Makale
Sağlık hizmetleri sürecinde elde edilen kişisel verilerin işlenmesi ve arşivlenmesi, hukuki güvenlik ve mahremiyet ilkeleri çerçevesinde hassasiyet gerektirir. Bu süreç, verilerin toplanmasından yasal saklama sürelerinin sonuna kadar veri sorumlusunun denetiminde ve mevzuata tam uyumla yürütülmelidir.
Kişisel Sağlık Verilerinin İşlenmesi ve Arşivleme Süreci
Sağlık kurumlarında hastaların teşhis, tedavi ve bakım süreçleri yürütülürken son derece kritik öneme sahip olan kişisel sağlık verileri elde edilmektedir. Bu bağlamda söz konusu verilerin toplanması, kaydedilmesi, düzenlenmesi ve saklanması gibi faaliyetlerin bütünü, veri işleme süreci olarak adlandırılmaktadır. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, verilerin hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla işlenmesi yasal bir zorunluluktur. Günümüzde tıbbi kayıtların kağıt üzerinden dijital ortama aktarılması hız kazanmış olsa da hukuki yükümlülükler açısından verinin bulunduğu fiziksel veya sanal ortam herhangi bir fark yaratmamaktadır. Sağlık sistemlerinde arzulanan standardizasyonun sağlanabilmesi adına hastaya ait bilgi sistemlerine kaydedilen sağlık verilerinin güvenliğinin temin edilmesi ve hukuka aykırı erişimlerin engellenmesi, doğrudan kurumların asli sorumlulukları arasındadır. Bu nedenle veri sorumlusu sıfatını taşıyan gerçek veya tüzel kişilerin, sürecin başından sonuna dek tam bir yasal uyum içerisinde hareket etmesi ve hem bireyin mahremiyetini hem de kamu sağlığını güvence altına alması gerekmektedir.
Kişisel Verilerin İşlenmesi ve Temel İlkeler
Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve muhafaza edilmesi gibi işlemlerin tamamını kapsamaktadır. Verilerin işlenebilmesi için belirli hukuka uygunluk hallerinin bulunması şarttır. İlgili kişinin açık rızasının alınması temel dayanaklardan biri olmakla birlikte, kamu sağlığının korunması, tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi gibi kamu yararının birey yararından üstün olduğu durumlarda yasal istisnalar devreye girebilmektedir. İşleme faaliyeti yürütülürken doğruluk ve güncellik prensibi ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma prensibine sıkı sıkıya bağlı kalınması gereklidir. Ulusal ve uluslararası düzenlemelerde altı çizildiği üzere, verileri işleyen görevliler ve kurumlar, öğrendikleri veya kaydettikleri tüm verilerin mahremiyetini ve bütünlüğünü korumakla yasal olarak yükümlüdür.
Tıbbi Kayıtların Tutulması ve Arşivleme Süreci
Sağlık kuruluşlarında hastanın kabulünden itibaren başlayan tüm aşamaların eksiksiz bir biçimde kayda geçirilmesi, doğru tutulması ve yasal süreler içerisinde güvenle arşivlenmesi gerekmektedir. Modern tıp ve bilişim entegrasyonu sayesinde hastaların randevuları, sağlık geçmişleri, tahlil sonuçları ve radyolojik görüntülemeleri gibi geniş çaplı veriler artık elektronik bilgi sistemlerinde saklanmaktadır. Her yataklı tedavi kurumunda bir tıbbi arşiv kurulması ve hastalara ait kayıtların bulunduğu dosyaların özel güvenlik önlemleri alınarak muhafaza edilmesi yasal bir yükümlülüktür. Devlet arşiv hizmetleri yönergeleri kapsamında, belgelerin uygun standartlarda tanzim edilmesi, yetkisiz erişimlere kapatılması ve siber saldırı risklerine karşı yedekleme tedbirlerinin alınması emredilmektedir. Dijital kayıtlar ile yazılı dokümanların birlikte kullanımı ispat açısından kurumlara büyük kolaylıklar sağlamakta olup, rıza formlarının ıslak imzalı olarak saklanması uygulamada kurumları hukuken koruyan temel adımlardan biridir.
Yasal Saklama Süreleri ve Verilerin İmhası
Sağlık hizmeti sunucuları, bünyelerinde tuttukları kayıtları yalnızca mevzuatın belirlediği sınırlar çerçevesinde saklamakla yetkilendirilmiştir. Bu bağlamda söz konusu verilerin sınırsız ve sonsuza dek tutulması hukuka aykırıdır; veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli ve bu süre sona erdiğinde güvenli bir biçimde yok edilmelidir. İspat aracı olmaları sebebiyle zamanaşımı süreleri dikkate alınarak arşivleme yapılmalıdır. Mevzuatımızda yer alan düzenlemelere göre bazı spesifik yasal saklama süreleri şu şekilde belirlenmiştir:
- Adli vakalara ilişkin her türlü doküman ve hasta dosyalarının yataklı tedavi kurumunun arşivinde en az yirmi yıl süre ile saklanması zorunludur.
- Özel sağlık tesislerindeki hasta dosyaları kurum bünyesinde yine en az yirmi yıl süre ile muhafaza edilmelidir.
- İnsan doku ve hücreleri ile bunlarla ilgili merkezlerde tutulan bütün kalite ve güvenlik kayıtlarının saklanma süresi en az otuz yıl olarak hükme bağlanmıştır.
- Türkiye Kök Hücre Koordinasyon Merkezi bünyesindeki kayıtlar da benzer şekilde sistemlerde en az otuz yıl süre ile güvence altında tutulmalıdır.
Bu yasal sürelerin dolmasının ardından, kanunun amir hükümlerine uygun olarak kayıtları silmeyen veya anonim hale getirmeyen veri sorumluları, mevzuat yükümlülüklerini ihlal etmiş kabul edilerek hukuki ve idari sorumlulukla karşı karşıya kalmaktadır.