Makale
Kişisel sağlık verileri, niteliği gereği son derece hassas bilgiler ihtiva ettiğinden, bu verilerin işlenmesi Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında sıkı şartlara ve ilkelere bağlanmıştır. Hukuka uygun veri işleme süreci ancak bu yasal zorunlulukların eksiksiz uygulanmasıyla mümkündür.
Sağlık Verilerinin İşlenme Şartları ve Temel İlkeleri
Günümüzde sağlık kurumlarına başvurudan, işçi-işveren ilişkisine kadar pek çok alanda kişilerin fiziksel ve ruhsal durumlarına ilişkin bilgileri barındıran kişisel sağlık verileri toplanmakta ve depolanmaktadır. İhlali halinde bireylerin toplumdan dışlanması veya ayrımcılığa uğraması gibi çok ağır sonuçlara yol açabilecek olan bu veriler, kanun nezdinde özel nitelikli kişisel veri statüsündedir. Bu bağlamda, veri sorumlularının söz konusu verileri işlerken uyması gereken katı işlenme şartları ve süreç boyunca gözetilmesi elzem olan temel ilkeler mevcuttur. Türk hukukunda yürürlükte olan ilgili kanunlar ve uluslararası düzenlemeler, sağlık verisi işleme faaliyetini kural olarak yasaklamış, sonrasında ancak dar yorumlanması gereken hukuka uygunluk sebepleri çerçevesinde mümkün kılmıştır. Veri sorumlusu olan gerçek ve tüzel kişilerin, süreçlerini dizayn ederken bu yasal kısıtları gözetmesi hukuki bir mecburiyettir.
Kişisel Sağlık Verilerinin İşlenmesinde Temel İlkeler
Sağlık verilerinin işlenmesi aşamasında, verilerin elde edilmesinden imha edilmesine kadar geçen tüm süreçte Avrupa hukuku ve yerel mevzuatın işaret ettiği temel ilkelere uygun hareket edilmesi şarttır. Öncelikle veri sorumlusu, veri faaliyetlerini hukuka ve dürüstlük kurallarına uygun bir şekilde yürütmeli, bireylerin makul beklentilerini ve menfaatlerini aşan ölçüsüz müdahalelerden titizlikle kaçınmalıdır. Şeffaflık yükümlülüğü gereğince, ilgili kişiler veri işleme süreci hakkında detaylıca aydınlatılmalıdır. İşlenen verilerin doğru ve güncel olması da hayati bir prensiptir; zira hatalı bir tıbbi veri, teşhis ve tedavi süreçlerinde hastanın maddi ve manevi bütünlüğüne ağır zararlar verebilir. Veriler her zaman belirli, açık ve meşru amaçlar etrafında toplanmalı, asıl toplama amacıyla uyumsuz olacak şekilde daha sonra başkaca ticari maksatlarla kullanılmamalıdır. Modern veri koruma rejiminin özellikle vurguladığı veri minimizasyonu ilkesi uyarınca, sağlık verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak zorundadır.
Süre Sınırı ve Veri Güvenliği İlkeleri
Kişilere ait sağlık verileri, herhangi bir dayanak olmaksızın sınırsız bir süre boyunca veri tabanlarında muhafaza edilebilecek bilgiler değildir. Bu nedenle, söz konusu verilerin yalnızca mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması hukuki bir zorunluluktur. Belirlenen yasal saklama süreleri veya işleme amacının gerektirdiği süre sona erdiğinde, veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Öte yandan, verilerin gerekli idari ve teknik tedbirler alınarak bütünlük ve gizlilik içerisinde muhafaza edilmesi de veri işleme faaliyetinin kopmaz bir parçasıdır. Yetkisiz erişimlere, hukuka aykırı ifşalara veya kazara imhalara karşı güçlü bir veri güvenliği ortamı yaratılması elzemdir. Tüm bu ilkelere uyulduğunun veri denetim makamları nezdinde kanıtlanabilmesi ise, hukukun getirdiği hesap verilebilirlik ilkesi doğrultusunda kurumların temel sorumlulukları arasında yer almaktadır.
Kişisel Sağlık Verilerinin Hukuka Uygun İşlenme Şartları
Yasal mevzuatımız gereğince, kişinin fiziksel ve ruhsal kimliğini açığa vuran kişisel sağlık verileri sıkı bir koruma rejimine tabi tutulmuştur ve kural olarak bunların izinsiz işlenmesi kesinlikle yasaktır. Bu yasağı ortadan kaldıran en temel hukuka uygunluk sebebi, ilgili kişinin açık rıza beyanında bulunmasıdır. Hukuken geçerli bir açık rızadan söz edilebilmesi için, rızanın muhakkak belirli bir konuya ilişkin olması, aydınlatma yükümlülüğü yerine getirilerek bilgilendirmeye dayanması ve tamamen özgür iradeyle açıklanması şart koşulmuştur. Örneğin, hastaya tedavi edilmeme tehdidi ile veya sağlık hizmeti sunumunun bir ön şartı olarak rıza dayatılması halinde, özgür irade sakatlanacağından bu durum hukuken geçersiz sayılır. Ayrıca sağlık hizmeti süreçlerinin başında alınan sınırları belirsiz battaniye rızalar da hükümsüzdür. İlgili rıza işlemi net bir çerçeveyle sınırlamalı ve kişi rızasını geri almak istediğinde bu işlemi en az verdiği yöntem kadar kolay bir şekilde gerçekleştirebilmelidir.
Açık Rıza Aranmaksızın Sağlık Verilerinin İşlenebileceği İstisnai Haller
Kanun koyucu, kamu menfaati ve toplum sağlığının korunması gibi üstün hakların varlığını göz önüne alarak, kişisel sağlık verilerinin açık rıza olmaksızın işlenebilmesine ilişkin çok sınırlı istisnai alanlar yaratmıştır. Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla, sadece sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurumlar şu amaçlarla verileri rızasız işleyebilir:
- Kamu sağlığının korunması: Salgın bulaşıcı hastalıkların yayılmasının önlenmesi ve takibi faaliyetleri.
- Koruyucu hekimlik: Hastalıklar henüz ortaya çıkmadan engellenmesine yönelik bölgesel veya genel sağlık taramaları.
- Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi: Hastanın sağlığına kavuşması adına klinik gerekliliklerin yerine getirilmesi.
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi: Sigorta primlerinin ödenmesi ve kamu sağlık yönetim harcamalarının tespiti.
Bu meşru amaçların dışına çıkılarak, verilerin salt ticari hedefler veya sigorta şirketlerinin doğrudan ekonomik çıkarları gibi sebeplerle izinsiz işlenmesi ağır hukuka aykırılık teşkil edecektir.