Makale

Günümüzde teknolojinin hızla gelişmesi ve dijitalleşmenin sağlık sektörüne entegre olması, kişisel sağlık verilerinin korunması konusunu bilişim hukukunun en temel tartışma alanlarından biri haline getirmiştir. Bir hastanın tanı ve tedavi süreci boyunca elde edilen tüm bilgileri, hukuki açıdan hassas bir koruma rejimine tabi tutulmalıdır. Kişisel Verilerin Korunması Kanunu ve ilgili alt mevzuat, bireylerin mahremiyetini güvence altına alırken, sağlık hizmeti sunucularına da idari ve hukuki yükümlülükler yüklemektedir. Bu bağlamda, hukuki ihtilafların ve potansiyel yaptırımların önüne geçilebilmesi için öncelikle kişisel veri, özel nitelikli kişisel veri, tıbbi kayıt ve özel sağlık kurumu gibi temel kavramların mevzuat ışığında doğru bir şekilde tanımlanması şarttır. Hukuk uygulamaları açısından bu kavramların sınırlarının çizilmesi, sadece hastaların enformasyonel self-determinasyon hakkı güvencesini sağlamakla kalmaz, aynı zamanda hastaneler ve hekimler için de hukuka uygun bir veri yönetim politikasının temelini oluşturur.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları

Hukuk sistemimizde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bilişim hukuku uygulamalarında bir verinin kişisel veri vasfı taşıyabilmesi için kimliği belirli veya belirlenebilir olmak, gerçek kişi olmak, bilgi niteliği taşımak ve bilginin kişiye ilişkin olması gibi temel unsurları barındırması aranır. Bireyin şahsi, mesleki veya ailevi özelliklerine işaret eden bu bilgiler, onun toplum içindeki konumunu doğrudan etkileme potansiyeline sahiptir. Kanun koyucu, ayrımcılığa yol açma riski daha yüksek olan belirli verileri ise özel nitelikli kişisel veri statüsünde değerlendirerek çok daha sıkı bir koruma rejimine tabi tutmuştur. Kanun uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi, kılık kıyafeti, genetik verileri ile sağlık ve cinsel hayata ilişkin verileri bu hassas veri kategorisinde yer alır. Hukuki ihtilaflarda, bu verilerin sızdırılması durumunda ortaya çıkan zararların boyutu daha yüksek olduğundan, hukuki denetim süreçleri oldukça titiz yürütülmelidir.

Kişisel Sağlık Verisi ve Tıbbi Kayıt Ayrımı

Kişisel sağlık verisi, mevzuatta kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler şeklinde tanımlanmaktadır. Uygulamada, hastanelere müracaat anından taburcu sürecine kadar olan evrede elde edilen kan tahlili sonuçları, tıbbi görüntüleme raporları, reçete bilgileri ve teşhis kayıtlarının tamamı bu kapsamdadır. Öte yandan, hekim veya diğer sağlık personelince hazırlanan, kağıt veya elektronik ortam üzerine kaydedilmiş her türlü bilgi ve belge ise tıbbi kayıt olarak adlandırılmaktadır. Bilişim hukuku avukatı olarak vurgulamak gerekir ki, her tıbbi kayıt içerisinde zorunlu olarak kişisel sağlık verisi barındırsa da, bazen kimlik numarası veya iletişim bilgisi gibi sağlık durumuna doğrudan işaret etmeyen standart verileri de içerebilir. Bu bağlamda, veri koruma davalarında verinin ait olduğu kategorinin isabetli tespiti, uygulanacak hukuki yaptırımın ve normların niteliğini doğrudan belirleyecektir.

Kişisel Sağlık Verilerini Düzenleyen Ulusal ve Uluslararası Mevzuat

Kişisel sağlık verilerinin korunması, farklı hukuki normlar hiyerarşisi içerisinde şekillenmiş geniş bir mevzuat ağına dayanır. Özellikle sanayi toplumundan bilgi toplumuna geçişle birlikte, verilerin dijital ortamlarda ve hastane bilgi yönetim sistemlerinde sınırsızca depolanabilmesi, uluslararası hukuki standartların oluşturulmasını zorunlu kılmıştır. Bilişim hukuku alanındaki uyuşmazlıklarda referans alınan normlar, uygulanacak olan hukuki korumanın sınırlarını belirler. Türk hukuku açısından Anayasa'nın yirminci maddesinde düzenlenen özel hayatın gizliliği hakkı, sistemin temelini oluşturur. Bunun yansıması olarak yürürlüğe giren kanun ve yönetmelikler, özel sağlık kurumlarının faaliyetlerinde uyması gereken kuralları saptar. Hukuki hak ihlallerini değerlendirirken aşağıdaki temel düzenlemeler çerçevesinde inceleme yapmak gerekmektedir:

• 108 No'lu Avrupa Konseyi Sözleşmesi: Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunmasını sağlayan ve uluslararası bağlayıcılığı olan ilk düzenlemedir.
• Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR): Avrupa standartlarında kişisel verilerin işlenmesi ve serbest dolaşımını düzenleyerek bireylere daha fazla kontrol imkanı sağlayan güncel mevzuattır.
• Kişisel Verilerin Korunması Kanunu: Türk hukukunda kişisel verilerin temel kavramlarını, işlenme ilkelerini ve ilgili kişinin haklarını bütüncül olarak ele alan en önemli ulusal kanundur.
• Kişisel Sağlık Verileri Hakkında Yönetmelik: Sağlık Bakanlığı teşkilatı ve özel sağlık kurumlarının sağlık verilerini işleme ve mahremiyeti sağlama süreçlerine ilişkin usul ve esasları detaylandıran alt düzenlemedir.
• Hasta Hakları Yönetmeliği: Tıbbi müdahale sırasında hastanın mahremiyetinin ve özel hayatının gizliliğinin korunmasını temin eden sektörel hukuki güvenceleri içerir.

Kişisel Sağlık Verilerinin Hukuki Niteliği

Hukuk doktrininde kişisel verilerin hukuki niteliği konusunda mülkiyet hakkı, fikri mülkiyet hakkı ve kişilik hakkı gibi farklı görüşler ileri sürülmüş olsa da, güncel bilişim hukuku yaklaşımı bu verileri farklı bir temele oturtmaktadır. Mülkiyet hakkı yaklaşımı, kişisel verilerin devredilebilir emtialar gibi değerlendirilmesine yol açacağı ve insan onuruna aykırı olacağı gerekçesiyle reddedilmektedir. Fikri mülkiyet teorisi ise verinin bir emek veya yaratıcı faaliyet sonucu oluşmaması nedeniyle hukuki bir zemin bulamamıştır. Modern bilişim hukuku uygulamalarında kabul gören ve uluslararası kararlara da yansıyan en isabetli yaklaşım, enformasyonel self-determinasyon hakkı görüşüdür. Bu hak, genel kişilik hakkı kavramının somut bir görünümü olup, bireye kendi verilerinin kullanımını belirleme imkanı tanır. Dolayısıyla, bir hukuk bürosunun veri ihlali davalarındaki temel argümanı, hastanın enformasyonel özerkliğinin ve kişilik haklarının haksız bir biçimde zedelenmiş olmasına dayanmalıdır.