Anasayfa/ Makale/ Sağlık Verilerinin İşlenme Şartları ve Yasal Esasları

Sağlık Verilerinin İşlenme Şartları ve Yasal Esasları

Sağlık verileri, kanun kapsamında özel nitelikli kişisel veri statüsünde olup kural olarak açık rıza olmaksızın işlenemez. Ancak kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi sınırlı amaçlarla sır saklama yükümlülüğü altındaki yetkili kişilerce rıza aranmaksızın işlenebilir.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK HUKUKA AYKIRILIK ÖZEL NİTELİKLİ KİŞİSEL VERİ TAZMİNAT HASTA HAKLARI AÇIK RIZA

Sağlık verilerinin işlenmesi, Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat uyarınca son derece katı kurallara bağlanmıştır. Kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile sunulan sağlık hizmetleriyle ilgili detayları kapsayan bu veriler, KVKK'nın 6. maddesi uyarınca özel nitelikli kişisel veri olarak kabul edilmektedir. Bu tür verilerin öğrenilmesi, kişilerin toplum içinde ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabileceği için, kanun koyucu tarafından standart kişisel verilere kıyasla daha yüksek bir koruma kalkanı öngörülmüştür. Bu hususta genel kural, söz konusu verilerin ancak ilgili kişinin açık rızası ile işlenebilmesidir. Rıza olmaksızın işleme faaliyetinde bulunulması, hem idari yaptırımları hem de ciddi hukuki sorumlulukları beraberinde getirmektedir. Dolayısıyla, veri sorumlusu konumundaki sağlık kurumları ve sağlık profesyonellerinin, hukuka uygunluk nedenleri ve veri işleme süreçlerini büyük bir hassasiyetle yönetmeleri esastır.

KVKK Kapsamında Sağlık Verilerinin İşlenme İstisnaları

Her ne kadar sağlık verilerinin işlenmesinde açık rıza temel kural olsa da, KVKK'nın 6. maddesinin 3. fıkrası birtakım kesin istisnalar barındırmaktadır. İlgili kanun maddesine göre, sağlık ve cinsel hayata ilişkin kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla belirli kişiler tarafından rıza aranmaksızın işlenebilmektedir. Ancak bu yetki sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar ile sınırlandırılmıştır. Yani yetkisiz bir sağlık personelinin dahi bu istisnaya dayanarak işlem yapması hukuka aykırılık teşkil eder. Ayrıca, bir sağlık hizmetinin verilmesi aşamasında, geçmiş sağlık kayıtlarının gereksiz yere istenmesi veya ifşa edilmesi de yasaklanmıştır. Veri işleme süreçleri, her zaman işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri çerçevesinde yürütülmek zorundadır.

Kurul Tarafından Belirlenen Yeterli Önlemler

Sağlık verilerinin işlenmesi safhasında yalnızca kanuni istisnalara dayanmak yeterli değildir; aynı zamanda KVKK'nın 6. maddesinin 4. fıkrası uyarınca Kurul tarafından belirlenen yeterli güvenlik önlemlerinin alınması şarttır. Nitekim Kişisel Verileri Koruma Kurulu, 2018/10 sayılı kararıyla özel nitelikli kişisel verilerin işlenmesi esnasında alınması gereken idari ve teknik tedbirleri detaylıca düzenlemiştir. Bu tedbirler alınmadan gerçekleştirilen veri işleme faaliyetleri doğrudan ihlal olarak kabul edilir. Veri sorumlularının uygulaması gereken idari tedbirlerin başında, sistemli ve sürdürülebilir bir politikanın belirlenmesi, çalışanlara veri güvenliği eğitimlerinin verilmesi ve gizlilik sözleşmelerinin yapılması gelmektedir. Ayrıca yetki matrislerinin oluşturulması, erişim yetkisine sahip kullanıcıların sınırlarının net olarak çizilmesi ve yetki kontrollerinin periyodik olarak gerçekleştirilmesi büyük önem taşır. Aksi takdirde, verilerin yetkisiz çalışanlar eline geçmesi veya hatalı şekilde işlenmesi, doğrudan hukuki sonuçlar doğuracaktır.

