Top

Kişisel Sağlık Verilerinin İşlenmesi

kişiselveriler.blog / Bilgi Bankası  / Kişisel Sağlık Verilerinin İşlenmesi

Kişisel Sağlık Verilerinin İşlenmesi

Kanun koyucu, işlenmelerinin kişiler hakkında ayrımcılığa yol açma riskinin yüksek olması nedeniyle veya verinin hassasiyetine binaen birtakım verileri özel nitelikli kişisel veri (hassas veri) olarak nitelendirmiş ve işlenme şartları daha sıkı bir şekilde düzenlemiştir. Bu kapsamda kişisel sağlık verilerinin işlenmesi de Kanun’da birtakım özel şartlara tabi olarak düzenlenmiş olup veri sorumlularının bu özel şartlara riayet etmesi gerekmektedir.

KİŞİSEL SAĞLIK VERİSİ NİDİR?


Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisidir. Örneğin, kişiye ait sağlık raporu, engel durumu, işçinin periyodik muayene raporu vb. veriler sağlık verisi niteliği taşırlar. Hatta, nüfus cüzdanı üzerinde bulunan kan grubu bilgisi veya duruma göre kişinin fotoğrafı da (sedef hastalığına sahip veya gözlük kullanan birinin vesikalık fotoğrafı gibi) esasında sağlık verisidir.

Dolayısıyla veri sorumluları, nüfus cüzdanı fotokopisi aldığında bile (kan grubu bilgisinden dolayı) esasen sağlık verisi işlediklerinden Kanun ve Sağlık Verileri Yönetmeliği’nde belirlenen özel şartlara uymaları gerekir.

SAĞLIK VERİLERİNİN İŞLENMESİNDE UYULMASI GEREKEN KURALLAR NELERDİR?


Kişisel sağlık verileri de, diğer kişisel verilerde olduğu gibi Kanun’da belirtilen genel ilkelere uygun olarak işlenmek zorundadır. Bu ilkeler;

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sıralanmıştır. (Genel ilkeler ile ilgili detaylı bilgi için tıklayınız.)

SAĞLIK VERİLERİ NASIL İŞLENMELİDİR?


Kişisel sağlık verileri, kural olarak veri sahibinin açık rızasının alındığı durumlarda işlenebilir. Açık rızanın geçerli olabilmesi için, veri sahiplerinin Kanun’un 10. maddesine uygun olarak aydınlatılması gerekir. (Aydınlatma Yükümlülüğüne ilişkin detaylı bilgi için tıklayınız.)

Yönetmelik’in yürürlüğe girdiği tarihte, kişisel sağlık verileri için alınacak rızanın yazılı olması ve muhafaza edilmesi zorunluydu. Ancak 24.11.2017 tarihli değişiklik ile bu şart kaldırılmıştır.

Dolayısıyla, sağlık verileri için her ne kadar genel kural olarak açık rıza alınmak zorunda olsa da, bu rızanın yazılı olmasına gerek bulunmamaktadır. Ancak ispat yükünden kurtulmak için açık rızanın yazılı olarak alınması tavsiye edilmektedir. 

Veri sahibi, aksi yönde bir hukuki düzenleme veya yargı kararı bulunmadığı müddetçe vermiş olduğu rızayı istediği zaman geri alabilir. Ancak rızanın geri alınması, o tarihe kadar yapılmış olan işlemlerin geçerliliğini etkilemez.

Açık rızanın bulunmadığı durumlarda ise sağlık verisinin işlenebilmesi için aşağıdaki şartların birlikte gerçekleşmesi gerekir:

  1. Aşağıdaki amaçlarından en az biri mevcut olmalıdır:
    • Kamu sağlığının korunması,
    • Koruyucu hekimlik,
    • Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
    • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
  2.  Sağlık verileri sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmelidir.

Bu sebeple sağlık verileri, bir hakkın tesisi, veri sorumlusunun meşru menfaati gibi genel nitelikteki kişisel verilerin açık rıza olmaksızın işlenebileceği hallerin mevcudiyetinde dahi, eğer yukarıdaki şartları taşımıyorsa açık rıza olmaksızın işlenemez.

Dolayısıyla şirketin meşru bir menfaati bulunsa bile, bina ve tesis girişlerinde ziyaretçilerin kimliğinin fotokopisini (kan grubu verisi bulunduğu için) personelin açık rızası olmadan alamayacaktır.

Sağlık verilerinin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek yeterli önlemlerin de alınması gerekmektedir.

SAĞLIK VERİLERİNİN AKTARIMI NASIL YAPILIR?


Kişisel sağlık verileri; veri sahibinin açık rızasının alındığı durumlarda yurt içinde ya da yurt dışına aktarılabilir. Açık rızanın bulunmadığı hallerde ise aktarım için verilerin anonimleştirilmesi ya da aşağıdaki şartların sağlanması gerekir:

Kişisel sağlık verilerinin yurt içinde aktarılması için veri aktarımının;

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amaçlarından en az biri ile sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılması gerekir.

Yurt dışına aktarımda ise yukarıdaki şartlara ilave olarak; aktarım yapılacak ülkenin Kurul tarafından güvenli ülke kabul edilmiş olması ya da her iki ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un veri aktarımına izin vermesi gerekir.

SAĞLIK VERİSİ SAHİBİNİN HAKLARI NELERDİR?


Veri sahipleri; veri sorumlusuna başvurarak;

  • Kişisel sağlık verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel sağlık verileri işlenmişse buna ilişkin bilgi talep etme
  • Kişisel sağlık verilerine erişim ve bu verileri isteme,
  • Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel sağlık verilerinin silinmesini gerektiren şartların ortaya çıkması halinde kişisel verilerin silinmesini isteme,
  • Kişisel sağlık verilerinin düzeltilmesi ve silinmesi ile ilgili işlemlerin, kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

6) Kimler Sır Saklama Yükümlülüğü Altında?

Veri sorumlusu ve varsa veri işleyen kişiler, öğrendikleri kişisel verileri Kanun ve Yönetmelik hükümlerine aykırı olarak bir başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, kişisel veri işleme faaliyetinin sona ermesinden sonra da devam eder.

Dolayısıyla örneğin kanun kapsamında bir işveren, personelinin sahip olduğu ülser hastalığına dair bilgiyi hiçbir şekilde amacı dışında kullanamayacak ve kimseye bahsetmeyecektir.

İHLAL DURUMUNDA HANGİ YAPTIRIMLAR UYGULANIR?


Kişisel sağlık verilerine ilişkin suç ve kabahatler konusunda Kanun’un yaptırıma ilişkin maddelerine atıf yapılmıştır. Dolayısıyla, sağlık verisi dışındaki kişisel verilere paralel olarak, sağlık verilerine ilişkin suçlar ve kabahatler bakımından da Kanun’un 17 ve 18. maddeleri uygulanacaktır. O halde ihlal durumunda sorumluların;

  • 6 yıla varan hapis cezası,
  • 1.000.000 TL’ye varabilen idari para cezası ve
  • Zarara uğrayanların zararını tazmin sorumluluğu

ile karşılaşması mümkündür.

Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın