Anasayfa/ Makale/ Sağlık Verilerinin İşlenme Şartları ve Yasal...

Makale

Sağlık verileri, kanun kapsamında özel nitelikli kişisel veri statüsünde olup kural olarak açık rıza olmaksızın işlenemez. Ancak kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi sınırlı amaçlarla sır saklama yükümlülüğü altındaki yetkili kişilerce rıza aranmaksızın işlenebilir.

Sağlık Verilerinin İşlenme Şartları ve Yasal Esasları

ÖZEL NİTELİKLİ KİŞİSEL VERİ KVKK HUKUKA AYKIRILIK AÇIK RIZA HASTA HAKLARI

Sağlık verilerinin işlenmesi, Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat uyarınca son derece katı kurallara bağlanmıştır. Kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile sunulan sağlık hizmetleriyle ilgili detayları kapsayan bu veriler, KVKK'nın 6. maddesi uyarınca özel nitelikli kişisel veri olarak kabul edilmektedir. Bu tür verilerin öğrenilmesi, kişilerin toplum içinde ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabileceği için, kanun koyucu tarafından standart kişisel verilere kıyasla daha yüksek bir koruma kalkanı öngörülmüştür. Bu hususta genel kural, söz konusu verilerin ancak ilgili kişinin açık rızası ile işlenebilmesidir. Rıza olmaksızın işleme faaliyetinde bulunulması, hem idari yaptırımları hem de ciddi hukuki sorumlulukları beraberinde getirmektedir. Dolayısıyla, veri sorumlusu konumundaki sağlık kurumları ve sağlık profesyonellerinin, hukuka uygunluk nedenleri ve veri işleme süreçlerini büyük bir hassasiyetle yönetmeleri esastır.

KVKK Kapsamında Sağlık Verilerinin İşlenme İstisnaları

Her ne kadar sağlık verilerinin işlenmesinde açık rıza temel kural olsa da, KVKK'nın 6. maddesinin 3. fıkrası birtakım kesin istisnalar barındırmaktadır. İlgili kanun maddesine göre, sağlık ve cinsel hayata ilişkin kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla belirli kişiler tarafından rıza aranmaksızın işlenebilmektedir. Ancak bu yetki sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar ile sınırlandırılmıştır. Yani yetkisiz bir sağlık personelinin dahi bu istisnaya dayanarak işlem yapması hukuka aykırılık teşkil eder. Ayrıca, bir sağlık hizmetinin verilmesi aşamasında, geçmiş sağlık kayıtlarının gereksiz yere istenmesi veya ifşa edilmesi de yasaklanmıştır. Veri işleme süreçleri, her zaman işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri çerçevesinde yürütülmek zorundadır.

Kurul Tarafından Belirlenen Yeterli Önlemler

Sağlık verilerinin işlenmesi safhasında yalnızca kanuni istisnalara dayanmak yeterli değildir; aynı zamanda KVKK'nın 6. maddesinin 4. fıkrası uyarınca Kurul tarafından belirlenen yeterli güvenlik önlemlerinin alınması şarttır. Nitekim Kişisel Verileri Koruma Kurulu, 2018/10 sayılı kararıyla özel nitelikli kişisel verilerin işlenmesi esnasında alınması gereken idari ve teknik tedbirleri detaylıca düzenlemiştir. Bu tedbirler alınmadan gerçekleştirilen veri işleme faaliyetleri doğrudan ihlal olarak kabul edilir. Veri sorumlularının uygulaması gereken idari tedbirlerin başında, sistemli ve sürdürülebilir bir politikanın belirlenmesi, çalışanlara veri güvenliği eğitimlerinin verilmesi ve gizlilik sözleşmelerinin yapılması gelmektedir. Ayrıca yetki matrislerinin oluşturulması, erişim yetkisine sahip kullanıcıların sınırlarının net olarak çizilmesi ve yetki kontrollerinin periyodik olarak gerçekleştirilmesi büyük önem taşır. Aksi takdirde, verilerin yetkisiz çalışanlar eline geçmesi veya hatalı şekilde işlenmesi, doğrudan hukuki sonuçlar doğuracaktır.

Sağlık Verilerinin Güvenliğine İlişkin Teknik Tedbirler

Sağlık verilerini işleyen gerçek ve tüzel kişilerin, Kurul kararları çerçevesinde verilerin bulunduğu ortamın niteliğine göre yüksek düzeyde teknik önlemler alması emredilmektedir. Elektronik veya fiziksel ortam fark etmeksizin, hukuka aykırı erişimleri engellemek adına aşağıdaki temel kural ve yöntemlerin benimsenmesi hukuki bir zorunluluktur:

  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve şifreleme anahtarlarının güvenli bir şekilde farklı ortamlarda tutulması.
  • Veriler üzerinde gerçekleştirilen tüm kullanıcı hareketlerinin, işlem kayıtlarının güvenli olarak loglanması ve takip edilebilirliğin sağlanması.
  • Verilere uzaktan erişim sağlanan sistemlerde, güvenliğin artırılması amacıyla en az iki kademeli kimlik doğrulama yöntemlerinin aktif hale getirilmesi.
  • Verilerin kağıt gibi fiziksel ortamlarda bulunması halinde yetkisiz giriş çıkışların engellenmesi ve evrakın gizlilik dereceli belgeler formatında özel olarak korunması. Bu teknik standartların uygulanmaması, yaşanabilecek olası bir veri sızıntısında idari para cezası ve tazminat yükümlülüklerine zemin hazırlamaktadır. Özellikle sağlık otomasyon sistemlerindeki yetkilendirme hataları ve yetkisiz kişilerin erişimi, Kişisel Verileri Koruma Kurulu incelemelerinde ağır bir ihlal olarak değerlendirilmektedir.
3 dk okuma Yayınlanma: Güncelleme: