Makale
Sağlık verileri, anayasal güvence altındaki kişilik haklarının temel bir parçası olup, yüksek koruma gerektiren özel nitelikli kişisel veri statüsündedir. Bu makalede, sağlık verilerinin hukuki dayanakları ile mevzuatta belirlenen güncel işlenme şartları ve istisnaları hukuki bir perspektifle incelenmektedir.
Sağlık Verilerinin Hukuki Niteliği ve İşlenme Şartları
Dijitalleşmenin hız kazanmasıyla birlikte sağlık sektöründe kişisel sağlık verilerinin toplanması, kaydedilmesi ve paylaşılması büyük bir artış göstermiştir. Bu durum, bireylerin mahremiyetinin ve kişilik haklarının korunması bağlamında yeni hukuki sorunları beraberinde getirmektedir. Hukukumuzda özel nitelikli kişisel veri olarak kabul edilen sağlık verileri, kişinin fiziksel ve ruhsal durumuna ilişkin son derece hassas bilgiler içerdiğinden, diğer kişisel verilere kıyasla daha sıkı ve özel bir hukuki koruma rejimine tabi tutulmuştur. Sağlık verilerinin izinsiz veya hukuka aykırı şekilde işlenmesi, bireylerin geri dönülemez zararlara uğramasına ve ayrımcılığa maruz kalmasına yol açabilmektedir. Bu nedenle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer mevzuatlar, bu verilerin hukuki niteliğini kesin çizgilerle belirlemiş ve işlenme şartlarını sıkı kurallara bağlamıştır. Temel insan hakları ve bilgilerin geleceğini belirleme hakkı çerçevesinde ele alınan sağlık verileri, bireyin onuru ve kişiliğini serbestçe geliştirmesiyle doğrudan bağlantılıdır. Bu makalede, sağlık verilerinin Türk hukukundaki yeri, hukuki mahiyeti ve güncel mevzuat kapsamındaki işlenme koşulları detaylı olarak ele alınacaktır.
Kişisel Sağlık Verisinin Hukuki Niteliği
Kişisel sağlık verilerinin hukuki niteliği konusunda doktrinde temel olarak iki farklı yaklaşım bulunmaktadır: Ekonomik hak yaklaşımı ve insan hakkı yaklaşımı. Amerikan hukuk sisteminde ağırlıklı olarak benimsenen ekonomik hak yaklaşımı, veriyi alınıp satılabilen ticari bir mal veya mülkiyet hakkı olarak değerlendirir. Ancak Türk hukukunun da dâhil olduğu Kıta Avrupası sisteminde bu görüş reddedilerek insan hakkı ve kişilik hakkı yaklaşımı kabul edilmiştir. Buna göre, kişisel veriler ticari bir meta değil, doğrudan insanın varlığına ve onuruna sıkı sıkıya bağlı temel bir insan hakkıdır. Anayasa Mahkemesi kararlarında da vurgulandığı üzere, kişisel verilerin korunması, bireyin insan onurunun ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimidir. Sağlık verisi, salt bir bilgi parçası olmanın ötesinde, bilgilerin geleceğini belirleme hakkı kapsamında yeni bir kişilik hakkı değeri taşımaktadır. Dolayısıyla, bu veriler üzerinde mülkiyetten ziyade mutlak ve devredilemez nitelikteki kişilik hakları söz konusudur.
Sağlık Verilerinin İşlenme Şartları
Kişisel sağlık verileri, doğası gereği kişinin en mahrem alanına girdiğinden, KVKK kapsamında özel nitelikli kişisel veri statüsünde düzenlenmiş ve işlenmesi kural olarak yasaklanmıştır. Bu kuralın en temel istisnası, ilgili kişinin açık rızasının bulunması durumudur. Geçerli bir açık rızadan söz edilebilmesi için rızanın belirli bir konuya ilişkin olması, önceden aydınlatma yapılarak bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekmektedir. Genel nitelikli, sınırları çizilmemiş bir onay veya ilgili kişinin pasif kalarak sessiz kalması açık rıza olarak kabul edilemez. Hekim-hasta ilişkisinde olduğu gibi, rızanın sözleşmenin ifası veya sağlık hizmeti sunumunun ön şartı haline getirilmesi durumunda, özgür irade unsurunun sakatlanması söz konusu olabilecektir. Açık rızanın hukuken geçerli sayılabilmesi için, veri sahibine verilerinin kim tarafından, hangi amaçla ve ne kadar süreyle işleneceği işlem öncesinde açıkça ve anlaşılır biçimde bildirilmelidir.
Açık Rıza Aranmaksızın İşlenebilecek Haller
Kanun koyucu, sağlık hizmetlerinin sürdürülebilirliği ve toplum yararı gözetilerek, sağlık verilerinin açık rıza aranmaksızın işlenebileceği istisnai durumları KVKK kapsamında sınırlı olarak saymıştır. Temel mevzuata göre kişisel sağlık verileri ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması ve yönetimi amacıyla işlenebilir. Üstelik bu istisnai işleme faaliyeti herkes tarafından değil, yalnızca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilebilir. İlgili mevzuatta hekimler, hemşireler, eczacılar ve özel hastaneler gibi sağlık hizmeti sunucularının sır saklama yükümlülükleri açıkça düzenlenmiştir. 2024 yılında yapılan mevzuat değişiklikleriyle, sağlık verilerinin diğer özel nitelikli verilerle aynı işleme şartlarına tabi tutulması ve istisnaların kapsamının genişletilmesi yönünde güncel hukuki düzenlemeler yapılmış olup, bu verilerin işlenmesinde yine de Kurul tarafından belirlenen yeterli güvenlik önlemlerinin eksiksiz olarak alınması zorunludur.
Sağlık Verilerinin İşlenmesinde Temel İlkeler
Sağlık verileri hukuka uygunluk şartlarını taşısa dahi, KVKK madde 4'te belirlenen genel ilke ve esaslara titizlikle uyulması zorunludur. Veri sorumlusu statüsündeki sağlık kuruluşları ve hekimler, veri işleme faaliyetinin tüm aşamalarında şu kuralları gözetmelidir:
- Hukuka ve dürüstlük kurallarına uygun işleme.
- Verilerin doğru ve gerektiğinde güncel tutulması.
- Belirli, açık ve meşru amaçlar için işleme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya amaç için gerekli olan süre kadar muhafaza edilme.
Bu bağlamda, veri minimizasyonu ilkesi gereğince sadece tıbbi gereklilik sınırları içinde veri toplanmalıdır. Bir hastalığın teşhisi için elzem olmayan ilgisiz bilgilerin talep edilmesi ölçülülük ilkesine aykırıdır. Ayrıca, tedavinin sona ermesi veya yasal saklama sürelerinin dolması halinde, söz konusu sağlık verileri derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu ilkelere aykırılık, doğrudan hukuka aykırı işleme sonucunu doğurur.