Makale
Kişisel sağlık verilerinin işlenmesi, KVKK ve GDPR uyum süreçleriyle birlikte köklü değişikliklere uğramıştır. 2024 yılındaki mevzuat güncellemeleriyle sağlık verilerinin işlenme şartları genişletilmiş, açık rızanın yanı sıra fiili imkânsızlık, hakkın tesisi ve kamu sağlığının korunması gibi çeşitli hukuka uygunluk sebepleri düzenlenmiştir.
Hukuki Açıdan Kişisel Sağlık Verilerinin İşlenme Şartları
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel sağlık verilerinin işlenmesi; verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Hukuk uygulamaları bağlamında sağlık verileri, bireylerin en mahrem alanına ilişkin olduğu için özel nitelikli kişisel veri statüsünde kabul edilerek daha sıkı bir yasal korumaya tabi tutulmuştur. Yakın geçmişe kadar sağlık verilerinin işlenmesinde sınırlı hukuka uygunluk sebepleri bulunurken, 2024 yılında 7499 sayılı Kanun ile KVKK'nın ilgili maddelerinde Avrupa Birliği Genel Veri Koruma Tüzüğü'ne uyum sağlamak amacıyla köklü ve kapsamlı mevzuat değişiklikleri gerçekleştirilmiştir. Bu güncellemeler neticesinde, sağlık verileri ile diğer özel nitelikli veriler arasındaki ikili ayrım ortadan kaldırılmış ve sağlık verilerinin işlenme şartları önemli ölçüde genişletilerek uygulamadaki yasal zemin çok daha belirgin bir hale getirilmiştir.
KVKK Kapsamında Yeni İşlenme Şartları
KVKK'nın altıncı maddesinde yapılan değişiklik öncesinde, sağlık verilerinin açık rıza aranmaksızın işlenebileceği haller son derece dar tutulmuş ve yalnızca kamu sağlığının korunması veya tıbbi teşhis ve tedavi gibi amaçlarla, sır saklama yükümlülüğü altındaki kişiler ile yetkili kurum ve kuruluşlara bu yetki tanınmıştı. Ancak 2024 yılında yürürlüğe giren yeni yasal düzenlemelerle, özel nitelikli kişisel verilerin işlenmesine ilişkin bu katı ve ikili yapı terk edilmiştir. Mevcut yasal çerçevede, kişisel sağlık verilerinin işlenmesi prensip olarak yasaklanmakla birlikte, kanunda tahdidi olarak sayılan belirli hukuka uygunluk sebeplerinin varlığı halinde veri işleme faaliyetinin gerçekleştirilebileceği hüküm altına alınmıştır. Bu hukuki reform, sağlık sektöründeki veri akışının Avrupa Birliği veri koruma standartlarına uygun bir şekilde, modern ihtiyaçları karşılayacak esnekliğe ve aynı zamanda güçlü bir hukuki belirliliğe kavuşmasını sağlamıştır. Böylelikle, uygulamada karşılaşılan bürokratik engellerin ve hukuki tereddütlerin önüne geçilmesi hedeflenmiştir.
Açık Rıza Aranmaksızın Veri İşlenebilecek Haller
Sağlık verilerinin işlenmesinde ilgili kişinin açık rızası bir hukuka uygunluk sebebi olmaya devam etmekle birlikte, KVKK'nın güncel mevzuatı uyarınca açık rıza olmaksızın sağlık verilerinin yasal olarak işlenebileceği durumlar şu şekilde sıralanmıştır:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması.
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.
Genel İlkelere Uyum Zorunluluğu
Sağlık verilerinin yasal olarak işlenmesinde yalnızca kanunda yer alan hukuka uygunluk sebeplerinin bulunması yeterli olmayıp, aynı zamanda KVKK'da düzenlenen genel ilkelere katı bir şekilde riayet edilmesi hukuki bir zorunluluktur. Bu kapsamda veri işleme faaliyetinin hukuka ve dürüstlük kurallarına eksiksiz uygun olması gerekmektedir. Özellikle sağlık verileri gibi bireylerin mahremiyetini en üst düzeyde ilgilendiren özel nitelikli verilerin, objektif güven kuralları çerçevesinde ve makul bir insandan beklenecek şekilde işlenmesi şarttır. Ayrıca, işlenen sağlık verilerinin doğru ve gerektiğinde güncel olması, yalnızca belirli, açık ve meşru amaçlar doğrultusunda işlenmesi gerekmektedir. Hukuk uygulamalarında yaptırıma en çok konu olan ihlallerden biri olan ölçülülük ilkesi uyarınca, sağlık verilerinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, diğer bir deyişle veri minimizasyonu kuralına mutlak suretle uyulması gerekmektedir. İhtiyaç duyulandan daha fazla sağlık verisinin işlenmesi, hukuka aykırı bir veri işleme faaliyeti olarak nitelendirilecektir.