Anasayfa/ Makale/ Sağlık Verilerinde Açık Rıza İstisnaları ve Veri Güvenliği

Sağlık Verilerinde Açık Rıza İstisnaları ve Veri Güvenliği

Kişisel sağlık verilerinin hukuka uygun işlenmesinde açık rızanın istisnaları ve bu süreçte alınması gereken veri güvenliği tedbirleri, KVKK mevzuatı ile sıkı kurallara bağlanmıştır. Sır saklama yükümlülüğü altındaki kişilerin yetkileri ve ihlalleri önleyici idari ve teknik tedbirler, hasta mahremiyetinin hukuki temelini oluşturur.
search
6 dk okuma Yayınlanma: Güncelleme:
CEZA HUKUKU AÇIK RIZA HASTA HAKLARI AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK

Kişisel sağlık verileri, bireylerin fiziksel veya ruhsal sağlık durumlarına ilişkin hassas bilgiler olup, işlenmeleri kural olarak açık rıza şartına bağlanmıştır. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), hukuki ve toplumsal ihtiyaçları gözeterek açık rızanın aranmayacağı halleri özel olarak düzenlemiştir. Bu istisnai durumlarda verilerin işlenmesi, yalnızca kanunun belirlediği sıkı sınırlar çerçevesinde mümkündür. Sağlık verilerinin izinsiz veya yetkisiz kişilerce işlenmesi, kişilerin ayrımcılığa maruz kalmasına ve itibarının zedelenmesine yol açabileceğinden, bu istisnaların uygulanması sırasında veri güvenliği yükümlülüklerinin harfiyen yerine getirilmesi şarttır. Kanun koyucu, veri sorumlularına verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerekli tüm teknik ve idari önlemleri alma yükümlülüğü getirmiştir. Bu makalede, bir KVKK hukuku perspektifiyle, sağlık verilerinin açık rıza olmaksızın işlenebileceği hukuki dayanaklar ve bu süreçte uyulması gereken veri güvenliği standartları detaylıca incelenmektedir.

Sağlık Verilerinde Açık Rızanın İstisnaları

KVKK madde 6 uyarınca, sağlık ve cinsel hayata ilişkin veriler, diğer özel nitelikli kişisel verilere kıyasla daha sıkı bir koruma rejimine tabidir. Bu verilerin ilgili kişinin açık rızası aranmaksızın işlenebileceği haller, kanunda tahdidi olarak sayılmıştır. Bu istisnai hukuki durumlar; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması ve yönetimi amaçlarıyla sınırlandırılmıştır. Bu amaçların varlığı halinde bile, söz konusu veriler ancak sır saklama yükümlülüğü altında bulunan kişiler (örneğin hekimler) veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Belirtilen yetkili kişiler dışındaki üçüncü kişilerin veya kurumların, bu sayılan meşru amaçlar dâhilinde dahi olsa açık rıza olmaksızın sağlık verisi işlemesi hukuka aykırı kabul edilecektir. Dolayısıyla, bu istisna kapsamındaki veri işleme süreçlerinde sır saklama yükümlülüğü, hukuka uygunluğun temel sacayağını oluşturmaktadır.

Kanunun Kapsamı Dışında Kalan İstisnai Haller

KVKK madde 28, kanunun tamamen veya kısmen uygulanmayacağı istisnai durumları belirlemiştir. Bu tam istisnalar çerçevesinde, kişisel verilerin resmi istatistik, araştırma, planlama gibi amaçlarla, verilerin anonim hale getirilmesi şartıyla işlenmesi KVKK kapsamı dışındadır. Ayrıca, verilerin millî savunma, millî güvenlik, kamu güvenliği ve kamu düzeni amacıyla istihbarat faaliyetleri çerçevesinde yetkili kurumlarca işlenmesi ve soruşturma, kovuşturma, yargılama veya infaz işlemleri kapsamında yargı makamları veya infaz mercilerince işlenmesi durumlarında da kanun hükümleri uygulanmaz. Bununla birlikte, suç işlenmesinin önlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş verilerin işlenmesi ve kamu kurumlarının denetleme veya disiplin soruşturması faaliyetleri gibi durumlarda ise kısmi istisnalar devreye girer. Bu kısmi istisna hallerinde aydınlatma yükümlülüğü ve ilgili kişinin hakları gibi belirli maddeler uygulama alanı bulmazken, verilerin güvenliğine ilişkin temel hükümler geçerliliğini sürdürür.

Veri Güvenliği Yükümlülükleri ve Tedbirler

Açık rızanın aranmadığı istisnai haller başta olmak üzere, sağlık verilerinin işlendiği her durumda veri güvenliğinin sağlanması, veri sorumlularının en temel hukuki ödevidir. KVKK madde 12, veri sorumlularına yetkisiz erişimi engellemek, verilerin kaybolmasını veya hukuka aykırı şekilde değiştirilmesini önlemek için risk bazlı bir yaklaşımla tedbirler alma zorunluluğu getirmektedir. Kişisel Verileri Koruma Kurulu'nun Yeterli Önlemler Kararı gereğince, özel nitelikli kişisel verilerin işlendiği elektronik ve fiziksel ortamlarda asgari güvenlik standartlarının sağlanması emredilmektedir. Veri güvenliğini sağlamak sadece teknik bir gereklilik değil, aynı zamanda hastaların sağlık hizmetlerine olan güveninin korunması açısından da kritik bir unsurdur. Veri güvenliği zafiyetleri, hastaların toplumsal dışlanma veya ayrımcılık gibi ağır zararlarla karşılaşmasına sebebiyet verebilir, bu sebeple idari ve teknik koruma kalkanlarının sürekli olarak güncel tutulması şarttır.

Alınması Gereken Asgari Güvenlik Önlemleri

Veri sorumluları tarafından, hukuki uyuşmazlıkları ve ihlalleri önlemek amacıyla alınması gereken başlıca idari ve teknik tedbirler şu şekilde sıralanabilir:

  • Süreçte yer alan çalışanlara veri güvenliği konusunda eğitimler verilmesi ve çalışanlarla gizlilik sözleşmesi yapılması.
  • Verilere erişim yetkisine sahip kişilerin yetki kapsamlarının ve sürelerinin net belirlenmesi, periyodik yetki kontrollerinin yapılması.
  • Elektronik ortamlarda verilerin şifreleme yöntemleri kullanılarak saklanması ve log kayıtlarının tutulması.
  • Uzaktan erişim sağlanan sistemlerde asgari iki aşamalı kimlik doğrulama sisteminin oluşturulması.
  • Fiziksel ortamlarda yangın, hırsızlık gibi risklere karşı önlem alınması ve yetkisiz giriş-çıkışların engellenmesi.
  • Banko veya gişe gibi hizmet alanlarında, üçüncü kişilerin bilgileri duyma veya görmesini engelleyecek fiziksel önlemlerin alınması ve basılı belgelerde kısmî kimliksizleştirme veya maskeleme yapılması.
Hastanede doktor benden izin almadan tahlil sonuçlarıma bakabilir mi? expand_more
Kişisel sağlık verileriniz, kural olarak yalnızca açık rızanız ile işlenebilen özel nitelikli kişisel verilerdir. Ancak 6698 sayılı KVKK, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla bu verilerin rızanız olmadan işlenmesine istisnai olarak izin vermektedir. Bu istisnadan faydalanılabilmesi için işlemi gerçekleştiren kişinin, hekimler gibi sır saklama yükümlülüğü altında bulunan bir meslek mensubu olması kanuni bir zorunluluktur. Dolayısıyla, tedaviniz kapsamında sır saklama yükümlülüğü olan hekiminizin tahlil sonuçlarınıza rızanız aranmaksızın erişmesi tamamen hukuka uygundur.
Şirketim kamu sağlığı bahanesiyle sağlık raporlarımı izinsiz işleyebilir mi? expand_more
Sağlık verilerinin kamu sağlığının korunması veya koruyucu hekimlik gibi amaçlarla açık rıza aranmaksızın işlenmesi hukuken mümkündür. Ancak kanun, bu meşru amaçlar söz konusu olsa bile, veri işleme faaliyetini yapacak kişilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar olmasını şart koşmaktadır. Belirtilen yetkili kişiler dışındaki üçüncü kişilerin veya kurumların yetkisizce sağlık verisi işlemesi hukuka aykırı kabul edilmektedir. Bu nedenle, sır saklama yükümlülüğüne tabi yetkili bir sağlık personeli istihdam etmeyen veya kanuni şartları sağlamayan bir işverenin sağlık verilerinizi izinsiz işlemesi mevzuata aykırıdır.
Mahkeme veya savcılık sağlık kayıtlarımı benden habersiz inceleyebilir mi? expand_more
KVKK madde 28 uyarınca, soruşturma, kovuşturma, yargılama veya infaz işlemleri kapsamında yargı makamları veya infaz mercilerince kişisel verilerin işlenmesi kanunun tam istisna halleri arasında düzenlenmiştir. Bu tür adli durumlarda kanun hükümleri uygulanmayacağından, yargı makamlarının resmi süreçleri yürütmek amacıyla verilerinizi işlemesi için açık rızanız aranmamaktadır. Dolayısıyla savcılık, mahkeme veya ilgili infaz mercileri, yürütülen hukuki işlemlerin doğası ve kamu düzeni gereği sağlık kayıtlarınıza izniniz olmaksızın erişebilir ve bu durum hukuka tamamen uygundur.
Hastane bankosunda sıradakiler TC kimliğimi veya hastalığımı duyarsa ne olur? expand_more
Veri sorumlusu konumundaki sağlık kurumları, kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla risk bazlı bir yaklaşımla gerekli tüm teknik ve idari önlemleri almakla yükümlüdür. Banko veya gişe gibi hizmet alanlarında, üçüncü kişilerin bilgilerinizi duyma veya görmesini engelleyecek fiziksel önlemlerin alınması Kurul kararları gereği de asgari bir zorunluluktur. Bu önlemlerin alınmaması neticesinde verilerinizin başkaları tarafından öğrenilmesi, hastaların ayrımcılığa maruz kalmasına veya itibarının zedelenmesine yol açabilecek çok ciddi bir güvenlik zafiyetidir. Kurumun bu temel hukuki ödevini yerine getirmemesi halinde mevzuattan doğan yasal şikayet ve dava haklarınızı kullanabilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir