Anasayfa/ Makale/ Sağlık Verilerinde Veri Sorumlusunun Hukuki Yükümlülükleri

Sağlık Verilerinde Veri Sorumlusunun Hukuki Yükümlülükleri

Sağlık verilerini işleyen veri sorumluları, KVKK uyarınca aydınlatma, veri güvenliğini sağlama, sır saklama, kayıt tutma ve VERBİS'e kayıt gibi hukuki yükümlülüklere tabidir. Bu yükümlülüklerin ihlali ciddi idari yaptırımlara yol açtığından, sağlık hizmeti sunucularının uyumluluk süreçlerini titizlikle yürütmesi yasal bir zorunluluktur.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK HASTA HAKLARI

Kişisel sağlık verileri, niteliği itibarıyla özel nitelikli kişisel veri statüsünde olup, bireylerin temel hak ve özgürlükleriyle doğrudan ilişkilidir. Bireylerin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgiyi kapsayan bu verilerin hukuka uygun bir biçimde işlenmesi, süreci yürüten veri sorumlusunun yükümlülükleri çerçevesinde şekillenir. KVKK kapsamında veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Özellikle sağlık hizmeti sunucuları, tıbbi laboratuvarlar ve hekimler gibi aktörler, faaliyetlerini yürütürken doğrudan veri sorumlusu statüsündedirler. Veri sorumlularının, sağlık verilerini işlerken yalnızca temel veri koruma ilkelerine uyması yeterli olmayıp; aynı zamanda kanunla sınırları çizilmiş olan teknik tedbirleri alması, şeffaf bir aydınlatma yapması ve verilerin gizliliğini koruması gerekmektedir. Bu kapsamlı hukuki sorumlulukların göz ardı edilmesi, telafisi güç ihlallere ve ağır idari yaptırımlara zemin hazırlamaktadır.

Aydınlatma Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 10. maddesi uyarınca veri sorumlusu, kişisel sağlık verilerinin toplanması aşamasında ilgili kişiyi mutlaka aydınlatmakla mükelleftir. Bu yükümlülük, söz konusu sağlık verilerinin hangi amaçlarla işleneceği, kimlere ve hangi hukuki sebeple aktarılabileceği, veri toplamanın yöntemi ve ilgili kişinin sahip olduğu yasal haklar hususlarında tam bir şeffaflık sağlanmasını emreder. Aydınlatma yükümlülüğü, rıza alınmasından tamamen bağımsız bir idari süreçtir ve verilerin doğrudan ilgili kişiden elde edilmediği durumlarda dahi yasal süreler dahilinde yerine getirilmelidir. Ayrıca, veri sorumlusu tarafından yapılacak bilgilendirmelerin açık, sade ve ortalama bir insanın anlayabileceği nitelikte olması, genel ve belirsiz ifadelerden titizlikle kaçınılması şarttır. Hastaneye kabul veya tıbbi teşhis süreçlerinde hastalara sunulan metinlerin, asgari kanuni unsurları barındırması ve şeffaflık ilkesi ekseninde veri sahibini net biçimde aydınlatması vazgeçilmez bir hukuki zorunluluktur.

Veri Güvenliğini Sağlama ve Sır Saklama Yükümlülüğü

Kişisel sağlık verilerinin hassas doğası, bu verilerin korunmasında üst düzey bir veri güvenliği standardının uygulanmasını zorunlu kılar. KVKK'nın 12. maddesi gereğince veri sorumlusu; kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini engellemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır. Bu çerçevede, veri sorumluları ve veri işleyenler, görevleri icabı öğrendikleri kişisel sağlık verilerini başkalarına açıklayamaz ve tahsis edildikleri işleme amacı dışında kullanamazlar. İlgili personelin iş akdi sona erse dahi devam eden bu hukuki sır saklama yükümlülüğü, sağlık profesyonellerinin meslek etiği kuralları ve yan mevzuatlarla da pekiştirilmektedir. Olası bir sistemsel veya fiziki açık nedeniyle verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda ise, veri sorumlusunun bu ihlali en kısa sürede (kural olarak 72 saat içinde) Kişisel Verileri Koruma Kurulu'na ve ilgili kişiye bildirme yükümlülüğü doğmaktadır.

Alınması Gereken Asgari Teknik ve İdari Tedbirler

Veri sorumlularının yükümlülükleri çerçevesinde hukuki ve teknik altyapının eksiksiz tesisi, kişisel sağlık verisi ihlallerini önlemenin ön koşuludur. Kişisel Verileri Koruma Kurulu tarafından yayımlanan karar ve rehberler doğrultusunda, sağlık verisi işleyen tüzel ve gerçek kişilerin alması gereken temel önlemler şunlardır:

  • Bağımsız Veri Politikası: Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, erişim kuralları net olarak belirlenmiş, yönetilebilir ve güncel bir politika dokümanı oluşturulmalıdır.
  • Çalışanların Eğitimi ve Gizlilik Sözleşmeleri: Veri işleme süreçlerine dahil olan tüm personele düzenli veri güvenliği eğitimleri verilmeli ve personelle mutlaka hukuki bağlayıcılığı olan gizlilik sözleşmeleri akdedilmelidir.
  • Yetki Matrisi ve Erişim Kontrolü: Sağlık verisi içeren sistemlere yetkisiz erişimi engellemek adına, çalışanların erişim yetkileri görev tanımlarıyla sınırlandırılmalı ve işten ayrılan personelin yetkileri derhal iptal edilmelidir.
  • Kriptografik Koruma ve Loglama: Elektronik ortamlarda tutulan veriler, standartlara uygun kriptografik yöntemlerle şifrelenmeli ve veri hareketlerini gösteren tüm işlem kayıtları (loglar) hukuka uygun biçimde muhafaza edilmelidir.