Sağlık Verilerinin Güvenliğine İlişkin Teknik Tedbirler

Sağlık verilerini işleyen gerçek ve tüzel kişilerin, Kurul kararları çerçevesinde verilerin bulunduğu ortamın niteliğine göre yüksek düzeyde teknik önlemler alması emredilmektedir. Elektronik veya fiziksel ortam fark etmeksizin, hukuka aykırı erişimleri engellemek adına aşağıdaki temel kural ve yöntemlerin benimsenmesi hukuki bir zorunluluktur:

  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve şifreleme anahtarlarının güvenli bir şekilde farklı ortamlarda tutulması.
  • Veriler üzerinde gerçekleştirilen tüm kullanıcı hareketlerinin, işlem kayıtlarının güvenli olarak loglanması ve takip edilebilirliğin sağlanması.
  • Verilere uzaktan erişim sağlanan sistemlerde, güvenliğin artırılması amacıyla en az iki kademeli kimlik doğrulama yöntemlerinin aktif hale getirilmesi.
  • Verilerin kağıt gibi fiziksel ortamlarda bulunması halinde yetkisiz giriş çıkışların engellenmesi ve evrakın gizlilik dereceli belgeler formatında özel olarak korunması. Bu teknik standartların uygulanmaması, yaşanabilecek olası bir veri sızıntısında idari para cezası ve tazminat yükümlülüklerine zemin hazırlamaktadır. Özellikle sağlık otomasyon sistemlerindeki yetkilendirme hataları ve yetkisiz kişilerin erişimi, Kişisel Verileri Koruma Kurulu incelemelerinde ağır bir ihlal olarak değerlendirilmektedir.
Hastaneye gittim, benden onay almadan sağlık geçmişime bakabilirler mi? expand_more
Kural olarak, fiziksel ve ruhsal sağlığınıza ilişkin her türlü bilgi özel nitelikli kişisel veri sayılır ve ancak açık rızanız ile işlenebilir. Ancak, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, sır saklama yükümlülüğü altındaki hekimler gibi kişiler sizden onay almadan da bu verileri işleyebilir. Buna karşılık, tarafınıza sunulacak sağlık hizmetiyle ilgisi olmayan geçmiş sağlık kayıtlarınızın gereksiz yere incelenmesi veya ifşa edilmesi kanunen yasaklanmıştır. Yapılacak veri işleme faaliyetleri her zaman işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak zorundadır.
Hastanedeki her çalışan veya sekreter tahlil sonuçlarıma bakabilir mi? expand_more
Hayır, sağlık verilerinize rıza olmaksızın erişim yetkisi sadece sır saklama yükümlülüğü altında bulunan yetkili kişiler ve kurumlar ile sınırlandırılmıştır. Yetkisiz bir sağlık personelinin veya hastane çalışanının bu istisnaya dayanarak işlem yapması ve verilerinize erişmesi açıkça hukuka aykırılık teşkil eder. Veri sorumlusu konumundaki kurumlar, kimlerin bu verilere erişebileceğini net bir şekilde çizen yetki matrisleri oluşturmak ve yetki kontrollerini periyodik olarak yapmak zorundadır. Verilerin yetkisiz çalışanların eline geçmesi veya hatalı şekilde işlenmesi durumunda, hastanenin doğrudan idari ve hukuki sorumluluğu doğacaktır.
Hastane sisteminden sağlık verilerim çalınırsa ne gibi haklarım var? expand_more
Sağlık kurumları, sistemlerindeki verilerinizi kriptografik yöntemlerle şifrelemek ve uzaktan erişimlerde en az iki kademeli kimlik doğrulama uygulamak gibi yüksek düzeyde teknik önlemler almakla mükelleftir. Kurul tarafından belirlenen bu teknik standartlara uyulmaması ve yetkilendirme hataları sonucunda bir veri sızıntısı yaşanması, doğrudan ağır bir ihlal kabul edilir ve idari para cezası gerektirir. Veri sızıntısı nedeniyle mağduriyet yaşamanız durumunda ise, veri sorumlusuna karşı tazminat davası açarak hukuki yollara başvurma hakkınız bulunmaktadır. Ek olarak, sistemlerde gerçekleştirilen tüm kullanıcı hareketleri güvenli olarak loglanmak (kayıt altına alınmak) zorunda olduğundan, verilerinize yönelik ihlalin tespiti yapılabilmektedir.
Sağlık ocağında kağıt dosyalarım var, bunların korunması için kural yok mu? expand_more
Verilerinizin elektronik değil de kağıt gibi fiziksel ortamlarda bulunması halinde dahi, kanunun emrettiği güvenlik standartlarının uygulanması zorunludur. Kişisel Verileri Koruma Kurulu kararları uyarınca, söz konusu fiziksel evraklara yönelik yetkisiz giriş çıkışların kesinlikle engellenmesi gerekmektedir. Ayrıca, bahsi geçen basılı evrakların gizlilik dereceli belgeler formatında özel olarak muhafaza edilmesi hukuki bir emirdir. Bu idari ve teknik koruma önlemlerini almayan veri sorumluları idari yaptırımlarla karşılaşacakları gibi, yaşanacak mağduriyetlerde hukuken sorumlu tutulacaklardır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir