Makale
Teletıp uygulamalarının yaygınlaşmasıyla kişisel sağlık verilerinin yasal statüsü sıkça yargılamalara konu olmuştur. Bu makalede, e-Nabız projelerinden güncel yönetmeliklere ve Danıştay iptal kararlarına kadar Türkiye'deki sağlık verileri mevzuatının hukuki gelişimi, bir KVKK avukatı perspektifiyle kapsamlı bir şekilde incelenmektedir.
Teletıpta Kişisel Sağlık Verilerinin Yasal Gelişimi
Bilgi ve iletişim teknolojilerinin hızla gelişmesi, tıp dünyasında köklü bir dönüşüm yaratarak teletıp uygulamalarının hayatımızın vazgeçilmez bir parçası haline gelmesini sağlamıştır. Teletıp uygulamaları, hastalar ve hekimler arasındaki mesafeleri ortadan kaldırarak teşhis ve tedavi süreçlerini dijital platformlara taşımaktadır. Ancak bu teknolojik kolaylıklar, kişisel sağlık verilerinin toplanması ve işlenmesi noktasında idari ve hukuki bir zemin ihtiyacını da beraberinde getirmiştir. Özellikle sağlık verilerinin anayasal güvence altındaki hassas niteliği, bu verilerin hukuka uygun bir şekilde yönetilmesini zorunlu kılmaktadır. Ülkemizde e-sağlık politikalarının bir yansıması olan Sağlıkta Dönüşüm Programı ile ivme kazanan bu süreç, idari işlemler ve yüksek mahkeme kararları ışığında şekillenmiştir. Bir hukuki perspektifle incelendiğinde, mevzuat altyapısının genelgelerden yasalara evrilme süreci, idarenin veri toplama yetkisinin sınırlarını ve temel hak ve hürriyetlerin korunması eksenindeki yargısal denetim mekanizmalarını açıkça gözler önüne sermektedir.
E-Nabız Projesi ve İlk Hukuki İhtilaflar
Türkiye'de dijital sağlık kayıtlarının merkezi bir sistemde toplanması hedefini taşıyan e-Nabız projesi, teletıp uygulamalarının temel yapı taşlarından biri olarak 2015 yılında hayata geçirilmiştir. Sağlık Bakanlığı tarafından yayımlanan 2015/5 sayılı Genelge ile tüm sağlık kurumlarından kişisel sağlık verilerinin sisteme aktarılması talep edilmiştir. Ancak bu idari işlem, temel hak ve hürriyetlerin sınırlandırılması niteliğinde olduğundan yargıya taşınmıştır. Danıştay 15. Dairesi, kişisel sağlık verilerinin hassas veri statüsünde olduğu ve Anayasanın 20. maddesi uyarınca bu verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceği gerekçesiyle genelgenin yürütmesini durdurmuş ve sonrasında iptal etmiştir. Bu karar, idarenin kişisel sağlık verilerini kanuni bir dayanak olmaksızın idari işlemlerle toplayamayacağını kesin bir hukuki dille tescillemiştir.
Kişisel Verilerin Korunması Kanunu ve İkincil Mevzuatın Gelişimi
Yargı kararlarının işaret ettiği kanuni boşluğun doldurulması amacıyla, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiş ve özel nitelikli kişisel verilerin işlenme şartları yasal zemine kavuşmuştur. Kanunun hemen ardından yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ile teletıp faaliyetlerinde verilerin aktarımı düzenlenmeye çalışılmıştır. Ne var ki, bu yönetmelik de verilerin anonimleştirilmeden aktarılmasına imkan tanıdığı gerekçesiyle Danıştay nezdinde dava konusu olmuş ve yürütmesi durdurulmuştur. Sonrasında 2019 yılında yürürlüğe giren yeni Kişisel Sağlık Verileri Hakkında Yönetmelik de hukuki ihtilaflardan muaf kalamamıştır. Yargı makamları, idarenin kanunda bulunmayan yetkileri yönetmelikle ihdas edemeyeceği ilkesine dayanarak, idarenin veri işleme yetkilerini sınırlandırmış ve hukukun üstünlüğü çerçevesinde iptal kararları tesis etmiştir.
Anayasa Mahkemesi Kararları Işığında Yetki Sınırları
Danıştay bünyesinde görülen davalarda, yönetmeliklerin hukuki dayanağını oluşturan Cumhurbaşkanlığı Kararnameleri de anayasaya aykırılık iddiasıyla denetime tabi tutulmuştur. Danıştay İdari Dava Daireleri Kurulu, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 378. maddesinde yer alan bilgi toplama, işleme ve paylaşma yetkilerini düzenleyen fıkraların Anayasanın 20. ve 104. maddelerine aykırı olduğu kanaatiyle konuyu Anayasa Mahkemesine taşımıştır. Anayasa Mahkemesi, 26 Ekim 2023 tarihinde verdiği kararla, söz konusu düzenlemelerin konu bakımından yetki yönünden Anayasaya aykırı olduğuna hükmederek iptal kararı vermiştir. Bu emsal niteliğindeki yüksek mahkeme kararları, sağlık hukuku uygulamaları açısından çok net bir mesaj içermektedir: Teletıbbın dayandığı kişisel sağlık verilerinin yasal rejimi, idarenin keyfi düzenlemeleriyle değil, bireylerin mahremiyet hakkını koruyan güçlü ve sarih yasal güvencelerle şekillendirilmelidir.
Sağlık Verileri Mevzuatındaki Temel Dönüm Noktaları
Teletıp uygulamalarının omurgasını oluşturan kişisel sağlık verilerine ilişkin yasal süreç, birçok idari işlemin ve yüksek yargı kararının birbirini izlediği dinamik bir tablo sunmaktadır. Yargı kararları, kişisel sağlık verileri mevzuatı kapsamında kanunilik ilkesinin ne denli kritik olduğunu aşağıdaki temel dönüm noktalarıyla ortaya koymuştur:
- Sağlık Bakanlığının 2015/5 sayılı e-Nabız Genelgesinin kanuni dayanak eksikliği nedeniyle Danıştay tarafından iptal edilmesi.
- 2016 yılında 6698 sayılı KVKK'nın yürürlüğe girmesiyle sağlık verilerinin özel nitelikli kişisel veri olarak yasal statüye kavuşması.
- 2016 ve 2019 yıllarında çıkarılan Kişisel Sağlık Verileri yönetmeliklerinin, kanunu aşan yetkiler içermesi sebebiyle yargıdan dönmesi.
- Anayasa Mahkemesinin 2023 yılında, sağlık verilerinin toplanmasına ilişkin Cumhurbaşkanlığı Kararnamesi hükümlerini yetki aşımı sebebiyle iptal etmesi.