Veri Sorumluları Siciline (VERBİS) Kayıt ve Kayıt Tutma Yükümlülüğü

KVKK'nın 16. maddesi gereğince, kişisel veri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan evvel Veri Sorumluları Siciline (VERBİS) kaydolmaları esastır. Bu sicil, kamuya açık tutularak veri sorumlularının kimlikleri, veri işleme amaçları, veri kategorileri, azami muhafaza süreleri ve alınan veri güvenliği tedbirleri gibi unsurların resmi olarak beyan edilmesini sağlar. Sağlık alanında faaliyet gösteren veri sorumlularının, istisnai durumlar dışında bu sicile kayıt şartlarını taşımaları halinde, beyan yükümlülüklerini süresi içinde yerine getirmesi elzemdir. Bununla birlikte, ilgili mevzuat ve sağlık hukuku prensipleri doğrultusunda hekimlerin ve kurumların, hastalarına ait teşhis ve tedavi süreçlerine dair detaylı kayıt tutma yükümlülüğü bulunmaktadır. Bu tıbbi kayıtların oluşturulması, muhafaza edilmesi ve arşivi işlemleri de KVKK'nın getirdiği veri güvenliği ile veri minimizasyonu ilkelerine bütünüyle uygun olarak yürütülmeli; yalnızca yasal gerekliliklerin ve tıbbi zorunlulukların sınırları içinde kalınmalıdır.

Hastane benden sağlık bilgilerimi isterken bana açıklama yapmak zorunda mı? expand_more
Evet, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca hastane veya doktorunuz, sağlık verilerinizi toplarken sizi mutlaka aydınlatmakla mükelleftir. Bu aydınlatma yükümlülüğü kapsamında; verilerinizin hangi amaçlarla işleneceği, kimlere ve hangi hukuki sebeple aktarılabileceği ile yasal haklarınız size açık, sade ve anlaşılır bir dille bildirilmelidir. Söz konusu bilgilendirme süreci vazgeçilmez yasal bir zorunluluk olup, yalnızca rıza alınmasından tamamen bağımsız bir idari uygulamadır.
Hastane personeli tahlil sonuçlarımı başkalarıyla paylaşabilir mi? expand_more
Hayır, sağlık çalışanlarının görevleri icabı öğrendikleri kişisel sağlık verilerini başkalarına açıklaması ve amacı dışında kullanması hukuken kesinlikle yasaktır. KVKK'nın 12. maddesi gereğince veri sorumlusu olan sağlık kurumları, verilerinizin güvenliğini sağlamak ve hukuka aykırı erişimi engellemek için gerekli teknik ve idari tedbirleri almak zorundadır. Personelin işten ayrılması durumunda dahi bu hukuki sır saklama yükümlülüğü devam etmektedir. Şayet olası bir güvenlik açığı nedeniyle verileriniz kanuni olmayan yollarla başkalarının eline geçerse, kurum bu ihlali kural olarak en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na ve size bildirmekle yükümlüdür.
Hastaneler verilerimizi hırsızlığa karşı korumak için hangi önlemleri almalı? expand_more
Veri sorumlusu sıfatı taşıyan sağlık hizmeti sunucuları, verilerin hukuka aykırı erişimini engellemek için bağımsız ve güncel bir veri güvenliği politikası oluşturmak zorundadır. Sistemlere yetkisiz erişimi önlemek adına çalışanların erişim yetkileri yalnızca görev tanımlarıyla sınırlandırılmalı ve işten ayrılanların yetkileri derhal iptal edilmelidir. Elektronik ortamlardaki sağlık verileriniz, standartlara uygun kriptografik yöntemlerle şifrelenmeli ve sistemdeki veri hareketlerini gösteren tüm işlem kayıtları (loglar) hukuka uygun biçimde muhafaza edilmelidir. Buna ek olarak, personele düzenli veri güvenliği eğitimleri verilmeli ve hukuki bağlayıcılığı olan gizlilik sözleşmeleri mutlaka imzalatılmalıdır.
Hastaneler topladıkları kişisel verilerimizi resmi bir yere bildirmek zorunda mı? expand_more
Evet, veri sorumlusu konumundaki sağlık alanında faaliyet gösteren kişi ve kurumlar, istisnai durumlar dışında, veri işlemeye başlamadan evvel Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır. Bu sicil aracılığıyla kamuya açık bir şekilde veri sorumlularının kimlikleri, veri işleme amaçları, veri kategorileri, azami muhafaza süreleri ve aldıkları veri güvenliği tedbirleri resmi olarak beyan edilir. Hastanelerin ve hekimlerin tıbbi süreçlere dair kayıt tutma yükümlülüğü bulunsa da, bu kayıt işlemleri KVKK'nın veri minimizasyonu ilkelerine tam uyumlu olarak gerçekleştirilmelidir. Tüm kayıt ve arşivleme süreci, yalnızca yasal gerekliliklerin ve tıbbi zorunlulukların sınırları içerisinde yürütülmek mecburiyetindedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir