararname ile düzenlenemeyeceğini ve 663 sayılı KHK’nın 47. maddesi ile Anayasa’nın “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünün 20. maddesinde yer alan özel hayatın gizliliği ve kişisel verilerin korunması haklarına ilişkin düzenleme yapılmasının 91. maddeye aykırı olduğunu tespit etmiştir.
KHK’nın 47. maddesini içerik yönünden ise 1., 2. ve 3. fıkralar, Anayasa 91/1 uyarınca Anayasa’ya aykırı bulunarak iptal edildiğinden incelememiştir.
Maddenin 4. ve 5. fıkralarına ilişkin iptal istemini ise ileri sürülen iddiaların sadece 1., 2. ve 3. fıkraları kapsaması, anılan fıkralarda düzenlenen hususların ise istihdam edilen sağlık personelinin kurumsal kimliğiyle ilgili bilgilerin ve sağlık personeli hareketlerinin toplanmasına ilişkin olması ve bu nedenle Anayasa’nın 17. ve 20. maddeleriyle ilgisinin bulunmaması nedeniyle reddetmiştir.
Anayasa Mahkemesi tarafından 47. maddenin 1., 2. ve 3. fıkralarının, Anayasa’nın 91. maddesine aykırılığı nedeniyle iptal edilmesine ilişkin karar verilmesine rağmen, Mahkeme tarafından içerik ile ilgili bir incelemenin yapılmaması isabetli olmamıştır.
6223 sayılı Yetki Kanunu’nun iptal edilmemesi sonucunda bu yetki kanununa dayanılarak 663 sayılı KHK’nın çıkarılmasına benzer şekilde, 663 sayılı KHK’nın 47. maddesinin içerik olarak Anayasa’ya aykırılığının incelenmemesinin sonucunda Anayasa Mahkemesi tarafından iptal edilen düzenleme, hiçbir değişiklik yapılmaksızın bu sefer bir torba kanun ile getirilmek istenmiştir.
6495 Sayılı Bazı Kanun Ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun
TBMM’de 12.7.2013 tarihinde kabul edilerek ve 02.08.2013 tarihli, 28726 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6495 sayılı Kanun’un 73. maddesinin 1. fıkrasının (h) bendinin 3 numaralı alt bendi ile 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları aynen düzenlenmiştir.
Anayasa Mahkemesi tarafından iptal edilen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkraları, bu sefer bir kanun ile getirilmiş görünmek ile birlikte, esasında 6495 sayılı Kanun’un 73. maddesi yine 663 sayılı KHK’nın 47. maddesinde değişiklik yapmaktadır.
Görünüşte kanun ile yapılan düzenleme; yine kanun hükmünde kararnamede değişiklik meydana getirdiğinden, temel hak ve özgürlüklerin kanun hükmünde kararname ile düzenlenemeyeceğine ilişkin Anayasa’ya aykırılık hususu giderilmemiştir.
Söz konusu torba kanunun birçok maddesine karşı, ana muhalefet partisinin 128 milletvekili tarafından kanunun Anayasa’ya aykırı olduğundan bahisle, iptal ve yürürlüğün durdurulması istemiyle dava açılmıştır.
Kişisel sağlık verilerine ilişkin iptal isteminin gerekçesi ise; Sağlık Bakanlığı ve bağlı kuruluşlarına kişisel verileri toplama, saklama, işleme ve paylaşma yetkisinin verilmesinin özel hayatın gizliliği ve kişisel verilerin korunması haklarının özüne müdahale etmesi ve bu hakları ölçüsüzce sınırlandırılması sonucunu doğurması nedeniyle Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğudur.
Anayasa Mahkemesi, 16.07.2015 tarihli ve 29418 sayılı Resmi Gazete’de yayımlanan 2013/114 E., 2014/184 K. ve 4.12.2014 tarihli kararı ile 6495 sayılı Kanun’un 73. maddesinin atfıyla aynen düzenlenen 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarını bu kez içerik bakımından incelemiştir.
Mahkeme, 47/1’de anılan sınırlamayla, kişilerin her türlü kişisel bilgilerinin değil, sadece sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları bilgilerin toplanması, işlenmesi ve paylaşılması yetkisi verilmesi nedeniyle bu sınırlamanın özel hayatın ve kişisel verilerin korunması haklarını bütünüyle ortadan kaldırmadığına veya ciddi surette güçleştirip amacına ulaşmasına engel olmadığına karar vermiştir.
Ancak, kişisel bilgilerin “her türlü vasıtayla” toplanmasına, işlenmesine ve paylaşılmasına izin verilmesinin sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin gizliliğinin keyfi şekilde ihlal edilmesi sonucunu doğurabilecek bir araca dönüştürdüğünü belirtmiştir.
Bu hususun ise sınırlama aracıyla sınırlama amacı arasında bulunması gereken makul dengeyi bozduğunu, özel hayatın ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanındığını tespit etmiştir.
47/2’deki düzenleme ile 47/1’de belirtilen yöntemlerle toplanan ve işlenen kişisel verilerin ilgili üçüncü kişiler ile kamu kurum ve kuruluşlarıyla paylaşılması öngörüldüğünden Mahkeme, aynı gerekçelerle bu düzenlemenin de ölçülülük ilkesini ihlal ettiğini belirtmektedir.
47/3’teki düzenlemeye ilişkin olarak ise Anayasa Mahkemesi, Sağlık Bakanlığı ve bağlı kuruluşlarına verilen görevlerin çok geniş bir alanı kapsamakta olduğuna ve bu görevlerin tamamının kişilerin özel hayatlarına müdahale edilmesini gerektirecek bir toplumsal zorunluluğu bünyesinde barındırmadığına karar vermiştir.
Dava konusu kuralla sadece demokratik toplum düzeni yönünden zorunlu olan sınırlamalara değil, özel hayatın ve kişisel verilerin korunması haklarına yapılabilecek her türlü sınırlamaya izin verilmesinin kuralda anılan haklara sınırlama getirilirken sınırlama aracının sınırlama amacına uygun ve orantılı olarak kullanılmasını temin edecek güvencelere yer verilmemesinin ölçülülük ilkesine aykırı düştüğünü belirmiştir.
Anayasa Mahkemesi, belirtilen gerekçe ile dava konusu kuralların Anayasa’nın “Cumhuriyetin nitelikleri” başlıklı 2., “Temel hak ve hürriyetlerin sınırlandırılması” başlıklı 13. ve “Özel hayatın gizliliği” başlıklı 20. maddelerine aykırı olması nedeniyle iptal edilmesine karar vermiştir.
Aynı zamanda, iptal hükmünün kararın Resmi Gazete’de yayımlanmasından başlayarak 6 ay sonra yürürlüğe girecek olması nedeniyle, 663 sayılı KHK’nın 47. maddesinin 1., 2. ve 3. fıkralarının; bu fıkraların uygulanmalarından doğacak, sonradan giderilmesi güç veya olanaksız durum ve zararların önlenmesi ve iptal kararının sonuçsuz kalmaması için yürürlüklerinin durdurulmasına oy çokluğu ile karar vermiştir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel sağlık verilerine ilişkin nihai düzenleme, 24.03.2016 tarihinde kabul edilerek 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kanun’un 30. maddesi ile yapılmıştır. “Değiştirilen ve eklenen hükümler” başlıklı 30. maddenin 7. fıkrası ise yine 663 sayılı KHK’nın 47. maddesine atıf yapmaktadır.
Maddenin son hali 6 fıkradan oluşmakta olup, ilk fıkrasında kişisel verilerin işlenebileceğine dair genel düzenleme yer almaktadır. Verilerin işlenmesi hususunda eski düzenlemede, bakanlık ve bağlı kuruluşlarının mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için sağlık verilerinin işlenebileceği öngörülmüşken; maddenin son halinde, bu muğlak ve geniş halleri kapsayan ifadelere yer verilmeksizin maddenin 2. fıkrasında verilerin, “sağlık hizmetinin verilmesi”, “kamu sağlığının korunması”, “koruyucu hekimlik”, “tıbbi teşhis”, “tedavi ve bakım hizmetlerinin yürütülmesi” ile “sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması” amaçlarıyla işlenebileceği belirtilmiştir.
Bu düzenlemenin 6698 sayılı Kanun’un 6/3 düzenlemesiyle paralel şekilde yapıldığı görülmektedir. 2. fıkrada ise verilerin aktarılmasına ilişkin olarak 6698 sayılı Kanun’da öngörülen şartlara atıf yapılmıştır ve bu haller dışında verilerin aktarılamayacağı düzenlenmiştir.
Kanun’un “Kişisel verilerin aktarılması” başlıklı 8. maddesi ise yine 6/3’e atıf yapmaktadır ve sağlık verilerinin aktarılması için de kişisel verilerin açık rıza olmadan işlenmesine ilişkin hallerin geçerli olduğu belirtilmiştir. Maddenin 3. fıkrasında, 2. fıkra gereğince toplanan ve işlenen kişisel verilere ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistemin Bakanlıkça kurulacağından bahsedilmektedir.
4. fıkrada ise 3. fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulu’nun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği ve kayıtlı bilgilerin ne amaçla kullanıldığının denetlenmesine ilişkin kurulacak güvenlik sistemleri düzenlenmiştir. 5. fıkrada sağlık personeli istihdam eden tüm sağlık hizmeti veren kuruluşların bu personelleri ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğundan bahsedilmiştir.
Maddenin son fıkrasında ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğine yer verilmiştir.
Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik
Söz konusu yönetmelik, 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 1. maddede yönetmeliğin amacı belirtilmiş olup amaç özetle; verilerin korunması ve veri mahremiyetinin sağlanması, kişisel sağlık verilerinin işlenmesi, aktarılması ve verilere erişim için kurulacak sistemlerin belirlenmesi, sistemlerin güvenliği ve denetimi ile ilgili usul ve esasların düzenlenmesidir.
Tüm Eczacı İşverenler Sendikası ve Türk Dermatoloji Derneği ile Türk Psikiyatri Derneği tarafından ilgili yönetmeliğin yürütmesinin durdurulması ve iptali talebi ile Danıştay’da dava açılmıştır. Yönetmeliğin; 6698 sayılı Kanun’un 6/3 ve 6/4 maddelerine, 663 sayılı KHK’nın 47., AY’nin 2., 17., 20., 56. ve 108 sayılı Sözleşme’nin 10/2 maddesine ve BİYOTIP Sözleşmesi’ne aykırılık nedeniyle 90. maddelerine aykırı olduğu iddia edilmiştir.
İstemin gerekçeleri ise; 6698 sayılı Kanun’un 22. maddesinin (ç) ve (h) bentleri gereğince Kişisel Verileri Koruma Kurulu’nun görevleri ve yetkileri arasında yer alan özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemlerin belirlenmesi ve kişisel verileri içeren mevzuat taslakları hazırlanırken görüş bildirme şartlarının yerine getirilmemesi, 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme”ye aykırı olarak özel hayatın korunmasının özünü zedeleyecek şekilde verilerin işlenmesine ilişkin hallerin geniş tutulması, neredeyse istisna bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenerek kamu kurum ve kuruluşları arasında paylaştırılması, sağlık verilerinin korunma yönteminin, esaslarının, kapsamının belli olmaması ve idareye ucu açık, çerçevesi belli olmayan bir yetki alanı tanınmasıdır.
Danıştay 15. Dairesi’nin 2016/10488 ve 2016/10500 E. sayılı, 06.07.2017 tarihli kararı ile yönetmeliğin yürütmesinin durdurulmasına karar verilmiştir.
Söz konusu kararında Danıştay; kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmenin, Kanun’un 22. maddesinin 1. fıkrasının (h) bendinde düzenlendiği gibi Kişisel Verileri Koruma Kurulu’nun görevleri arasında olduğunu belirtmiştir.
Yine Kanun’un 6. maddesinin 4. fıkrasında özel nitelikli verilerin işlenmesinde Kurul tarafından belirtilen önlemlerin alınmasının şart olduğuna ilişkin hükme atıf yapmıştır. Kanun’un Geçici 1. maddesinin 1. fıkrasına göre Kanun’un Resmi Gazete’de yayımlandığı 07.04.2016 tarihinden itibaren 6 ay içinde, Kurul’un üyelerinin seçiminin tamamlanması gerekirken bu zorunluluğun 30.01.2017’de yerine getirildiğini, iptali istenen yönetmeliğin tarihi olan 20.10.2016’da henüz Kurul’un oluşturulmadığını ve 6/4’teki yeterli önlemler belirlenmeden, 22/1 (h)’deki kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan yönetmelik düzenlediğini tespit etmiştir.
Danıştay 15. Dairesi, Kurul’un denetim yetkisinin genel nitelikte olduğu ve Kurul’dan görüş alınmaması nedeniyle Kurul’un denetim ve kontrol yetkisinden geçmeyen yönetmeliğin mevzuata ve hukuka aykırı olduğu gerekçesiyle Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in yürütmesinin durdurulmasına karar vermiştir.
Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına İlişkin Yönetmelik
Söz konusu yönetmelik, 24.11.2017 tarihinde 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Burada ilginç olan husus ise yürütmesi 06.07.2017 tarihinde durdurulan yönetmelikte değişik yapılmasıdır. İdari işlemler ve idare tarafından yapılan genel düzenleyici işlemler; idari yargı organları tarafından yürütmeleri durduruluncaya veya iptal edilinciye karar hukuka uygunluk karinesinden yararlanırlar.
Ancak yürütmesinin durdurulmasına karar verilen bir yönetmelikte değişiklik yapılması idarenin hukuka uygun davranma bilincinin olmadığını ve bu düzenlemenin yapılması hususunda ne kadar ısrarcı olduğunu göstermektedir. İşbu yönetmelik ile yapılan değişikliklerin başlıcaları, Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik maddeleri açıklanırken ayrıntılı şekilde aktarılacaktır.
