Anasayfa/ Makale/ Hukuki Açıdan Kişisel Sağlık Verilerinin İşlenme Şartları

Hukuki Açıdan Kişisel Sağlık Verilerinin İşlenme Şartları

Kişisel sağlık verilerinin işlenmesi, KVKK ve GDPR uyum süreçleriyle birlikte köklü değişikliklere uğramıştır. 2024 yılındaki mevzuat güncellemeleriyle sağlık verilerinin işlenme şartları genişletilmiş, açık rızanın yanı sıra fiili imkânsızlık, hakkın tesisi ve kamu sağlığının korunması gibi çeşitli hukuka uygunluk sebepleri düzenlenmiştir.
search
5 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA HASTA HAKLARI KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel sağlık verilerinin işlenmesi; verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Hukuk uygulamaları bağlamında sağlık verileri, bireylerin en mahrem alanına ilişkin olduğu için özel nitelikli kişisel veri statüsünde kabul edilerek daha sıkı bir yasal korumaya tabi tutulmuştur. Yakın geçmişe kadar sağlık verilerinin işlenmesinde sınırlı hukuka uygunluk sebepleri bulunurken, 2024 yılında 7499 sayılı Kanun ile KVKK'nın ilgili maddelerinde Avrupa Birliği Genel Veri Koruma Tüzüğü'ne uyum sağlamak amacıyla köklü ve kapsamlı mevzuat değişiklikleri gerçekleştirilmiştir. Bu güncellemeler neticesinde, sağlık verileri ile diğer özel nitelikli veriler arasındaki ikili ayrım ortadan kaldırılmış ve sağlık verilerinin işlenme şartları önemli ölçüde genişletilerek uygulamadaki yasal zemin çok daha belirgin bir hale getirilmiştir.

KVKK Kapsamında Yeni İşlenme Şartları

KVKK'nın altıncı maddesinde yapılan değişiklik öncesinde, sağlık verilerinin açık rıza aranmaksızın işlenebileceği haller son derece dar tutulmuş ve yalnızca kamu sağlığının korunması veya tıbbi teşhis ve tedavi gibi amaçlarla, sır saklama yükümlülüğü altındaki kişiler ile yetkili kurum ve kuruluşlara bu yetki tanınmıştı. Ancak 2024 yılında yürürlüğe giren yeni yasal düzenlemelerle, özel nitelikli kişisel verilerin işlenmesine ilişkin bu katı ve ikili yapı terk edilmiştir. Mevcut yasal çerçevede, kişisel sağlık verilerinin işlenmesi prensip olarak yasaklanmakla birlikte, kanunda tahdidi olarak sayılan belirli hukuka uygunluk sebeplerinin varlığı halinde veri işleme faaliyetinin gerçekleştirilebileceği hüküm altına alınmıştır. Bu hukuki reform, sağlık sektöründeki veri akışının Avrupa Birliği veri koruma standartlarına uygun bir şekilde, modern ihtiyaçları karşılayacak esnekliğe ve aynı zamanda güçlü bir hukuki belirliliğe kavuşmasını sağlamıştır. Böylelikle, uygulamada karşılaşılan bürokratik engellerin ve hukuki tereddütlerin önüne geçilmesi hedeflenmiştir.

Açık Rıza Aranmaksızın Veri İşlenebilecek Haller

Sağlık verilerinin işlenmesinde ilgili kişinin açık rızası bir hukuka uygunluk sebebi olmaya devam etmekle birlikte, KVKK'nın güncel mevzuatı uyarınca açık rıza olmaksızın sağlık verilerinin yasal olarak işlenebileceği durumlar şu şekilde sıralanmıştır:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması.
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.

Genel İlkelere Uyum Zorunluluğu

Sağlık verilerinin yasal olarak işlenmesinde yalnızca kanunda yer alan hukuka uygunluk sebeplerinin bulunması yeterli olmayıp, aynı zamanda KVKK'da düzenlenen genel ilkelere katı bir şekilde riayet edilmesi hukuki bir zorunluluktur. Bu kapsamda veri işleme faaliyetinin hukuka ve dürüstlük kurallarına eksiksiz uygun olması gerekmektedir. Özellikle sağlık verileri gibi bireylerin mahremiyetini en üst düzeyde ilgilendiren özel nitelikli verilerin, objektif güven kuralları çerçevesinde ve makul bir insandan beklenecek şekilde işlenmesi şarttır. Ayrıca, işlenen sağlık verilerinin doğru ve gerektiğinde güncel olması, yalnızca belirli, açık ve meşru amaçlar doğrultusunda işlenmesi gerekmektedir. Hukuk uygulamalarında yaptırıma en çok konu olan ihlallerden biri olan ölçülülük ilkesi uyarınca, sağlık verilerinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, diğer bir deyişle veri minimizasyonu kuralına mutlak suretle uyulması gerekmektedir. İhtiyaç duyulandan daha fazla sağlık verisinin işlenmesi, hukuka aykırı bir veri işleme faaliyeti olarak nitelendirilecektir.

Hastaneye gittiğimde sağlık verilerim için benden her zaman onay almaları şart mı? expand_more
Kişisel Verilerin Korunması Kanunu'na (KVKK) göre sağlık verilerinizin işlenmesinde açık rızanız temel bir hukuka uygunluk sebebidir, ancak her durumda mutlak suretle şart değildir. 2024 yılında yapılan kapsamlı mevzuat değişiklikleri neticesinde açık rıza aranmaksızın veri işlenebilecek haller önemli ölçüde genişletilmiştir. Sır saklama yükümlülüğü altındaki kişiler ve yetkili kurumlar; tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması gibi yasal amaçlarla rızanız olmaksızın bu verileri işleyebilirler. Dolayısıyla hastanelerin bu yasal çerçevede sunduğu hizmetler esnasında her bir işlem için sizden ayrıca onay alması hukuken zorunlu tutulmamıştır.
Acil bir durumda baygınken onayım olmadan sağlık bilgilerime bakabilirler mi? expand_more
Evet, acil durumlarda tıbbi müdahale için açık rızanızın alınmasına hukuken gerek bulunmamaktadır. Kanun, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişilerin veya bir başkasının hayatının yahut beden bütünlüğünün korunması zorunluluğu halinde veri işlenmesine açıkça izin vermektedir. Bu tür hayati tehlike arz eden acil durumlarda, sağlık çalışanlarının tıbbi geçmişinize veya kan grubunuza erişmesi tamamen hukuka uygun bir işlemdir. Böylelikle yasakoyucu, bireylerin en mahrem alanı olan sağlık verilerini korurken en temel insan hakkı olan yaşam hakkını da yasal güvence altına almıştır.
İşverenim benden sağlık belgelerimi veya hastane raporlarımı talep edebilir mi? expand_more
Evet, işvereninizin mevzuattan doğan belirli yasal yükümlülükler çerçevesinde sizden sağlık verilerinizi talep etmesi hukuka uygundur. Gerçekleştirilen son mevzuat reformu ile birlikte; istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi amacıyla sağlık verilerinin açık rıza aranmaksızın işlenebileceği hüküm altına alınmıştır. İşvereniniz, işe uygunluğunuzu denetlemek veya mesleki riskleri değerlendirmek gibi kanuni sorumluluklarını ifa etmek için bu belgeleri isteyebilir. Ancak bu süreçte işvereniniz, verilerinizi yalnızca yasanın izin verdiği meşru amaçlarla sınırlı tutmak ve objektif güven kurallarına riayet etmek zorundadır.
Hastane veya doktorlar gereksiz yere bütün sağlık geçmişimi benden isteyebilir mi? expand_more
Hayır, tarafınızdan tıbbi gereklilik sınırlarını aşan, gereğinden fazla sağlık verisi talep edilmesi doğrudan hukuka aykırı bir veri işleme faaliyeti olarak nitelendirilir. Sağlık verilerinizin kanunda belirtilen hukuka uygunluk sebeplerinden birine dayanılarak işlenmesi tek başına yeterli değildir; veri sorumlusunun KVKK'nın genel ilkelerine de katı bir şekilde uyması hukuki bir zorunluluktur. Bu kapsamda uygulamada sıklıkla karşılaştığımız ölçülülük ilkesi ihlallerinin önüne geçmek adına "veri minimizasyonu" kuralı işletilmektedir. İşlenen verilerin mutlak suretle toplanma amacıyla bağlantılı, sınırlı ve ölçülü olması gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir