Makale
Kişisel sağlık verilerinin hukuka uygun işlenmesinde açık rızanın istisnaları ve bu süreçte alınması gereken veri güvenliği tedbirleri, KVKK mevzuatı ile sıkı kurallara bağlanmıştır. Sır saklama yükümlülüğü altındaki kişilerin yetkileri ve ihlalleri önleyici idari ve teknik tedbirler, hasta mahremiyetinin hukuki temelini oluşturur.
Sağlık Verilerinde Açık Rıza İstisnaları ve Veri Güvenliği
Kişisel sağlık verileri, bireylerin fiziksel veya ruhsal sağlık durumlarına ilişkin hassas bilgiler olup, işlenmeleri kural olarak açık rıza şartına bağlanmıştır. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), hukuki ve toplumsal ihtiyaçları gözeterek açık rızanın aranmayacağı halleri özel olarak düzenlemiştir. Bu istisnai durumlarda verilerin işlenmesi, yalnızca kanunun belirlediği sıkı sınırlar çerçevesinde mümkündür. Sağlık verilerinin izinsiz veya yetkisiz kişilerce işlenmesi, kişilerin ayrımcılığa maruz kalmasına ve itibarının zedelenmesine yol açabileceğinden, bu istisnaların uygulanması sırasında veri güvenliği yükümlülüklerinin harfiyen yerine getirilmesi şarttır. Kanun koyucu, veri sorumlularına verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerekli tüm teknik ve idari önlemleri alma yükümlülüğü getirmiştir. Bu makalede, bir KVKK hukuku perspektifiyle, sağlık verilerinin açık rıza olmaksızın işlenebileceği hukuki dayanaklar ve bu süreçte uyulması gereken veri güvenliği standartları detaylıca incelenmektedir.
Sağlık Verilerinde Açık Rızanın İstisnaları
KVKK madde 6 uyarınca, sağlık ve cinsel hayata ilişkin veriler, diğer özel nitelikli kişisel verilere kıyasla daha sıkı bir koruma rejimine tabidir. Bu verilerin ilgili kişinin açık rızası aranmaksızın işlenebileceği haller, kanunda tahdidi olarak sayılmıştır. Bu istisnai hukuki durumlar; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması ve yönetimi amaçlarıyla sınırlandırılmıştır. Bu amaçların varlığı halinde bile, söz konusu veriler ancak sır saklama yükümlülüğü altında bulunan kişiler (örneğin hekimler) veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Belirtilen yetkili kişiler dışındaki üçüncü kişilerin veya kurumların, bu sayılan meşru amaçlar dâhilinde dahi olsa açık rıza olmaksızın sağlık verisi işlemesi hukuka aykırı kabul edilecektir. Dolayısıyla, bu istisna kapsamındaki veri işleme süreçlerinde sır saklama yükümlülüğü, hukuka uygunluğun temel sacayağını oluşturmaktadır.
Kanunun Kapsamı Dışında Kalan İstisnai Haller
KVKK madde 28, kanunun tamamen veya kısmen uygulanmayacağı istisnai durumları belirlemiştir. Bu tam istisnalar çerçevesinde, kişisel verilerin resmi istatistik, araştırma, planlama gibi amaçlarla, verilerin anonim hale getirilmesi şartıyla işlenmesi KVKK kapsamı dışındadır. Ayrıca, verilerin millî savunma, millî güvenlik, kamu güvenliği ve kamu düzeni amacıyla istihbarat faaliyetleri çerçevesinde yetkili kurumlarca işlenmesi ve soruşturma, kovuşturma, yargılama veya infaz işlemleri kapsamında yargı makamları veya infaz mercilerince işlenmesi durumlarında da kanun hükümleri uygulanmaz. Bununla birlikte, suç işlenmesinin önlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş verilerin işlenmesi ve kamu kurumlarının denetleme veya disiplin soruşturması faaliyetleri gibi durumlarda ise kısmi istisnalar devreye girer. Bu kısmi istisna hallerinde aydınlatma yükümlülüğü ve ilgili kişinin hakları gibi belirli maddeler uygulama alanı bulmazken, verilerin güvenliğine ilişkin temel hükümler geçerliliğini sürdürür.
Veri Güvenliği Yükümlülükleri ve Tedbirler
Açık rızanın aranmadığı istisnai haller başta olmak üzere, sağlık verilerinin işlendiği her durumda veri güvenliğinin sağlanması, veri sorumlularının en temel hukuki ödevidir. KVKK madde 12, veri sorumlularına yetkisiz erişimi engellemek, verilerin kaybolmasını veya hukuka aykırı şekilde değiştirilmesini önlemek için risk bazlı bir yaklaşımla tedbirler alma zorunluluğu getirmektedir. Kişisel Verileri Koruma Kurulu'nun Yeterli Önlemler Kararı gereğince, özel nitelikli kişisel verilerin işlendiği elektronik ve fiziksel ortamlarda asgari güvenlik standartlarının sağlanması emredilmektedir. Veri güvenliğini sağlamak sadece teknik bir gereklilik değil, aynı zamanda hastaların sağlık hizmetlerine olan güveninin korunması açısından da kritik bir unsurdur. Veri güvenliği zafiyetleri, hastaların toplumsal dışlanma veya ayrımcılık gibi ağır zararlarla karşılaşmasına sebebiyet verebilir, bu sebeple idari ve teknik koruma kalkanlarının sürekli olarak güncel tutulması şarttır.
Alınması Gereken Asgari Güvenlik Önlemleri
Veri sorumluları tarafından, hukuki uyuşmazlıkları ve ihlalleri önlemek amacıyla alınması gereken başlıca idari ve teknik tedbirler şu şekilde sıralanabilir:
- Süreçte yer alan çalışanlara veri güvenliği konusunda eğitimler verilmesi ve çalışanlarla gizlilik sözleşmesi yapılması.
- Verilere erişim yetkisine sahip kişilerin yetki kapsamlarının ve sürelerinin net belirlenmesi, periyodik yetki kontrollerinin yapılması.
- Elektronik ortamlarda verilerin şifreleme yöntemleri kullanılarak saklanması ve log kayıtlarının tutulması.
- Uzaktan erişim sağlanan sistemlerde asgari iki aşamalı kimlik doğrulama sisteminin oluşturulması.
- Fiziksel ortamlarda yangın, hırsızlık gibi risklere karşı önlem alınması ve yetkisiz giriş-çıkışların engellenmesi.
- Banko veya gişe gibi hizmet alanlarında, üçüncü kişilerin bilgileri duyma veya görmesini engelleyecek fiziksel önlemlerin alınması ve basılı belgelerde kısmî kimliksizleştirme veya maskeleme yapılması.