Makale
Sağlık verilerini işleyen veri sorumluları, KVKK uyarınca aydınlatma, veri güvenliğini sağlama, sır saklama, kayıt tutma ve VERBİS'e kayıt gibi hukuki yükümlülüklere tabidir. Bu yükümlülüklerin ihlali ciddi idari yaptırımlara yol açtığından, sağlık hizmeti sunucularının uyumluluk süreçlerini titizlikle yürütmesi yasal bir zorunluluktur.
Sağlık Verilerinde Veri Sorumlusunun Hukuki Yükümlülükleri
Kişisel sağlık verileri, niteliği itibarıyla özel nitelikli kişisel veri statüsünde olup, bireylerin temel hak ve özgürlükleriyle doğrudan ilişkilidir. Bireylerin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgiyi kapsayan bu verilerin hukuka uygun bir biçimde işlenmesi, süreci yürüten veri sorumlusunun yükümlülükleri çerçevesinde şekillenir. KVKK kapsamında veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Özellikle sağlık hizmeti sunucuları, tıbbi laboratuvarlar ve hekimler gibi aktörler, faaliyetlerini yürütürken doğrudan veri sorumlusu statüsündedirler. Veri sorumlularının, sağlık verilerini işlerken yalnızca temel veri koruma ilkelerine uyması yeterli olmayıp; aynı zamanda kanunla sınırları çizilmiş olan teknik tedbirleri alması, şeffaf bir aydınlatma yapması ve verilerin gizliliğini koruması gerekmektedir. Bu kapsamlı hukuki sorumlulukların göz ardı edilmesi, telafisi güç ihlallere ve ağır idari yaptırımlara zemin hazırlamaktadır.
Aydınlatma Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 10. maddesi uyarınca veri sorumlusu, kişisel sağlık verilerinin toplanması aşamasında ilgili kişiyi mutlaka aydınlatmakla mükelleftir. Bu yükümlülük, söz konusu sağlık verilerinin hangi amaçlarla işleneceği, kimlere ve hangi hukuki sebeple aktarılabileceği, veri toplamanın yöntemi ve ilgili kişinin sahip olduğu yasal haklar hususlarında tam bir şeffaflık sağlanmasını emreder. Aydınlatma yükümlülüğü, rıza alınmasından tamamen bağımsız bir idari süreçtir ve verilerin doğrudan ilgili kişiden elde edilmediği durumlarda dahi yasal süreler dahilinde yerine getirilmelidir. Ayrıca, veri sorumlusu tarafından yapılacak bilgilendirmelerin açık, sade ve ortalama bir insanın anlayabileceği nitelikte olması, genel ve belirsiz ifadelerden titizlikle kaçınılması şarttır. Hastaneye kabul veya tıbbi teşhis süreçlerinde hastalara sunulan metinlerin, asgari kanuni unsurları barındırması ve şeffaflık ilkesi ekseninde veri sahibini net biçimde aydınlatması vazgeçilmez bir hukuki zorunluluktur.
Veri Güvenliğini Sağlama ve Sır Saklama Yükümlülüğü
Kişisel sağlık verilerinin hassas doğası, bu verilerin korunmasında üst düzey bir veri güvenliği standardının uygulanmasını zorunlu kılar. KVKK'nın 12. maddesi gereğince veri sorumlusu; kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini engellemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır. Bu çerçevede, veri sorumluları ve veri işleyenler, görevleri icabı öğrendikleri kişisel sağlık verilerini başkalarına açıklayamaz ve tahsis edildikleri işleme amacı dışında kullanamazlar. İlgili personelin iş akdi sona erse dahi devam eden bu hukuki sır saklama yükümlülüğü, sağlık profesyonellerinin meslek etiği kuralları ve yan mevzuatlarla da pekiştirilmektedir. Olası bir sistemsel veya fiziki açık nedeniyle verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda ise, veri sorumlusunun bu ihlali en kısa sürede (kural olarak 72 saat içinde) Kişisel Verileri Koruma Kurulu'na ve ilgili kişiye bildirme yükümlülüğü doğmaktadır.
Alınması Gereken Asgari Teknik ve İdari Tedbirler
Veri sorumlularının yükümlülükleri çerçevesinde hukuki ve teknik altyapının eksiksiz tesisi, kişisel sağlık verisi ihlallerini önlemenin ön koşuludur. Kişisel Verileri Koruma Kurulu tarafından yayımlanan karar ve rehberler doğrultusunda, sağlık verisi işleyen tüzel ve gerçek kişilerin alması gereken temel önlemler şunlardır:
- Bağımsız Veri Politikası: Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, erişim kuralları net olarak belirlenmiş, yönetilebilir ve güncel bir politika dokümanı oluşturulmalıdır.
- Çalışanların Eğitimi ve Gizlilik Sözleşmeleri: Veri işleme süreçlerine dahil olan tüm personele düzenli veri güvenliği eğitimleri verilmeli ve personelle mutlaka hukuki bağlayıcılığı olan gizlilik sözleşmeleri akdedilmelidir.
- Yetki Matrisi ve Erişim Kontrolü: Sağlık verisi içeren sistemlere yetkisiz erişimi engellemek adına, çalışanların erişim yetkileri görev tanımlarıyla sınırlandırılmalı ve işten ayrılan personelin yetkileri derhal iptal edilmelidir.
- Kriptografik Koruma ve Loglama: Elektronik ortamlarda tutulan veriler, standartlara uygun kriptografik yöntemlerle şifrelenmeli ve veri hareketlerini gösteren tüm işlem kayıtları (loglar) hukuka uygun biçimde muhafaza edilmelidir.
Veri Sorumluları Siciline (VERBİS) Kayıt ve Kayıt Tutma Yükümlülüğü
KVKK'nın 16. maddesi gereğince, kişisel veri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan evvel Veri Sorumluları Siciline (VERBİS) kaydolmaları esastır. Bu sicil, kamuya açık tutularak veri sorumlularının kimlikleri, veri işleme amaçları, veri kategorileri, azami muhafaza süreleri ve alınan veri güvenliği tedbirleri gibi unsurların resmi olarak beyan edilmesini sağlar. Sağlık alanında faaliyet gösteren veri sorumlularının, istisnai durumlar dışında bu sicile kayıt şartlarını taşımaları halinde, beyan yükümlülüklerini süresi içinde yerine getirmesi elzemdir. Bununla birlikte, ilgili mevzuat ve sağlık hukuku prensipleri doğrultusunda hekimlerin ve kurumların, hastalarına ait teşhis ve tedavi süreçlerine dair detaylı kayıt tutma yükümlülüğü bulunmaktadır. Bu tıbbi kayıtların oluşturulması, muhafaza edilmesi ve arşivi işlemleri de KVKK'nın getirdiği veri güvenliği ile veri minimizasyonu ilkelerine bütünüyle uygun olarak yürütülmeli; yalnızca yasal gerekliliklerin ve tıbbi zorunlulukların sınırları içinde kalınmalıdır.