Anasayfa/ Makale/ Sağlık Verilerinin İşlenmesi ve Aktarımının Hukuki Şartları

Sağlık Verilerinin İşlenmesi ve Aktarımının Hukuki Şartları

Özel sağlık kurumları kapsamında kişisel sağlık verilerinin işlenmesi ve aktarımı, mevzuatın katı kurallarına tabidir. Kural olarak hastanın açık rızası aranırken, tıbbi teşhis ve tedavi gibi istisnai hallerde sır saklama yükümlülüğü altındaki kişilerce rızasız işleme yapılabilir. Aktarım süreçleri ise Merkezi Sağlık Veri Sistemi ve Medula'yı kapsar.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ AÇIK RIZA HASTA HAKLARI

Bilişim sistemlerinin sağlık sektörüne entegrasyonu, özel sağlık kurumları tarafından yürütülen faaliyetlerde kişisel sağlık verilerinin işlenmesi ve üçüncü kişilere aktarılmasını yasal prosedürlerin merkezine yerleştirmiştir. Bir kimsenin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetine dair detaylar özel nitelikli kişisel veri statüsündedir. Bu verilerin yetkisiz kişilerin eline geçmesi, ilgili bireyin sosyal, ailevi veya iş yaşamında telafisi güç zararlara ve ayrımcılığa uğramasına yol açabileceği için mevzuatımızda standart verilere kıyasla çok daha sıkı bir koruma rejimi öngörülmüştür. İlgili yasa kapsamında verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi ve aktarılması gibi her türlü müdahale veri işleme faaliyeti olarak kabul edilir. Bu işleme süreçlerinin mutlak suretle hukuka ve dürüstlük kuralına uygun, doğru, güncel ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü bir perspektifle yürütülmesi temel hukuk kuralıdır.

Kişisel Sağlık Verilerinin İşlenme Şartları

İlgili kanunun 6. maddesi uyarınca özel nitelikli kişisel verilerin işlenmesinde ana kural, veri sahibinin yani ilgili kişinin açık rızasının alınması mecburiyetidir. Açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirilmeye dayanan ve kişinin tamamen özgür iradesiyle açıklanan onayı ifade etmektedir. Hastaneye kabul süreçlerinde veya herhangi bir tıbbi müdahale öncesinde hastanın süreç hakkında aydınlatılması gerekir. Ancak aynı hukuki çerçevede, sağlık ve cinsel hayata ilişkin kişisel verilerin açık rıza aranmaksızın işlenebileceği sınırlı ve spesifik istisnalar da tanımlanmıştır. Bu veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin ve bu hizmetlere ait finansmanın planlanması amaçlarıyla işlenebilmektedir. Belirtilen bu istisnai işlemlerin yapılabilmesi için süreci yürütecek olan profesyonellerin kanunen sır saklama yükümlülüğü altında bulunması veya yetkili kurum statüsü taşıması yasal bir zorunluluktur.

Sır Saklama Yükümlülüğü ve Yeterli Önlemlerin Alınması

İstisnai işleme kuralları çerçevesinde bahsedilen sır saklama yükümlülüğü, hekimler, hemşireler ve diğer sağlık personellerinin mesleki faaliyetleri gereği elde ettikleri bilgileri üçüncü kişilerle kesinlikle paylaşmamasını ifade eder. Bu yükümlülük, hastanın özel hayatının gizliliğinin ve güven ilişkisinin en temel yasal teminatıdır. Yasal düzenlemeler ışığında, açık rızanın gerekli olup olmadığına bakılmaksızın her türlü sağlık verisi işleme sürecinde Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan idari ve teknik yeterli önlemlerin alınması mecburidir. Hastaneler, verilerin elektronik veya fiziksel ortamlarda güvenliğini tesis etmek için sıkı yetkilendirme sınırları koymalı, siber güvenlik altyapılarını güncel tutmalı ve veri işleme sürecindeki ifa yardımcısı statüsündeki tüm personeli ile gizlilik sözleşmeleri akdetmelidir. Bu standartların sağlanmaması, veri sorumlularının doğrudan yaptırımlarla karşılaşmasına sebep olur.

Kişisel Sağlık Verilerinin Aktarımı ve Kurumsal Entegrasyon

Özel sağlık kurumları tarafından toplanan hassas verilerin yurt içindeki üçüncü kişilere aktarılması, ana kural olarak yine ilgilinin mutlak suretle açık rızasına tabidir. Ancak, Kurulca belirlenen önlemlerin kusursuzca alınması ve tıbbi teşhis, tedavi veya sağlık finansmanının planlanması gibi istisnai hukuki şartların fiilen mevcudiyeti halinde açık rıza olmaksızın da yasal aktarım işlemi yapılabilir. Eğer ilgili aktarım işlemi yurt dışındaki üçüncü kişilere gerçekleştirilecekse kural yine açık rızadır; istisnai hallerde ise ek olarak verinin aktarılacağı hedef ülkede yeterli korumanın bulunması veya veri sorumlularının Türkiye'deki ve hedef ülkedeki veri koruma şartlarını yazılı taahhütname ile güvence altına alarak Kurul'dan onay almaları aranır. Hastanelerin veya sağlık profesyonellerinin ilgili veri sahibinin izni olmaksızın standart tedavi prosedürleri dışına çıkarak araştırma firmalarıyla veya sigorta şirketleriyle ticari amaçlı veri transferi yapması hukuka kesin olarak aykırıdır.

Merkezi Sağlık Veri Sistemi ve Medula'ya Veri Aktarımı

Kamu otoriteleri tarafından kurulan ve yönetilen devasa elektronik veri tabanları, sağlık kurumlarının günlük operasyonlarında yasal olarak sağlık verisi aktardığı en önemli altyapılardır. Bu entegre sistemlerin ve veri iletiminin hukuki temelleri, kişisel sağlık verilerini düzenleyen yönetmeliklerle belirlenmiştir. Yasal otomasyonu oluşturan temel bilgi aktarım platformları şu şekildedir:

  • Merkezi Sağlık Veri Sistemi ve e-Nabız: Sağlık hizmeti sunucularına müracaat eden bireylere ait kişisel sağlık verileri, kamu sağlığının korunması ile hizmet planlaması ve politikaların belirlenmesi amacıyla düzenli olarak Sağlık Bakanlığı'na aktarılır.
  • Medula Sistemi: Sosyal Güvenlik Kurumu ile özel sağlık kuruluşları arasında kurulan finansal süreçleri yönetmek amacıyla faaliyettedir. Hastaneler sundukları hizmetin bedelini tahsil edebilmek maksadıyla yasal istisnalar kapsamında olan sağlık finansmanının planlanması ve yönetimi doğrultusunda hasta fatura ve detaylı tedavi içeriklerini Medula aracılığıyla doğrudan SGK sistemlerine aktarırlar.
Hastaneye gittiğimde hastalık bilgilerimi kaydetmeleri için benden izin almaları şart mı? expand_more
Kural olarak, özel nitelikli kişisel veri statüsünde olan sağlık verilerinizin işlenebilmesi için hastanenin sizden açık rıza alması yasal bir zorunluluktur. Bu rızanın geçerli olabilmesi için sürecin detayları hakkında önceden bilgilendirilmeniz ve onayı tamamen özgür iradenizle vermiş olmanız gerekmektedir. Ancak yasal mevzuatımızda bu temel kuralın bazı katı istisnaları da düzenlenmiştir. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi gibi amaçlarla, kanunen sır saklama yükümlülüğü altındaki sağlık profesyonelleri tarafından rızanız aranmaksızın da bu veriler hukuka uygun bir şekilde işlenebilmektedir.
Doktorum veya hemşire hastalığımı başka insanlara anlatabilir mi, bunun cezası yok mu? expand_more
Hayır, hekimler ve hemşireler gibi sağlık personelleri mesleki faaliyetleri gereği elde ettikleri tıbbi bilgileri üçüncü kişilerle kesinlikle paylaşamazlar. Kanunların öngördüğü bu sır saklama yükümlülüğü, hastanın özel hayatının gizliliğini ve doktoruyla olan güven ilişkisini koruyan en temel yasal teminattır. Ayrıca hastaneler, fiziki veya elektronik ortamdaki verilerinizin güvenliğini sağlamak için siber güvenlik altyapılarını güncel tutmak ve personeliyle gizlilik sözleşmeleri akdetmek zorundadır. Bu güvenlik standartlarının ve sır saklama yükümlülüğünün ihlali, veri sorumlusu olan kurumların doğrudan yasal yaptırımlarla karşılaşmasına sebep olur.
Özel hastane tahlil sonuçlarımı benden habersiz sigorta veya araştırma şirketine satabilir mi? expand_more
Özel hastanelerin veya sağlık profesyonellerinin, sizin açık izniniz olmaksızın tıbbi verilerinizi ticari amaçlarla araştırma firmalarına veya sigorta şirketlerine aktarması hukuka kesin olarak aykırıdır. Sağlık verilerinin yurt içindeki veya dışındaki üçüncü kişilere aktarılmasında ana kural, veri sahibinin sürece dair mutlak suretle açık rızasının alınmasıdır. Yalnızca tıbbi teşhis, tedavi veya sağlık finansmanının planlanması gibi kanunda açıkça belirtilen istisnai hukuki şartların varlığı halinde rızanız aranmadan yasal aktarım işlemi yapılabilir. Dolayısıyla standart tedavi prosedürleri dışına çıkılarak maddi menfaat maksadıyla yapılan her türlü ticari veri transferi, sıkı veri koruma rejiminin açık bir ihlalidir.
Hastane benim rızam olmadan bilgilerimi e-Nabız'a veya SGK'ya nasıl gönderebiliyor? expand_more
Özel sağlık kurumlarının Sosyal Güvenlik Kurumu (SGK) ve e-Nabız gibi kamuya ait devasa elektronik veri tabanlarına veri aktarması, yasal otomasyonlar çerçevesinde kurulan hukuki bir süreçtir. Sağlık Bakanlığı'na ait e-Nabız sistemine yapılan aktarımlar, bizzat kamu sağlığının korunması ile sağlık politikalarının belirlenmesi yasal gerekçesiyle gerçekleştirilir. SGK ile hastaneler arasındaki Medula sistemi üzerinden yapılan paylaşımlar ise, mevzuattaki sağlık finansmanının planlanması ve yönetimi istisnasına dayanır. Hastaneler, sundukları hizmetin bedelini ilgili kurumdan tahsil edebilmek maksadıyla fatura ve detaylı tedavi içeriklerini kanuna uygun bir biçimde doğrudan yetkili kamu sistemlerine aktarmak zorundadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir