Makale
Kişisel sağlık verilerinin sağlık meslek mensuplarınca hukuka aykırı şekilde kaydedilmesi, ele geçirilmesi veya ifşa edilmesi, Türk Ceza Kanunu kapsamında ciddi yaptırımlara tabidir. Bu makalede, veri ihlallerinden doğan cezai sorumluluklar, suç tipleri ve nitelikli haller hukuki bir perspektifle incelenmektedir.
Kişisel Sağlık Verileri İhlallerinde TCK Kapsamında Cezai Yaptırımlar
Sağlık mesleği, bireylerin en mahrem bilgilerini öğrenme, kaydetme ve paylaşma özelliği taşıyan ve bu nedenle sır saklama yükümlülüğünün en üst düzeyde olduğu bir alandır. Kişisel sağlık verilerinin izinsiz veya hukuka aykırı yollarla üçüncü kişilerle paylaşılması, hastaların mahremiyet hakkını ihlal ettiği gibi Türk Ceza Kanunu çerçevesinde doğrudan suç teşkil etmektedir. Günümüzde teknolojik gelişmelerin hız kazanması ve dijital hastane otomasyon sistemlerinin yaygınlaşması, bilişim sistemleri üzerinden gerçekleşen veri ihlali risklerini artırmıştır. Hukuk sistemimizde, sağlık meslek mensuplarının suç sayılan fiillerini özel olarak düzenleyen bağımsız bir ceza mevzuatı bulunmasa da, kişisel verilerin ihlali durumunda TCK'nın ilgili maddeleri devreye girmektedir. Bu noktada, hastaların özel hayatının gizliliğine ve sağlık hakkına yönelik saldırıları önlemek amacıyla, kanun koyucu tarafından veri ihlali fiilleri doğrudan hapis cezası yaptırımına bağlanmıştır. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, sağlık çalışanlarının veri kayıt ve ifşa süreçlerinde yasal sınırlar içerisinde kalması, ağır cezai yaptırımların doğmaması açısından hayati önem taşımaktadır.
Kişisel Verilerin Hukuka Aykırı Kaydedilmesi Suçu
Türk Ceza Kanunu'nun 135. maddesi, kişisel verilerin kaydedilmesi suçunu düzenlemekte olup, hukuka aykırı olarak kişisel verileri dijital yahut fiziki ortamlara kaydeden kimseler hakkında hapis cezası öngörmektedir. Suçun oluşması için mağdurun somut bir zarar görmesi şart aranmamakta, eylemin kendisi soyut tehlike suçu olarak kabul edilmektedir. Sağlık verileri, niteliği gereği özel nitelikli kişisel veri statüsünde bulunduğundan, bu tür hassas bilgilerin rıza dışı kaydedilmesi durumunda faile verilecek ceza yarı oranında artırılmaktadır. Bir hastanın tıbbi geçmişi, psikolojik bulguları veya laboratuvar tahlil sonuçlarının, tıbbi zorunluluklar ve sağlık hizmetinin gayesi dışında yetkisiz şekilde kaydedilmesi doğrudan bu suçu oluşturur. Mevzuatın gerekçesinde de açıkça belirtildiği üzere, yasa dışı kaydın manuel olarak bir deftere yazılması ile bilişim sistemleri kullanılarak sanal ortama aktarılması arasında ceza hukuku bağlamında herhangi bir fark bulunmamakta ve yasa dışı her türlü kayıt faaliyeti doğrudan cezalandırılmaktadır.
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu
Sağlık kurumlarında önceden kaydedilmiş verilerin yetkisiz kişilerin eline geçmesi veya kasten onlara sunulması eylemleri, TCK'nın 136. maddesi kapsamında verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu olarak cezalandırılmaktadır. Bu yapı, seçimlik hareketli suç modelinde tasarlanmış olup, ilgili hareketlerden yalnızca birinin gerçekleştirilmesi suçun tamamlanması için yeterli görülmektedir. Bir sağlık profesyonelinin, kendi hastası olmayan bir bireyin tıbbi dosyasına izinsiz erişim sağlaması yahut kendi hastasına ait verileri hastanın açık rızası olmaksızın basınla veya üçüncü şahıslarla paylaşması, yasalardaki sır saklama yükümlülüğünün ağır bir ihlalidir. Örneğin, emsal Yargıtay kararlarına konu olan bazı vakalarda, aynı kurumda çalışan bir personelin doğum belgesinin izinsiz olarak alınarak idari soruşturma dosyasına sunulması dahi, bu madde çerçevesinde mahkumiyetle sonuçlanmıştır. Tıbbi verinin başlangıçta hukuka uygun bir şekilde kaydedilmiş olması, sonrasında gerçekleşen rıza dışı ifşa veya yayma fiillerinin cezai sorumluluğunu kesinlikle ortadan kaldırmaz.
Sağlık Çalışanlarına Özgü Nitelikli Haller ve Cezanın Artırılması
Bilişim ve sağlık hukuku kesişiminde yargıya intikal eden en ciddi sorunlardan biri, kamu gücünün veya mesleki yetkilerin kötüye kullanılması eylemidir. TCK'nın 137. maddesi çerçevesinde, bahsi geçen veri ihlallerinin kamu görevlisi tarafından ve görevin sağladığı yetki kötüye kullanılarak yahut hekimlik veya hemşirelik gibi belli bir mesleğin sağladığı erişim kolaylığından yararlanılarak işlenmesi yasa koyucu tarafından nitelikli hal olarak tanımlanmıştır. Bu ağırlaştırıcı sebebin varlığı durumunda faile verilecek hapis cezası doğrudan yarı oranında artırılarak infaz edilmektedir. Hastanelerde görev yapan bir sağlık mensubu, otomasyon sistemlerine yasal olarak tanımlanmış erişim yetkisini kişisel husumet, merak veya maddi çıkar saikiyle kötüye kullanarak hasta verilerini sorgularsa, bu eylem salt bir disiplin suçu olmaktan çıkarak ağırlaştırılmış cezai boyuta taşınır. Getirilen bu sıkı yaptırım, hastaların mahremiyet hakkını en üst düzeyde güvence altına almayı amaçlamakta ve meslek mensuplarına eriştikleri hassas verilerin sınırlarını kesin bir biçimde hatırlatmaktadır.
Veri İhlali Suçlarında Hukuka Uygunluk Nedenleri
Ceza hukukunun temel prensiplerine göre, gerçekleştirilen eylemin suç teşkil etmemesi için hukuken geçerli bir gerekçenin bulunması zorunludur. Kişisel sağlık verileri özelinde, tıbbi kayıt ve müdahalenin hukuka uygun kabul edilebilmesi için gereken en temel unsur, veri sahibi hastanın geçerli bir aydınlatılmış rızasının bulunmasıdır. Ayrıca, TCK'nın ilgili maddeleri uyarınca, kanun hükmünü yerine getirme veya görevin ifası gibi durumlar geçerli birer hukuka uygunluk nedeni olarak kabul edilir. Bir bilişim hukuku uygulaması çerçevesinde değerlendirildiğinde, tıp biliminin ve teşhis süreçlerinin zorunlu kıldığı ölçüde hastanın elektronik sağlık dosyasına veri işlenmesi hukuka tamamen uygundur. Benzer şekilde, adli makamların resmi bilgi taleplerine yanıt verilmesi, adli tıp incelemeleri yapılması veya bulaşıcı hastalıkların yasal yükümlülük gereği yetkili idari mercilere bildirilmesi failler açısından hiçbir cezai sorumluluk doğurmaz. Ancak, yasal yetki sınırlarının aşıldığı, verilerin rıza ve kamu yararı kapsamı dışında işlendiği her eylem şüpheli kabul edilip soruşturmaya konu olmaktadır.
TCK Kapsamında İlgili Kanun Maddeleri ve Yaptırımlar Tablosu
Türk Ceza Hukuku bağlamında, kamu veya özel sağlık kuruluşlarında gerçekleşen veri ihlalleri spesifik kanun maddeleriyle yaptırım altına alınmıştır. Hem fiziksel belgelerle hem de bilişim sistemleri aracılığıyla işlenen bu suç tiplerine ve karşılığı olan yaptırımlara dair veriler, hukuki süreçlerin temel dayanağını oluşturur. Bir ihlal vakasının incelenmesi sırasında, eylemin yalnızca bir mesleki kusur mu yoksa hürriyeti bağlayıcı ceza gerektiren kasti bir fiil mi olduğu, doğrudan bu maddelerin şartlarına göre değerlendirilmektedir. İlgili eylemler, insan onurunu ve mahremiyetini merkeze alan özel nitelikli veriler üzerinde gerçekleştirildiğinden mahkemelerce hassasiyetle ele alınmaktadır. Aşağıdaki tabloda, hukuka aykırı fiillerin hukuki nitelendirmesi ve karşılık gelen kanun maddeleri özetlenmiştir.
| Kanun Maddesi | Suçun Tanımı / İhlal Türü | Ceza ve Yaptırım Boyutu |
|---|---|---|
| TCK md. 135 | Kişisel Verilerin Kaydedilmesi | 1 yıldan 3 yıla kadar hapis (Sağlık verisi ise ceza yarı oranında artırılır) |
| TCK md. 136 | Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme | 2 yıldan 4 yıla kadar hapis |
| TCK md. 137 | Nitelikli Haller (Kamu görevinin veya mesleğin kötüye kullanımı) | Verilecek hapis cezası yarı oranında artırılır |
| TCK md. 138 | Verileri Yok Etmeme Suçu | 6 aydan 1 yıla kadar hapis |
| TCK md. 210/2 | Gerçeğe Aykırı Belge Düzenleme (Sahte tıbbi kayıt oluşturma) | 3 aydan 1 yıla kadar hapis |