Kişisel Sağlık Verilerinin Korunması ve COVID-19 Süreci
Giriş
Kişisel verilerin korunması alanında son yıllarda hem ulusal hem de uluslararası alanda ciddi bir kanunlaştırma hareketi gözlemlenmektedir. Önceden sadece özel hayatın bir parçası olarak değerlendirilen kişisel veriler artık başlı başına korunmaya değer bir hukuksal değer olarak görülmektedir. Bunun bir sonucu olarak da kişisel verilerin korunması için kanunlar yapılmakta, ülkeler bu konuda hazırlanan uluslararası metinleri takip etmektedirler.
Kişisel veriler içerisinde her kişisel veri aynı şekilde korunmamaktadır. Hassas yahut özel nitelikli kişisel veri olarak adlandırılan bir grup kişisel veri vardır ki bunlar diğer kişisel verilerden daha sıkı şekilde korunmaktadır. Kişisel sağlık verileri de bu gruba dahildir.
Bir süredir yaşanmakta olan pandemi sürecinde kişisel sağlık verilerinin korunması konusu daha da ön plana çıkmaktadır. Zira oldukça kolay bulaşan bir hastalıkla mücadelede kişilerin sadece sağlık durumlarına ilişkin verilerin işlenmesi yeterli olmamaktadır. Kişilerin kimlerle temas ettikleri, nerelerde bulundukları gibi daha geniş alana yayılan başka pek çok bilginin işlenmesi gerekmektedir. Bu izleme de çok zaman bir takım uygulamalarla yapılmakta böylece hukuki tartışmalara teknik tartışmalar/sorunlar da eklenmektedir.
Yukarıda ifade edilen hususlar çerçevesinde bu çalışmada öncelikle kişisel sağlık verilerinin korunmasına ilişkin uluslararası zeminden söz edilecek ve mevcut süreçteki bazı tartışmalara değinilecektir. Ardından hukukumuzda kişisel sağlık verilerinin korunmasından söz edilecektir. Bu kısımda ağırlıklı olarak son derece yeni bir hukuki düzenleme olan Kişisel Sağlık Verileri Hakkında Yönetmelik esas alınacaktır. Son olarak kişisel sağlık verilerinin güvenliğinin ihlal edilmesinden kaynaklanan sorumluluktan kısaca söz edilecektir.
I. Kişisel Sağlık Verisi Kavramı
Kişisel sağlık verileri kişisel verilerin korunması hukuku içinde başlı başına bir alan işgal eder. Hatta sadece kişisel sağlık verilerine özgü hukuki düzenlemeler söz konusudur. Sağlık mesleği mensuplarının sır saklama yükümlülüğü ile birlikte düşünüldüğünde kişisel sağlık verilerinin korunmasına gösterilen özen daha anlaşılabilir hale gelmektedir. Zira hasta ile sağlık mesleği mensubu ve özellikle de hekim arasında güven ilişkisinin kurulamaması tanı ve tedavi sürecinin gerektiği gibi ilerlemesine engel olacaktır. Hatta bu güven ilişkisinin kurulamaması halinde pek çok kişi sağlık hizmeti almak için bir sağlık kuruluşuna yahut hekime başvurmayacaktır. Öte yandan kişisel sağlık verilerinden yola çıkarak o kişi hakkında pek çok başka şey öğrenmek mümkündür. Kişisel sağlık verileri ve bunlara bağlı olarak öğrenilen bazı bilgiler çok zaman kişinin ayrımcılığa uğraması sonucunu da doğurabilir. Konuya aşağıda tekrar dönülecek olmakla birlikte tüm bu nedenlerle kişisel sağlık verilerinin ayrıca korunmasının esas olduğunu bir defa daha ifade edelim.
Kişisel sağlık verilerinin neden ayrıca korunduğunu ifade ettikten sonra bu korumanın kapsamını belirlemek için kişisel sağlık verisinin ne olduğu üzerinde durmak ve sınırlarını belirlemek gerekecektir.
Sözü edilen verileri ifade etmek üzere sağlık verisi, tıbbi veri, kişisel sağlık verisi gibi kavramlar kullanılmaktadır.
Sağlık verisi, bireyin hastalık ve sağlık durumuyla ilgili her türlü veri olarak tanımlanmaktadır[1]. Tıbbi veri ise sağlık mesleğine mensup çalışanlarca öğrenilip, işlenebilen, kişilerin sağlık ve hastalık durumuna ilişkin verilerdir[2].
Görüldüğü üzere sağlık verisi ve tıbbi veri kavramları birbirlerine son derece benzer şekilde tanımlanmaktadırlar. Tıbbi veri tanımı sadece veriyi elde edecek kişi bakımından bir belirlilik getirmiştir.
Öncelikle ifade etmek gerekir ki sağlık verisi tanımı sadece bir durumdan yola çıkmaktadır. Oysa sağlık yahut hastalık durumunun belirlenmesine kadar geçecek tanı ve hatta tedavi safhasına ilişkin veriler konusunda tanımda bir açıklık bulunmamaktadır. Tıbbi veri tanımı bakımından da aynı durum söz konusu olmakla birlikte veriyi elde edecek kişiye ilişkin olarak yapılan sınırlama da kanımızca yerinde değildir. Zira sağlık mesleği mensubu olmayan sigorta şirketleri gibi tüzel kişiler de bu tür verileri elde edebilmektedirler. Kaldı ki kişinin yakınlarına karşı bile bu tür verilerin korunması gerekir. Bu durumda kanaatimizce tanımı sağlık mesleği mensuplarından yola çıkarak sınırlamamak gerekir.
Konuya mevzuat çerçevesinden bakıldığında mevzuatımızda konuya ilişkin en yeni tarihli ve tek münhasır düzenleme olan Kişisel Sağlık Verileri Hakkında Yönetmelik’ten söz etmek gerekir[3]. Yönetmelik “kişisel sağlık verisi” terimini benimsemiş ve m. 4/1-j’de kişisel sağlık verisini şu şekilde tanımlamıştır:
“Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri”
Yönetmelikteki tanım oldukça kapsayıcıdır. Dolayısıyla bir gerçek kişinin sağlık kurumuna şahsen yahut internet ortamında yaptığı başvurudan itibaren hakkında bizzat hekim tarafından yahut sağlık kuruluşu tarafından tutulan tüm kayıtlar kişisel sağlık verisidir. Bu kayıtların sadece teşhis ve tedavi ile ilgili olması gerekmez. Hastanın öyküsü, yapılan tahliller, hastaya ilişkin biyometrik veriler de kişisel veri teşkil eder[4].
Yönetmelikte yer alan tanımın kapsayıcılığı ve artık bir mevzuat hükmüyle somutlaşmış olması karşısında biz de bu tanımı benimsemekteyiz. Aynı şekilde terim olarak da kişisel sağlık verisi terimini kullanacağız. Zira burada korunan veriler genel olarak sağlık hizmetlerinin yürütülmesine ilişkin istatistiki veriler değil; bilakis bireylerin sağlık verileridir.
Son olarak ifade edilmelidir ki; bir verinin kişisel sağlık verisi olup olmaması noktasında verinin ne şekilde elde edildiği yahut depolandığı önem taşımaz. Hastaya ilişkin veriler elektronik ortamda ulusal bir ağda, bir sağlık kuruluşu bünyesinde depolanmış olabilir. Aynı şekilde hekimin kendisi için tuttuğu kayıtlar da kişisel sağlık verisi teşkil eder.
II. Kişisel Sağlık Verilerinin Hukuki Niteliği
Bilindiği ve bu çalışmanın ilerleyen kısımlarında da ayrıntılı biçimde ele alınacağı üzere kişisel sağlık verileri diğer pek çok kişisel veri türünün aksine kendine özgü bir mevzuatla koruma altına alınmıştır. Bunun nedeni sağlık verilerinin hassas veriler olmasıdır. Yukarıda da belirtildiği üzere bir kimsenin sağlık verilerinden yola çıkarak o kişi hakkında pek çok başka bilgiye erişmek mümkün olduğu gibi; sağlık verileri çok zaman kişilerin ayrımcılığa uğramasına da neden olabilir[5]. İşte bu nedenle kişisel sağlık verileri de kendine özgü bir mevzuat çerçevesinde ve diğer verilerden daha sıkı şekilde korunmaktadır.
Kişisel sağlık verilerinin hassas nitelikli olduğu kişisel verilerin korunmasına ilişkin uluslararası düzenlemelerde de ifade edilmiştir.
108 no’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi m. 6. Özel Veri Kategorileri başlığını taşımaktadır. Maddenin içeriği ise şu şekildedir:
“İç hukukta güvenceler sağlanmadıkça, ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel veriler otomatik işleme tabi tutulamaz.”
Yine 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü m. 9’da şu düzenleme yer almaktadır:
“Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.”
Hukukumuzda da kişisel sağlık verilerinin hassas niteliğine dikkat çeken hükümler mevcuttur. Bunlardan ilki Kişisel Verileri Koruma Kanunu’nda yer almaktadır. KVKK bu verileri ifade etmek üzere özel nitelikli veri kavramını tercih etmiş ve m. 6/1’de şu tanıma yer vermiştir:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”
Kişisel sağlık verilerinin hassas nitelikli veriler olması sadece kategorik bir anlam taşımaz. KVKK m. 6 bu verilerin işlenmesi bakımından özel bir düzenleme getirmiştir. Kural bu verilerin açık rıza olmaksızın işlenememesidir. Öte yandan sağlık ve cinsel hayata ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli verilere ilişkin olarak kanun Kurul’a bir yükümlülük yüklemiş ve Kurul’un alınacak önlemleri belirtmeye yetkili olduğunu ifade etmiştir. Bu doğrultuda Kişisel Verileri Koruma Kurul tarafından 31.01.2018 tarihli ve 2018/10 sayılı karar 07.03.2018 tarihli ve 30353 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” yayımlanmıştır.
Kişisel verileri ceza hukuku yoluyla korumayı amaçlayan TCK m. 135’te de sağlık verilerin özelliği dikkate alınarak bu verilere karşı işlenen suçların daha ağır cezalandırılması öngörülmüştür. TCK m. 135/2’ye göre:
“Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır”
Görüldüğü üzere hem ulusal hem de uluslararası mevzuat bakımından kişisel sağlık verileri hassas nitelikli verilerdir.
III. Kişisel Sağlık Verilerinin Korunmasına İlişkin Uluslararası Düzenlemeler
A. Genel Olarak
Kişisel sağlık verilerinin korunması tıpkı diğer kişisel verilerin korunması gibi uluslararası metinlere de konu olmuştur. Hekimle hasta arasındaki sır saklama yükümlülüğü ve güven ilişkisi de dikkate alındığında tıp mesleğine ilişkin pek çok uluslararası dokümanda konumuza ilişkin düzenleme bulunması şaşırtıcı değildir.
Uluslararası düzenleme olarak ilk önce Hekimlik Andı’ndan söz etmek gerekir. Dünya Tabipler Birliği Cenevre Bildirgesi’nde yer alan bu andın konumuzla ilgili kısmı şu şekildedir[6]:
“Hastamın bana açtığı sırları, yaşamını yitirdikten sonra bile gizli tutacağıma .. ant içerim.’’
Kişisel sağlık verilerinin korunmasına ilişkin diğer bazı uluslararası düzenlemeler şunlardır:
- Lizbon-Bali Bildirgeleri[7]: Bildirgenin 4. maddesi şu şekildedir:
“Hasta, kendisiyle ilgili tüm tıbbi ve kişisel bilgilerin gizliliğine gereken saygıyı göstermesini hekiminden bekleme hakkına sahiptir."
Lizbon Bildirgesi bir süre sonra yeni düzenlemeler de eklenerek Bali Bildirgesi’ne dönüşmüştür. Bali Bildirgesi de 8. maddesi konuyu şu şekilde düzenlemektedir:
“8.Gizlilik hakkı
a. Hastanın sağlık durumu, tıbbi durumu, tanısı, prognozu , tedavisi ve kişiye özel diğer tüm bilgiler ölümden sonra bile gizli olarak korunmalıdır. İstisna olarak hasta yakınlarının kendileri ilgili sağlık risklerini öğrenmeleri açısından bu bilgilere ulaşabilme hakkı olabilir.
b. Gizli bilgiler sadece hastanın açık izni veya mahkemenin kesin isteği üzerine açıklanabilir. Hastanın açık olarak izin vermediği durumlarda bu bilgiler sadece bilgilendirilmesi gereken diğer sağlık personeline verilebilir.
c. Hastanın kimliğine ait tüm bilgiler korunmalıdır. Bu bilgilerin korunması usulüne uygun yapılmalıdır. Bu tür verilerin alındığı insan ürünleri de aynı şekilde korunmalıdır.”
- İnsan Hakları ve Biyotıp Sözleşmesi: Bir Avrupa Konseyi metni olan sözleşme 10. maddesinde şu düzenlemeye yer vermiştir:
“Özel yaşam ve bilgilendirme hakkı
Herkes, kendi sağlığıyla ilgili bilgiler bakımından, özel yaşamına saygı gösterilmesini isteme hakkına sahiptir.
Herkes, kendi sağlığı hakkında toplanmış herhangi bir bilgiyi öğrenme hakkına sahiptir. Bununla beraber, bireylerin, bilgilendirilmeme istekleri de gözetilecektir.
Ayrıksı(istisnai) durumlarda, 2. paragrafta belirtilen hakların kullanılmasında, hastanın yararları bakımından yasa tarafından kısıtlamalar öngörülebilir."
-
Sağlık Çalışanları İçin Sağlık Hizmetinde Gizliliğe ve Mahremiyete İlişkin Avrupa Rehber İlkeler: Bu ilkeler Avrupa Birliği 5. Çevre Programı dahilinde 2004-2006 yılları arasında İngiltere’de yürütülen bir projenin bitiminde kaleme alınmıştır. Belge kişisel sağlık verilerinin mahremiyetini, bu verilere ilişkin olarak bireylerin ulaşım, denetim gibi talep haklarını düzenlemektedir[8].
-
Amsterdam Bildirgesi (Avrupa Hasta Haklarının Geliştirilmesi Bildirgesi): Bildirgenin 4. maddesi konumuzla ilgili şu düzenlemeye yer vermektedir[9]:
“4.1.Hastanın sağlık durumu, tıbbi durumu, tanısı, prognozu, tedavisi hakkındaki ve kişiye özel diğer tüm bilgiler, ölümden sonra bile gizil olarak korunmalıdır.
4.2.Hastaya ait bu bilgiler, yalnızca hastanın açık izni veya mahkemenin kesin isteği üzerine açıklanabilir. Hastanın tedavisi ile ilgili diğer sağlık personeline ihtiyaç sözkonusu olduğunda hastanın onayı olduğu varsayılarak davranılır.
4.3.Hastanın kimliğine dair bilgiler korunmalıdır. Bu bilgilerin korunması usulüne uygun yapılmalıdır.
4.4.Hastalar, tanıları, tedavileri ve bakımları ile ilgili kayıtlara, diğer dosyalara, teknik kayıtlara ve tıbbi dosyalarına bakabilme ve kendi dosyalarının ve kayıtlarının kopyasını alabilme hakkına sahiptir. Bu hak üçüncü kişilerin bilgilerine bakabilmeyi içermez.
4.5.Hastalar, kendileriyle ilgili tıbbi ve kişisel bilgilerin uygunsuz, eksik, çift anlamlı, eski olması veya tanı, tedavi ve bakım amacıyla ilgili olmaması durumunda bu bilgileri yenileme, daha açık hale getirme, bazı kısımlarını çıkarma, tamamlama, düzeltme hakkına sahiptir.
4.6.Hastanın tanı, tedavi ve bakımı için gerekli olmadıkça ve ek olarak hasta izin vermedikçe hastanın özel ve aile hayatına girilemez.
4.7.Tıbbi girişimler ancak kişinin özel hayatına saygı gösterilmesi durumunda yapılabilir. Bunun anlamı önerilen girişimin hastanın onayı veya isteğine göre ve kişinin ihtiyacı durumunda yapılabileceğidir
4.8.Sağlık kurumlarına başvuran hastalar, özellikle sağlık personelinin kişisel bakımlarını veya muayene ve tedavilerini yapacağı durumda kurumların özel hayatlarının korunmasını sağlayan fiziksel özelliklere sahip olmasını bekleme hakkına sahiptirler.”
- Hasta Haklarına İlişkin Avrupa Statüsü: Statü’nün 6. Maddesine göre[10]:
“6.Özel ve Gizlilik Hakkı
Her birey kişisel bilgilerinin; sağlık durumu, yapılan teşhis ve tedavi konularında bilginin yanı sıra teşhis ve tedavi yapılırken veya özel ziyaretlerinin gizliliğinin muhafazası hususunda, gizli tutulmasını talep etme hakkına sahiptir.
Bir bireyin sağlık durumuna veya ona uygulanan tıbbi/cerrahi tedaviye ilişkin bilgi ve veriler gizli olmalı ve öyle muhafaza(korunmalıdır) edilmelidir. Tıbbi/cerrahi müdahale sırasında bile kişisel gizliliğe saygı gösterilmeli, yani uygun ortamda yapılmalı ve gerçekten orada bulunması gerekli olan kişiler (hastanın onayı veya özel bir talebi olması durumları hariç) nezdinde yapılmalıdır.”
- GDPR: Yukarıda kısaca sözü edildiği üzere Genel Veri Koruma Tüzüğü GDPR sağlık verilerini özel nitelikli veri olarak kabul etmekte ve konuya ilişkin olarak şu düzenlemeyi getirmektedir:
“Madde 9 - Özel kategorilerdeki kişisel verilerin işlenmesi
- Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.
- paragraf aşağıdakilerden birinin geçerli olması halinde uygulanmaz:
a. Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi;
b. Birlik veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;
c. veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;
d. işleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;
e. işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması;
f. yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;
g. gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;3e
h. koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve 3. paragrafta atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;
i. özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi;
j. gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, 89(1) maddesi uyarınca kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.- 1.paragrafta atıfta bulunulan kişisel veriler Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında ya da Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak başka bir kişi tarafından işlendiğinde, söz konusu veriler 2. paragrafın (h) bendinde atıfta bulunulan amaçlara yönelik olarak işlenebilir.
- Üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir.”
-
Avrupa Konseyi Bakanlar Komitesi’nin Tıbbi Verilerin Korunmasına İlişkin 97/5 sayılı Tavsiye Kararı: Avrupa Konseyi Bakanlar Komitesi, 13.02.1997 tarihinde üye ülkeler için 97/5 sayılı “Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararı'nı kabul etmiştir. Karar bağlayıcı olmamakla birlikte kişisel sağlık verilerinin korunmasına ilişkin çerçeve hükümler getirmektedir[11].
-
Avrupa Konseyi Bakanlar Komitesi’nin Üye Ülkelere Sağlıkla İlgili Verilerin Korunmasına İlişkin 2019/2 sayılı Tavsiye Kararı: Konsey 27 Mayıs 2019 tarihinde b kararı kabul etmiş ve özellikle teknoloji karşısında kişisel sağlık verilerinin korunması konusunda GDPR’ı destekler nitelikte hükümler getirmiştir[12].
B. COVID-19 Takip Uygulamalarına İlişkin Düzenlemeler
COVID-19 salgınının başlamasından bu yana kişisel sağlık verilerinin korunmasına ilişkin tartışmalar boyut değiştirmiştir. Devletlerin pek çoğunda COVID-19 hastalarının takibi için cep telefonu uygulamaları kullanılmaktadır. Bu uygulamalar beraberinde teorik ve teknik soruları da getirmektedir. 19 Mayıs 2020 itibariyle AB üyesi 14 ülke bu tür uygulamaları kullanmaktadır. Üye ülkelerde bu uygulamaların kullanımında kişisel verilerin korunmasına ilişkin 25 farklı yerel yönerge hazırlanmıştır. Hatta Avrupa Veri Koruma Denetçisi tüm AB’de kullanılacak bir COVID-19 mobil uygulamasını destekleyeceğini duyurmuştur[13].
Sürecin başından beri bireylerin sosyal bir yükümlülük olarak mümkün mertebe evlerinde kalmaları tavsiye edilmekte idi. Bireyler de sadece kendileri için değil; toplumdaki diğer bireyler için de bu yükümlülüğü yerine getirmeye çalıştılar. Öte yandan özellikle teşhis konmuş yahut yaşı veya kronik hastalığı nedeniyle evden çıkmaması gereken kişilerin temaslarının takip edilmesi için yine bazı uygulamaların kullanılması gereği ortaya çıktı. Bu durum pandemi gibi ağır bir sağlık sorunu karşısında olağan görünmekte ve fakat bazı yazarlar tarafından da eleştirilmektir. Bu yazarlara göre kişilerin sağlık bilgilerini depolayacak uygulamaların kullanılması gönüllülük esasına dayanmalıdır. Fakat mevcut durumda bu uygulamaların kullanılması için bir sosyal baskı söz konusudur ve bu uygulamalar henüz yeterince gelişmemiş olduğundan keza alternatifleri de bulunmadığından esasen bireylerin özgür iradelerinden söz edilmesi mümkün değildir. Öte yandan üzerinde uzlaşılmış bir hukuki zemin olmaması da bu güvencesiz alanı genişletmektedir[14].
AB içerisinde tam tersi bir bakış açısı da bulunmaktadır. Bu görüşü savunanlara göre başta GDPR olmak üzere AB müktesebatı hızlı hareket etmeyi engellemekte ve veri toplayarak virüsle mücadeleyi engellemektedir. Buna karşın bir başka görüş ise yukarıda belirtildiği gibi hukuki zemin olmadığı için AB müktesebatının kişisel sağlık verilerini korumada yetersiz olduğunu ifade etmektedirler. Bu tartışmayı ele alan yazarlar ise başta GDPR olmak üzere kişisel sağlık verilerini korumak için yeterli hukuki zeminin mevcut olduğunu oranlılık ve gereklilik ilkeleri çerçevesinde işleyen bir sistemin yeterli olduğunu ifade etmektedirler[15].
Tüm bu tartışmalar içinde konuyla ilgili olarak AB içerisinde şu hukuki metinlerden söz edilebilir:
- Avrupa Veri Koruma Kurulu 21 Nisan 2020 Tarihli Rehberi: Kurul GDPR m. 68 ile kurulmuştur. Kurul hazırladığı rehberde şu noktalara dikkat çekmiştir[16]:
-Kamu otoriterleri ve bireyler yahut özel hukuk tüzel kişileri AB’nin veri koruma kurallarına uymakla yükümlüdür. Özellikle veri minimizasyonu, sorumluluk ve şeffaflık konularında GDPR yürürlüktedir.
-Temas takip eden uygulamalar gönüllülük esasıyla kullanılmalıdır.
-Bu tür uygulamaların etkin olabilmesi toplumda çok sayda kişi tarafından kullanılmalarına bağlıdır. Bu nedenle birlikte işlerlik konusunda özenli olunmalıdır.
- AB İçerisinde Onaylanmış Takip Uygulamaları İçin Müşterek Çalışma Klavuzu: AB’nin 2011/24 sayılı direktifinin 14. Maddesi ile kurulan gönüllü bir ağ olan e-sağlık Ağı tarafından 13 Mayıs 2020 tarihinde yayımlanmış bir klavuzdur. Klavuza göre sağlık otorite ve kuruluşları onaylanmış uygulamaların kullanımından sorumludur. AB içerisinde birlikte işlerlik garanti edilmeli bu konuda üye ülkeler gerekli düzenlemeleri yapmalıdır.
Klavuzun III.3.maddesinde COVID-19 testi pozitif çıkan bireylere ilişkin kişisel verilerin yerel sağlık otoriteleri arasında paylaşılması esnasında güvenilir ve korunaklı bir sistem kullanılmalıdır. Madde III.4 ve III.5’e göre üye devletler bir kişisel veri ihlali olma riskini önceden hesaplamalı ve böyle bir durumda kullanıcıyı uyarmalıdır[17].
Hemen belirtmek gerekir ki bu düzenlemelerin yapılması eleştirileri tamamen ortadan kaldırmamıştır. Özellikle müşterek çalışma bakımından ülkelerin birbirlerinin kurdukları sisteme güvenip güvenmeyecekleri bir sorundur. Kaldı ki ülkeler güvenlikli bir ortam sağlasa bile bu uygulamaların işlerlik kazanabilmesi için toplum nazarında da kabul görmüş olmaları gerekir. Avusturya’da nüfusun sadece %4’ünün bu uygulamaları indirmiş olması karşısında müşterek çalışma konusuna ilişkin sorunlar devam edecek gibi görünmektedir[18].
Türk Hukuku açısından da bir değerlendirme yapmak gereklidir. COVID-19 sürecinde takip amaçlı uygulamalar ülkemizde de kullanılmaktadır. Bu uygulamalar açısından yukarıda sözü edilen ilkelere uyulması gerektiği aşikardır. KVKK m. 4 ve 6’da yer alan ilkeler çerçevesinde çalışacak uygulamaların sağladıkları hizmetin hukuka uygun olduğu kanaatindeyiz. Aynı şekilde Kişisel Sağlık Verileri Hakkında Yönetmelik de kişisel sağlık verilerinin korunması alanında getirdiği koruma alanı ile bu uygulamalar için sınırları çizmektedir.
IV. Kişisel Sağlık Verilerinin Korunmasına İlişkin Örnek AİHM Kararları
Temel hak ve özgürlüklere ilişkin olarak Türkiye’nin taraf olduğu temel sözleşme AİHS’dir. Sözleşmede açıkça kişisel verilerin yahut kişisel sağlık verilerinin korunmasından söz edilmemektedir. Öte yandan AİHM önüne gelen başvurularda kişisel verilerin korunmasını özel hayatın gizliliği çerçevesinde değerlendirmekte ve AİHS m. 8 çerçevesinde karar vermektedir.
AİHM’nin kişisel sağlık verilerine ilişkin olarak verdiği bazı örnek kararlar şunlardır:
- Kiyutin-Rusya Kararı: Kararın konusunun temelini Rus Devleti’nin oturma izni vermek için HIV testi yapması oluşturmaktadır. Somut olayda başvurucu Özbek vatandaşıdır ve Rusya’dan oturma izni almak istemektedir. Başvurucu, HIV testinin pozitif çıkması üzerine oturma izni alamaz. Kiyutin başvurusunda gerekçe olarak ailesi ile bir arada olma hakkının engellendiğini, HIV testinin sonuçlarının korunmamasının ve bilakis ifşa edilmesinin ise kişisel sağlık verilerinin korunmasını isteme hakkını ihlal ettiğini ifade etmiştir. Rus Devleti ise kamu sağlığının korunması için HIV testi yapıldığını ifade etmiştir. HIV testi pozitif olan kişilerin ülkeye kabul edilmelerinin kamu maliyesi açısından büyük bir yük olacağı ve ayrıca bu kişilerin taşıyıcılık durumlarının yaratabileceği tehlike nedeniyle test sonuçlarının ifşa edildiğini ifade etmiştir.
Mahkeme bu durumun AİHM m. 8 ve 14’ü ihlal ettiğine karar vermiştir. Mahkemeye göre bu tarz verilerin ifşa edilmesi bireylerin hastalıklarını saklamaları sonucunu doğuracağı için kamu sağlığı bakımından daha büyük bir tehlike doğuracaktır. Keza hiçbir hukuki değerlendirme yapmadan sadece sağlık gerekçesiyle oturma izni talebinin reddedilmesi de sözleşmeye aykırıdır[19].
- Uslu-Türkiye Kararı: Karara konu somut olayda başvurucu bir hükümlüdür. Cezaevinden hastaneye sevk edilerek nörolojik bir tedavi görmüştür. Hastalığına ilişkin tüm kayıtlar talebi üzerine cezaevi idaresi tarafından kendisine verilmiştir. Daha sonra cezaevi savcısı hükümlüye sağlık kayıtlarının verilmesinin güvenlik bakımından sakıncalı olduğu kanaatine varmış ve mahkeme kararıyla kayıtların geri alınmasını sağlamıştır. Başvurucunun yaptığı itiraz da kabul edilmemiştir.
AİHM sözleşmenin 8. maddesi çerçevesinde bir değerlendirme yapmıştır. Mahkemeye göre hükümet sağlık kayıtlarıyla ilgili aldığı bu tedbirleri haklı gösterecek bir gerekçe sunamamıştır. Öte yandan birey ve toplum çıkarları arasında adil bir denge olup olmadığı konusu da mahkeme tarafından ele alınmıştır. Başvuranın talep ettiği dokümanların niteliğini gözönünde bulunduran AİHM, bu koşullar altında, bireyin ve toplumun çatışan çıkarları arasında adil bir denge bulunmadığı kanaatindedir. Buna göre, AİHS'nin 8. maddesi ihlal edilmiştir[20].
- Konovalova-Rusya Kararı: Olayda başvurucu doğum yapmak üzere bir devlet hastanesine gitmiştir. Hastanede kendisine verilen bir broşürde tıp öğrencilerinin doğumda hazır bulunabilecekleri ifade edilmiştir. Bayan Konovalova doğum sırasında gelişen problemler nedeniyle iki kez uyutulmuştur. Doğumu öğrenciler de izlemiştir.
AİHM m.8 çerçevesinde bir değerlendirme yapmış ve hükmün ihlal edildiği kanaatine varmıştır. Somut olayda başvurucunun broşürdeki ifadelere açık bir itirazı söz konusu değildir. Öte yandan Rus Mevzuatı’nda hasta mahremiyetine ilişkin bir düzenleme yer almamaktadır. Ayrıca hastaya başka bir alternatif sunulmamış ve öğrencilerin katılımını zorunlu gibi görerek kabul etmesi sağlanmıştır. Son olarak hastanın içinde bulunduğu zor durumda itiraz etmesinin kendisinde beklenemeyecektir[21].
-
Vilnes ve Diğerleri-Norveç Kararı: Başvurucular petrol arama işinde derin deniz dalgıcı olarak çalışmışlardır. Görevlerinin ağırlığı nedeniyle kanser, duyma hasarı gibi hastalıklara yakalanmışlardır. İddiaları ise devletin kendilerini bu riskler konusunda yeterince bilgilendirmediği ve gerekli önlemleri almadığı bu nedenle AİHS m. 2 ve 8’in ihlal edildiğidir. Mahkeme bu iddiaları haklı bulmuş ve devletin işin riskleri konusunda gerekli bilgilendirmeyi yapmamasının AİHS m. 8’i ihlal ettiğine karar vermiştir[22].
-
Petrova-Letonya Kararı: Başvurucunun yetişkin oğlu geçirdiği kaza sonucu bir devlet hastanesinde hayatını kaybeder. Organları başvurucuya bilgi verilmeden alınır. O dönemde yürürlükteki mevzuata göre yetişkin olmayan kişilerden organ alınması işlemi yakınlarının rızasına bağlı olmakla birlikte yetişkinlerin durumu belirli değildir.
Mahkeme bilgilendirme ve rızaya ilişkin açık düzenleme bulunmamasının AİHS m.8’i ihlal ettiğine karar vermiştir[23].
-
Z-Finlandiya Kararı: Bir ceza davası kapsamında başvurucunun HIV olduğuna ilişkin kişisel veriler açıklanmıştır. AİHM bir yargılama esnasında bu tarz verilerin açıklanmasını AİHM m. 8/2’ye uygun bulmuştur. Öte yandan mahkemeye göre temyiz mahkemesinin kararında isim ve HIV bilgilerini ifşa etmesi sözleşmeye aykırıdır[24].
-
M.S-İsveç: Başvuranın kürtaj ve diğer sağlık, tedavi bilgileri sosyal güvenlik kurumu ile paylaşılmıştır. AİHM sosyal güvenlik kurumunun bu bilgilere erişmesinin AİHS’yi ihlal etmediğine karar vermiştir[25].
-
I-Finlandiya: I HIV pozitif bir hemşiredir. Sağlık kayıtları ilgili bölüm dışında I’nın çalıştığı hastanedeki ve hatta dışındaki herkes tarafından erişilebilecek durumdadır. I’nın şikayeti üzerine hastane tüm bilgileri gizlemiştir. Fakat AİHM hastanenin geç kaldığını, verilerin zaten açığa çıktığını ifade etmiş ve söz konusu hastane bir devlet hastanesi olduğu için bu verilerin korunamamasından devletin sorumlu olduğuna karar vermiştir[26].
-
S ve Marper-Birleşik Krallık: Başvurucular çeşitli suçlardan yakalanmışlar parmak izleri ve DNA örnekleri alınmıştır. Başvuruculardan birisi beraat etmiş, diğeri uzlaşmıştır. Buna rağmen kendilerine ait veriler veri tabanlarında muhafaza edilmeye devam etmiştir. AİHM, DNA profillerinin çok hassas olduğu gerekçesi ile AİHS’nin ihlal edildiğine karar vermiştir[27].
-
Szuluk-Birleşik Krallık: Somut olayda başvurucu nörolojik bir tedavi görmekte olan bir mahkumdur. Hastalığı nedeniyle altı ayda bir doktoruna görünmesi gerekmektedir. Tedavisi ile ilgili olarak doktoru ile yaptığı yazışmaların cezaevi hekimi tarafından denetlendiğini fark etmiş ve itirazda bulunmuştur. Yazışmaların kurum güvenliği nedeniyle denetlendiği ve denetleyen kişinin bir uzman olduğu gerekçesiyle itirazı reddedilmiştir. Öte yandan AİHM bireyin sağlığıyla ilgili yazışmalarının denetlenmesinin kişinin sağlık yardımı almaktan imtina etmesi sonucu doğurabileceği, mevcut durumda başvurucunun doktoru ile yazışırken baskı altında kaldığı ve sağlık verilerinin niteliği gerekçeleriyle sözleşmenin ihlal edildiği kanaatine varmıştır[28].
-
LL-Fransa: Başvurucuya karşı açılan boşanma davasında eski eşi hileli şekilde elde ettiği sağlık kayıtlarını kullanmıştır. AİHM hukuka aykırı şekilde elde edilen sağlık verisinin kullanılmasını ve dosyada tutulmasını m. 8’in ihlali saymıştır[29].
Görüldüğü üzere AİHM kişisel sağlık verilerine yapılan her türlü müdahaleyi sözleşmeye aykırı görmemektedir. Mahkeme sözleşmenin 8/2 maddesinde yer alan yasayla öngörülme, demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması istisnalarını dikkatlice tartışmaktadır. Gerekli olmayan müdahaleler sözleşmenin ihlali olarak nitelendirildiği gibi müdahalenin doğurduğu zararın giderilmesi için geç kalınmış çabalar dahi müdahaleyi sözleşmeye uygun hale getirmemektedir.
COVID-19 gibi bir pandemi esasen kişisel sağlık verilerine müdahale edilmesi anlamında m. 8/2’de yer alan istisnaların önemli bir kısmıyla örtüşmektedir. Hastalığın çok yüksek bir bulaşıcılığa sahip olduğu da düşünüldüğünde taşıyıcı kimselerin takibi ciddi önem taşımaktadır. Öte yandan yine de kişisel veri işlemede hakim olan ilkelerden ödün verilmemeli, özellikle veri minimizasyonuna dikkat edilmelidir. Ayrıca yukarıda belirtildiği üzere takip uygulamalarının yeni ortaya çıkması teknik bir takım sorunlar da yaratabilecektir. Bu sorunlar üzerinde titizlikle durulmalı ve buralardan kaynaklanacak veri sızıntılarının önüne geçilmelidir.
V. Türk Hukukunda Kişisel Sağlık Verilerinin Korunması
A. Konuya İlişkin Temel Hukuki Düzenlemeler
Hukukumuzda kişisel sağlık verilerinin mahremiyetine işaret eden çeşitli düzenlemeler bulunmaktadır. Bunlardan ilki Tıbbi Deontoloji Tüzüğü m. 4’te yer almaktadır. Düzenleme şu şekildedir:
“MADDE 4 - Tabip ve diş tabibi, meslek ve sanatının icrası veslesiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça, ifşa edemez.
Tıbbi toplantılarda takdim edilen veya yayınlarda bahis konusu olan vakalarda, hastanın hüviyeti açıklanamaz.”
Hasta Hakları Yönetmeliği’nin bir çok hükmünde (m 5/f, 16, 17 gibi) sağlık verilerinin gizliliğinden söz edilmektedir. Madde 23 ise konuyu doğrudan ele alan bir düzenleme getirmiştir. Buna göre:
“Bilgilerin Gizli Tutulması
Madde 23- Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz.
Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz.
Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.
Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri, rızası olmaksızın açıklanamaz.”
B. Kişisel Sağlık Verilerinin Kaydı
Hukukumuzda kişisel sağlık verilerinin kaydının ne şekilde yapılacağına ilişkin pek çok düzenleme bulunmaktadır. Bunların başlıcaları şunlardır:
- Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanunu’nun 72. Maddesi
- Sağlık Hizmetlerinin Sosyalleştirilmesi Hakkında Kanunun 10. maddesinin 2. fıkrası,
- Aile Hekimliği Kanunu m. 5/3,
- Özel Hastaneler Tüzüğü m. 29,
- Acil Sağlık Hizmetleri Yönetmeliği m. 8/c, m.33 ve m.34
- Yataklı Tedavi Kurumları İşletme Yönetmeliği m. 12/4 m. 32
- Özel Hastaneler Yönetmeliği m.48,49,50
- Rahim Tahliyesi Ve Sterilizasyon Hizmetlerinin Yürütülmesi ve Denetlenmesine İlişkin Tüzük m. 5 ve m. 9
- Hasta Hakları Yönetmeliği m. 16, 17, 24/7
Günümüzde teknik gelişmelere uygun şekilde sağlık hizmetlerinin yürütülmesi için elektronik ortamda tutulacak kayıtlar ise Sağlık Hizmetleri Temel Kanunu’nun 3/f maddesine göre gerçekleşecektir[30].
Ülkemizde ciddi miktarda kişisel sağlık verisinin toplandığı sistem olarak öncelikle MEDULA’dan söz etmek gerekir. MEDULA daha ziyade eczane ve optik hizmetlerinin kaydını tutan bir sistemdir ve optik, eczane, doktor ve hastane olarak dört bölümden oluşur. Bunun dışında günümüze kadar Sağlık.Net2, GEBLİZ (Gebe ve Lohusa Takibi ), Aşınet, Kalıtsal Kan Hastalıkları Bildirim, 15-49 Yaş Kadın İzleme, Acil Servis Ünitesi İntihar Girişimi Kayıtları, MORBİD Obez Hasta Bilgi Formu, Hastane Bilgi Yönetimi Sistemleri , TELETIP, USVS, USBS(14 Mart 2012’de güncellenerek USVS 2.0 olarak adlandırılmıştır.) gibi birçok program kullanılmıştır.
02.08.2013 tarihinde Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun’un 73. maddesinin “h” fıkrasının 3. bendi ile durum değişmiş ve Sağlık.Net2 sisteminin geliştirilerek tüm kişisel sağlık verilerinin tek bir merkezde toplanmasını sağlayan e-Nabız sistemine geçilmiştir.
e-Nabız Sistemi’ne yöneltilen bazı eleştirilere burada yer vermek istiyoruz. Öncelikle bu sistemde yer almayan kişilerin sağlık verilerine erişimi sınırlandırmaları mümkün değildir. Bu durumun sakıncalı olduğu kanaatindeyiz. Özellikle yaşlı kişiler bakımından aile hekimleri vasıtasıyla e-Nabız sistemine entegrasyon sağlanmalıdır. Aynı şekilde sisteme ilişkin iyi bir aydınlatma gereklidir[31].
Kişisel sağlık verileri söz konusu olduğunda sağlık kuruluşları dışında sigorta şirketlerinde de bu verilere erişebilir. 23 Ekim 2013 tarihli Özel Sağlık Sigortaları Yönetmeliği konuyu ayrıntılı şekilde düzenlemektedir.
Sigorta şirketinin kişinin sağlık verilerine erişebilmesi için söz konusu kişinin yazılı izni gerekir. Yazılı olarak izin vermekten imtina eden kişilerin sağlık durumlarının belirlenmesi için bir hekimin görüşü alınabilir. Kişi sigorta şirketine karşı sağlığına ilişkin doğru bilgi vermekle yükümlüdür. Öte yandan sigorta şirketleri de bu verileri gizli tutmak zorundadır.
Görüldüğü üzere hukukumuzda her türlü sağlık hizmetinin kayıt altına alınmasına ilişkin hukuki düzenlemeler mevcuttur. Dolayısıyla bugün ülkemizde hukuka uygun şekilde sağlık hizmeti veren kişi ve kurumlar büyük ölçüde kişisel veri depolamaktadır. Bu verilerin korunması rejimi çalışmanın bundan sonraki kısmında ele alınacaktır.
C. Kayıtlara Erişim ve Bunların Korunması
1. Genel Olarak
Hukukumuzda her türlü kişisel verinin korunmasına ilişkin temel kanun KVKK’dır. Buna göre kişisel sağlık verileri de öncelikli olarak bu kanundaki ilkelere uygun olarak işlenecek ve korunacaktır. Bunun dışında TCK, BK gibi diğer kanunlarla da kişisel veriler korunur. Konuya aşağıda tekrar dönülecektir.
2. Kişisel Sağlık Verileri Hakkında Yönetmelik
Hukukumuzda sağlık verilerinin korunmasına ilişkin yürürlüğe giren ilk yönetmelik 20 Ekim 2016 tarihli Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’tir. Daha sonra 21.06.2019 tarihinde bu çalışmanın konusunu oluşturan Kişisel Sağlık Verileri Hakkında Yönetmelik yürürlüğe girerek önceki yönetmeliği yürürlükten kaldırmıştır.
Bu iki yönetmeliğin birbirinden oldukça farklı olduğu ifade edilmelidir. KVKK’nın yürürlüğe girişinden kısa bir süre sonra hazırlanan ilk yönetmelik genelde sayma yoluyla düzenlemeler yapmakta iken yeni yönetmelikte sıkça KVKK’ya atıf yapıldığı görülür. Bu anlamda yeni yönetmeliğin mevzuata daha uyumlu olduğu ifade edilebilir.
a. Kişisel Sağlık Verilerinin İşlenmesine Hakim Olan İlkeler
Sağlık verilerinin ne şekilde işleneceğine ilişkin esaslar m.5’te yer almaktadır. Eski yönetmelikte konuya ilişkin ayrıntılı bir düzenleme mevcut iken yeni yönetmelik öncelikle KVKK’da yer alan ilkelere atıf yapmakla başlamıştır[32].
Onun dışında verilerin gizliliği için şu ilkelere yer verilmiştir:
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.
Burada özellikle 4 ve 5. Fıkralar üzerinde durmak istiyoruz. Uygulamada sıklıkla karşılaşılan sorunlardan birisi de sağlık kuruluşlarına başvuran kişilerin banko gişe gibi yerlerden diğer kişilere ilişkin bilgileri öğrenmeleri idi. Aynı şekilde basılı hale gelmiş tahlil sonuçlarının gizliliği noktasında da sıkıntılar yaşanmakta idi. Yönetmeliğin bu konuyu özellikle düzenlemesini olumlu buluyoruz. Öte yandan sağlık kuruluşlarındaki panolarda kişilerin isimlerinin görünmesinin engellenmesi gerektiği kanaatindeyiz. Ekranda kişilerin isimleri yerine bir rumuzun görünmesinin daha isabetli olacağı kanaatindeyiz.
b. Sağlık Verilerine Erişim
aa. Sağlık Personelinin Erişimi
Sağlık personelinin kişisel verilere erişimine ilişkin olarak ilk önce personelin sadece verilecek hizmetle sınırlı olarak erişebileceği düzenlenmiştir. Ülkemizde sağlık hizmetlerinin takibinde sıkça kullanılan e-nabız sisteminden yararlana kişiler gizlilik tercihlerini kendileri belirleyerek verilerine kimin ulaşabileceğine karar verirler. Bu sistemden yararlanmayan kişiler için KVKK mi 6/3 ile sınırlı olarak şu şekilde erişebilirler:
“- Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
- Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
- Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
- Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar”
E-nabız hizmetini kullanmayan kimseler için gerektiğinde yeniden bir değerlendirme yapılabilir ve aydınlatma yükümlülüğü anlamında gerekli işlemler yapılır.
Geçmiş sağlık verilerine erişimin kısıtlanması da e-nabız sistemi üzerinden mümkün olmaktadır. Bu tercihi kullanan kişilerin verilerine ulaşılabilmesi için hekimler hastalarının kendileri ile paylaştıkları kodu kullanacaklardır.
Son olarak mahremiyet düzeyi yüksek olan ve başkaları tarafından öğrenilmesinin veri sahibine zarar vereceği düşünülen veriler bakanlıkça belirlenir ve bu verilere erişime başka kısıtlamalar getirilebilir.
bb. Bakanlık Birimlerinin Erişimi
Sağlık Bakanlığı birimlerinin sağlık verilerine erişmelerine ilişkin esaslar Yönetmeliğin 7. maddesinde düzenlenmiştir. Buna göre:
MADDE 7– (1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.
cc. Çocukların Sağlık Verilerine Erişim
Kişisel veriler konusunda ayrıntılı olarak ele alınması gereken bir durum da çocuklara ait verilerin akıbeti ve güvenliğidir. Bir yandan çocukların konuyu kavraması oldukça güçtür. Diğer yandan Çocukların kişisel verilerinin gizliliği doğrudan kanuni temsilcilerinin (ebeveynlerinin)sorumluluğunda olacağı için bu kişilerin kötüye kullanımının da kanun koyucu tarafından engellenmesi gerekir.
Yönetmeliğin 8. maddesi, ebeveynlerin e-nabız üzerinden çocuklarına ilişkin verilere izne ihtiyaç olmaksızın ulaşabileceğini düzenlemektedir. Ayırt etme gücüne sahip çocuklar ise kendilerine ait sağlık verilerine ebeveynlerinin ulaşmasını izne tabi tutarak sınırlayabilirler. Boşanma halinde verilere velayet hakkına sahip olan eş erişebilecektir. Yukarıda sözü edildiği üzere hem anne babası birlikte olan hem de ayrı olan ebeveynler bakımından çocuğun sağlık verilerine erişim yetkisinin kötüye kullanılmasının engellenmesi gerekir. Örneğin velayet hakkına sahip olan ebeveyn diğer ebeveynin çocuğun sağlık verilerine erişmesini hukuka aykırı şekilde engelliyorsa ne olacaktır? Bu konuda hızlıca mahkemeden izin alınabilecek bir prosedüre ihtiyaç olduğu kanaatindeyiz. Keza bütün bilgilerin aynı yerde toplanması yerine bölümlere ayrılmış bir depolama sistemi kurulmalıdır.
dd. Hasta Yakınlarının Erişimi
Hasta yakınlarının sağlık verilerine erişimi konusunda yönetmelik hasta hakları yönetmeliğine atıf yapmaktadır. Atıf yapılan madde aydınlatılmış onam ile ilgilidir. Buna göre sadece hastanın muvafakat edeceği bir kişinin hastaya ilişkin verilere erişebileceğini kabul etmek gerekir. Bu durum yazılı olarak belgelendirilmeli ve hasta tarafından imzalanmalıdır.
ee. Avukatların Erişimi
Avukatlar meslekleri gereği pek çok kişisel veriye erişebilmektedirler. Ancak sağlık verilerinin niteliği gereği bunlara genel vekaletname ile erişilmesi mümkün değildir. Vekaletnameye özel bir hüküm konmalıdır. (Yönetmelik m. 10) Bu durumun diğer kişilere verilecek vekaletnameler için de göz önünde bulundurulması gerektiğini düşünüyoruz.
ff. Ölünün Verilerine Erişim
Ölümle esasen kişilik haklarına ilişkin tüm talepler sona erer. Ancak bazen ölene ilişkin verilere ihtiyaç duyulabilir. Yönetmeliğe göre ölen kişinin sağlık verilerine veraset ilamı ile ulaşılabilir. Ölen kişiye ilişkin sağlık verileri 20 yıl saklanır.
c. Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi Ve Aktarılması
aa. Gizleme
Kişilerin sağlık verilerine ilişkin olarak herhangi bir sebeple gizlilik kararı verilmesi halinde ne şekilde hareket edileceği yönetmeliğin 12. maddesinde düzenlenmiştir. Buna göre mahkeme tarafından verilen gizlilik kararını yerine getirmekle yükümlü olan merci il sağlık müdürlüğüdür. Bu işlem Kimlik Paylaşım Sistemi’ne de yansır.
bb. Düzeltme
Kişisel sağlık verilerinin düzeltilmesinde uyulacak prosedür aşağıdaki gibidir:
Kişisel sağlık verilerinin düzeltilmesi
MADDE 13 – (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.
cc. İmha
Hukukumuzda kişisel sağlık verilerinin imha edilmesine ilişkin olarak ayrıca bir düzenleme bulunmaz. Yönetmelik bu konuda Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine atıf yapmaktadır.
Yönetmeliğe göre kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini; verilerin yok edilmesi ise kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Bu işlemlerden önce veri sorumlularının bir imha politikası hazırlamaları gerekmektedir fakat imha politikası hazırlanası tek başına yeterli değildir. Verilerin mutlaka belirlenen sürede usulüne uygun şekilde imha edilmesi gerekir (m. 5).
KVKK’da kişisel verilerin işlenmesi için öngörülen koşullar ortadan kalktığı an verilerin usulüne uygun biçimde re’sen veya talep üzerine silinmesi veya imha edilmesi gerekmektedir.
dd. Aktarım
Kişisel sağlık verilerinin aktarılmasında KVKK’da yer alan usullere uyulur. Eğer veriler kamu kurumları arasında aktarılacak ise konuya ilişkin bir protokol düzenlenir. Bu protokol veri koruma mevzuatında yer alan ilkeler ve güvenlik kurallarıyla uyumlu olmalıdır. Altyapının uygun olması halinde aktarım KamuNet üzerinden gerçekleştirilir. Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir.
d. Bilimsel Amaçlarla İşleme
Kişisel sağlık verilerinin bilimsel amaçla işlenmesi KVKK kapsamında mümkündür. Bunun için verilerin anonim hale getirilmiş olması gerekir. Bilimsel amaçlarla işleme için kişilik haklarının ihlal edilmemesi ve gerekli tedbirlerin alınmış olması gerekir.
Yaşamakta olduğumuz süreçte bilimsel amaçlarla işleme konusu önem kazanmaktadır. Gerek kamuoyuna düzenli olarak yapılan açıklamalar gerekse tedavi ve aşı çalışmaları için gereken verilerin işlenmesi bu kapsamda mümkün olmaktadır. Tedavi ve aşı çalışmalarının dünyanın her yerinde yoğun biçimde devam ettiği günümüzde GDPR gibi uluslararası belgelere olan ihtiyacın arttığını düşünmekteyiz.
COVID-19 ciddi bulaşıcılığı olan bir hastalıktır. Dolayısıyla taşıyıcıların sadece bilimsel amaçla değil toplumdaki diğer fertleri korumak amacıyla da takip edilmesi gerekmektedir. Konuya ilişkin olarak Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği’nden de söz etmek gerekir. Yönetmelikte yakın zamanda 22.04.2020 tarihinde değişiklik yapılmış ve Bildirime Esas Bulaşıcı Hastalıklar Listesi başlıklı EK-1’e “81. Covid-19 (yeni coronavirüs hastalığı)” maddesi eklenmiştir.
Yönetmeliğe COVID-19’un da eklenmesi bu hastalık bakımından bir bildirim yükümlülüğünü de beraberinde getirmiştir. Yönetmelik m. 10/1’de Bakanlığın belirlediği usul ve esaslar çerçevesinde sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler bulaşıcı hastalığın ihbarı ve bildiriminden sorumlu tutulmuştur.
e. Açık Sağlık Verisi
Yönetmelikte açık veri ve açık sağlık verisi kavramları şu şekilde tanımlanmıştır:
a) Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
b) Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,
Açık sağlık verilerinin internet üzerinden ne şekilde erişime açılacağı bakanlıkça belirlenecektir. Açık sağlık verileri şeffaflığı sağlamak, sağlık politikalarına yön vermek, araştırmaları desteklemek, ürün ve hizmet geliştirmek amacıyla kullanılacaktır.
f. Veri Güvenliği
Kişisel sağlık verilerinin güvenliğinin ne şekilde sağlanacağına ilişkin düzenlemeler de büyük ölçüde KVKK’ya atıf yapmaktadır. Kişisel sağlık verilerinin korunmasında KVKK m. 12’de yer alan yükümlülüklere uyulur ve KVKK’nın ver güvenliği rehberi esas alınır. Kişisel verilerin gizliliğinin ihlal edilmesi halinde de kurulun öngördüğü şekilde hareket edilir. Özel nitelikli kişisel veriler bakımından da yine KVKK ve Kurulun öngördüğü şekilde hareket edilir. Bakanlığa bağlı birimler açısından ise genel müdürlüğün hazırladığı Bilgi Güvenliği Politikaları Yönergesi esas alınacaktır.
D. KİŞİSEL SAĞLIK VERİLERİNİN KORUNMAMASINDAN KAYNAKLANAN SORUMLULUK
Hukukumuzda kişisel sağlık verilerinin korunmasına ilişkin bütün bu mevzuatın yürürlükte olmadığı dönemde dahi yargı kararlarıyla kişisel sağlık verileri korunmaktadır.
Örneğin Yargıtay Hukuk Genel Kurulu’nun 4.4.2011 tarihli 2011/4-333 E., 2011/335 K. sayılı kararında “Davalı başhekimin basın elemanlarına henüz AİDS teşhisinin doğrulanmadığını bildirmiş olması, ertesi tarih sonuçlanan testler- den böyle bir hastalığı bulunmadığı anlaşılan hastanın isim ve resimlerinin belirtilerek AİDS olduğu yönündeki haberler, basında yer alan davalı resimleri ve belirtilen inceleme raporundaki olgular itibariyle davalının, kimliği gizli tu tulması gereken bir hastalık şüphesi taşıyan hastanın basına afişe edilmesiyle sonuçlanan bu süreçte kusurlu davrandığını göstermektedir. Basın elemanla- rının kendilerine verilen bilgilerden fazlasını yazmış olmaları davalının bu so- rumluluğunu ortadan kaldırmaz” şeklinde hüküm kurmuştur[33].
Mevcut durumda öncelik KVKK anlamında özel hukuk tüzel kişilerinin idari para cezası sorumluluğu söz konusu olacaktır. Bu durum hem gerçek hem tüzel kişiler bakımından tazminat sorumluluğunun ortaya çıkmasına engel olmaz. Dolayısıyla TMK m. 23 ve 24’ten yola çıkarak kişisel sağlık verilerinin gizliliğini ihlal eden gerçek/ tüzel kişiler zarar görenlere tazminat ödemek zorunda kalacakları söylenmelidir.
Kişisel Sağlık Verileri Hakkında Yönetmelik de sorumluluğa şu çerçevede işaret etmiştir:
“Yaptırım
MADDE 21 – (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.
(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır.
(3) Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.”
İdari para cezası ve diğer yaptırımlar dışına kişisel sağlık verilerinin gizliliğinin ihlal edilmesi ve gerektiğinde bu verilerin yok edilmemesi TCK anlamında da sorumluluk doğurur. TCK m. 135’te düzenlenen Kişisel Verilerin Kaydedilmesi, 136’da düzenlenen Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme ve 138’de düzenlenen Verileri Yok Etmeme suçlarından biri ya da birkaçı somut olayın özelliklerine göre ortaya çıkabilir. Bu suçlardan dolayı tüzel kişiler hakkında da güvenlik tedbirleri uygulanabilir.
Son olarak kamu görevlileri bakımından da ayrıca disiplin sorumluluğunun söz konusu olacağı ifade edilmelidir.
SONUÇ
Yaşamakta olduğumuz süreç hukuki, sosyal, teknik pek çok tartışmayı beraberinde getirmiştir. İnsanlığın tamamını etkisi altına alan bu pandemi sürecinde bir yandan toplum sağlığının üst düzeyde korunması için temel hak ve özgürlüklere ciddi müdahaleler yapılması gerekmekte; öte yandan bu özgürlüklerin hukukun genel kaidelerine uygun şekilde sınırlanmasının ne şekilde olacağı sorusu ortaya çıkmaktadır.
Pandemiyle mücadelede müdahaleye konu olan başlıca hukuksal değerlerden birisi de kişisel sağlık verileridir. Bu verilerin ne şekilde korunacağı meselesi ulusal ve uluslararası alanda daha yoğun tartışılır hale gelmiştir.
Bu çalışmada öncelikle kişisel sağlık verilerinin korunmasına ilişkin uluslararası metinlerden söz edilmiş ve AİHM kararlarından örnekler verilmiştir. Daha sonra yerel mevzuat kapsamında koruma ve kişisel sağlık verilerine hukuka aykırı müdahalenin sonuçları üzerinde durulmuştur.
Yaşamakta olduğumuz pandemi gibi olağanüstü koşullarda kişisel sağlık verilerinin paylaşılması; bu çerçevede COVID-19 taşıyıcılarına ilişkin bilgilerin ilgili kurumlara bildirilmesi ve bu kişilerin çeşitli vasıtalarla takibi AİHM içtihadına uyum sağlar niteliktedir. Öte yandan bu sınırlamaların da kişisel verilerin korunmasına ilişkin temel ilkelere uygun olması gerekir. Bu kapsamda paylaşılan verilerin üçüncü kişilerden azami surette korunması, sadece ihtiyaç kadar verinin işlenmesi gibi hususlara dikkat edilmelidir. Özellikle bu süreçte bilimsel amaçlarla işleme ön plana çıkmaktadır. Bilimsel amaçlarla pek çok verinin başka ülkelere aktarılması da gerekebilecektir. Bu zeminde gerekli korumanın sağlanabilmesi için bölgesel olmaktan ziyade dünya çapında geniş katılımlı bir sözleşmenin faydalı olacağını düşünmekteyiz.
Dipnotlar
Özkan F., Kişisel Sağlık Verilerinin Korunmasının Pozitif Temelleri ve AİHM Kararlarından Örnekler, Yüksek Lisans Tezi, https://tez.yok.gov.tr/UlusalTezMerkezi/; E.T.:10.05.2020, s.8. ↩︎
Aydın N., Tıp Ceza Hukukunda Verileri Hukuka Aykırı Olarak Verme ve Ele Geçirme Suçu (TCK m. 136.), Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C.21, S.2, 2013, s. 9 vd. ↩︎
Sayı: 30808, RG:21.06.2019 ↩︎
Aydın, s.9 vd. ↩︎
Sert G., Kişisel Verilerin Türk Ceza Kanunu Kapsamında Korunması, s. 39; Ünsal Zeybek Ç./ Büken Örnek N., Kişisel Verilerin Korunması Kanununun Biyomedikal Alana Yansımaları Açısından Değerlendirilmesi, Hacettepe HFD, 7(2) 2017, 33–54, s. 38; Dülger V.M., Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 1 (2), 2015; 43-80, s. 51; Ömür R.C, Kişisel Sağlık Verilerinin Korunması Ve Hastanelerin Sorumluluğu, YÜHFD,C.XV, 2018/1, s.133-180, S. 135. ↩︎
https://www.ttb.org.tr/userfiles/files/hekimlik_andi.pdf , (E.T: 17.05.2020). ↩︎
https://sbu.saglik.gov.tr/hastahaklari/lizbon.htm , (E.T: 17.05.2020). ↩︎
Özkan, s. 54. ↩︎
https://sbu.saglik.gov.tr/hastahaklari/amsterdam.htm , (E.T: 18.05.2020). ↩︎
https://sbu.saglik.gov.tr/hastahaklari/avrupastatusu.htm , (E.T: 18.05.2020). ↩︎
Bayındır H., Özel Sağlık Kurumları Kapsamında Kı̇şı̇sel Sağlık Verı̇lerı̇nı̇n İşlenmesı̇ ve Korunması, http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001664.pdf, s. 13. ↩︎
Bayındır, s. 14. ↩︎
Shabbir A., The EU’s Common Approach to Contact Tracing : the EDPB, EDPS, Commission and Parliament’s Responses, https://www.comparativecovidlaw.it/data-protection/ , s. 2, (E.T: 18.05.2020). ↩︎
Etteldorf C., Effectiveness versus Integrity, How Covıd-19 is Effecting Privacy, https://drive.google.com/file/d/1H0Q2H5CNY77piqdvy-JYH4uN21_sB1aU/view , s. 15, (E.T: 18.05.2020). ↩︎
Tartışma için bkz. Kuşkonmaz Mendos E./Guild E., Covid-19: A New Struggle over Privacy, Data Protection and Human Rights?, https://europeanlawblog.eu/2020/05/04/covid-19-a-new-struggle-over-privacy-data-protection-and-human-rights/; (E.T: 16.05.2020). ↩︎
Shabbir, s. 3. ↩︎
https://drive.google.com/file/d/1-ejipCPJVBaNGupAqEcqzqZEWjXVWyga/view , (E.T: 18.05.2020). ↩︎
Pollicino O., Fighting Covid-19 and protecting privacy under EU Law. A proposal looking at the roots of European Constitutionalism, https://drive.google.com/file/d/1wAKkY_JHcZURlBSQV2xZaP98sIQ0NCYx/view , s. 9, (E.T: 14.05.2020). ↩︎
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%22kiyutin%22], %22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22], %22itemid%22:[%22001-114900%22]}; (E.T: 18.05.2020). ↩︎
https://www.kararara.com/aihm/turkce2/aihm11004.htm , (E.T: 23.05.2020). ↩︎
https://hudoc.echr.coe.int/tur#{%22languageisocode%22:[%22TUR%22],%22appno%22: [%2237873/04%22],%22documentcollectionid2%22:[%22CHAMBER%22],%22itemid%22: [%22001-169100%22]} , (E.T: 18.05.2020). ↩︎
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%22vilnes%22], %22languageisocode%22:[%22TUR%22],%22appno%22:[%2252806/09%22], %22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22], %22itemid%22:[%22001-150863%22]} , (E.T: 14.05.2020). ↩︎
https://hudoc.echr.coe.int/tur#{"itemid":["001-169177"]}, (E.T: 18.05.2020). ↩︎
https://www.echr.coe.int/Documents/FS_Data_TUR.pdf, (E.T: 18.05.2020). ↩︎
https://www.anayasa.gov.tr/media/3600/aihmkararlarindanornekler.pdf, s. 200, (E.T: 12.05.2020). ↩︎
Atak S. Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBBD, S.87, 2010, s. 28 ↩︎
https://www.echr.coe.int/Documents/FS_Data_TUR.pdf, (E.T: 12.05.2020). ↩︎
https://www.echr.coe.int/Documents/Guide_Art_8_TUR.pdf, (E.T: 13.05.2020). ↩︎
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%227508/02%22],%22documentcollectio nid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%22itemid%22:[%22001- 77356%22]}. (E.T: 13.05.2020). ↩︎
Kayıtlara ilişkin bkz. Ömür, s. 159 vd.; Yüksel G, Kişisel Sağlık Verilerinin Hukuki Korunması, Sağlık Akademisyenleri Dergisi, Vol.6 , 2018, s. 3 vd. ↩︎
Ömür, s. 162; İzgi C., Mahremiyet Kavramı Bağlamında Kişisel Sağlık Verileri, Türkiye Biyoetik Dergisi, 2014 Vol. 1, No. 1, 25-37, s. 33 vd. ↩︎
Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
... ↩︎YHGK, 4.4.2001, E.2011/4-333, K. 2011/335; (Dülger, s. 62). ↩︎
Kaynakça
Atak S., “Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladığı Temel Güvenceler”, TBBD, S.87, 2010, s. 90-120.
Aydın N., “Tıp Ceza Hukukunda Verileri Hukuka Aykırı Olarak Verme ve Ele Geçirme Suçu (TCK C.136.)”, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C.21, S.2, 2013, s. 7-30.
Bayındır H., Özel Sağlık Kurumları Kapsamında Kı̇şı̇sel Sağlık Verı̇lerı̇nı̇n İşlenmesı̇ ve Korunması, http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001664.pdf, s. 13.
Dülger V.M., “Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti”, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 1 (2), 2015, s. 43-80.
Etteldorf C., Effectiveness versus Integrity, How Covıd-19 is Effecting Privacy, https://drive.google.com/file/d/1H0Q2H5CNY77piqdvy-JYH4uN21_sB1aU/view.
İzgi C., “Mahremiyet Kavramı Bağlamında Kişisel Sağlık Verileri”, Türkiye Biyoetik Dergisi, 2014 Vol. 1, No. 1, s. 25-37.
Kuşkonmaz Mendos E./Guild E., Covid-19: A New Struggle over Privacy, Data Protection and Human Rights?, https://europeanlawblog.eu/2020/05/04/covid-19-a-new-struggle-over-privacy-data-protection-and-human-rights/
Ömür R.C., “Kişisel Sağlık Verilerinin Korunması Ve Hastanelerin Sorumluluğu”, YÜHFD, C.XV, 2018/1, s.133-180.
Özkan F., Kişisel Sağlık Verilerinin Korunmasının Pozitif Temelleri ve AİHM Kararlarından Örnekler, Yüksek Lisans Tezi, https://tez.yok.gov.tr/UlusalTezMerkezi/; E.T.:20.05.2020)
Pollicino O., Fighting Covid-19 and protecting privacy under EU Law. A proposal looking at the roots of European Constitutionalism, https://drive.google.com/file/d/1wAKkY_JHcZURlBSQV2xZaP98sIQ0NCYx/view.
Sert G., Kişisel Verilerin Türk Ceza Kanunu Kapsamında Korunması, Seçkin Yay. Ankara 2019.
Shabbir A., The EU’s Common Approach to Contact Tracing : the EDPB, EDPS, Commission and Parliament’s Responses, https://www.comparativecovidlaw.it/data-protection/
Ünsal Zeybek Ç./ Büken Örnek N., “Kişisel Verilerin Korunması Kanununun Biyomedikal Alana Yansımaları Açısından Değerlendirilmesi”, Hacettepe HFD, 7(2) 2017, s. 33–54.
Yüksel G., “Kişisel Sağlık Verilerinin Hukuki Korunması”, Sağlık Akademisyenleri Dergisi, Vol.6 , 2018, s.1-10.
İnternet Kaynakları
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%22kiyutin%22], %22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22], %22itemid%22:[%22001-114900%22]}
https://www.kararara.com/aihm/turkce2/aihm11004.htm
https://hudoc.echr.coe.int/tur#{%22languageisocode%22:[%22TUR%22],%22appno%22: [%2237873/04%22],%22documentcollectionid2%22:[%22CHAMBER%22],%22itemid%22: [%22001-169100%22]}
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%22vilnes%22], %22languageisocode%22:[%22TUR%22],%22appno%22:[%2252806/09%22], %22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22], %22itemid%22:[%22001-150863%22]}
https://hudoc.echr.coe.int/tur#{"itemid":["001-169177"]}
https://www.echr.coe.int/Documents/FS_Data_TUR.pdf
https://www.anayasa.gov.tr/media/3600/aihmkararlarindanornekler.pdf
https://www.echr.coe.int/Documents/Guide_Art_8_TUR.pdf
https://hudoc.echr.coe.int/tur#{%22fulltext%22:[%227508/02%22],%22documentcollectio nid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%22itemid%22:[%22001- 77356%22]}.