Makale
Türk hukukunda kişisel sağlık verilerinin korunması, 6698 sayılı Kanun ve ilgili mevzuat çerçevesinde değerlendirilen hukuki bir süreçtir. Özel nitelikli kişisel veri olarak kabul edilen sağlık verilerinin işlenmesi, hasta mahremiyeti ve sır saklama yükümlülüğü ekseninde, sıkı yasal şartlara ve katı veri güvenliği tedbirlerine tabi tutulmuştur.
Türk Hukukunda Kişisel Sağlık Verilerinin Korunması
Modern tıp uygulamaları ve sağlık hizmetlerinin gelişmesiyle birlikte kişisel sağlık verilerinin korunması, Türk hukukunda çok daha büyük bir önem kazanmıştır. Bireylerin geçmiş, mevcut ve gelecekteki fiziksel veya psikolojik durumlarına ilişkin her türlü bilgi sağlık verisi olarak tanımlanmaktadır. Türk hukuk sisteminde bu verilerin işlenmesi, aktarılması ve muhafaza edilmesi, bireylerin temel hak ve özgürlüklerinin korunması amacıyla sıkı kurallara bağlanmıştır. Özellikle hasta ile hekim arasındaki ilişkinin temelini oluşturan güven unsuru, özel hayatın gizliliği ve hasta mahremiyeti ilkeleri etrafında şekillenmektedir. Bu bağlamda, bir KVKK avukatı perspektifiyle değerlendirildiğinde, sağlık verilerinin sıradan bir kişisel veri gibi işlenemeyeceği, ihlal durumunda telafisi güç maddi ve manevi zararların doğabileceği açıktır. Dolayısıyla, veri sorumlusu sıfatını taşıyan sağlık kuruluşları ve sağlık personeli, veri güvenliği kültürünü iş süreçlerinin tam merkezine yerleştirmek ve yasal mevzuata mutlak bir uyum sağlamak zorundadır.
Sağlık Verilerinin Hukuki Niteliği ve Anayasal Temelleri
Türk hukuk sisteminde kişisel verilerin korunması, en üst düzeyde Anayasal bir güvenceye kavuşturulmuştur. Türkiye Cumhuriyeti Anayasası'nın 20. maddesi, herkesin özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğunu ve kişisel verilerinin korunmasını talep edebileceğini hüküm altına almıştır. Sağlık hakkı bağlamında değerlendirildiğinde, kişinin maddi ve manevi varlığını koruma hakkı da Anayasa'nın 17. maddesi ile teminat altına alınmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ise, anayasal bu hakların uygulanmasına yönelik temel çerçeveyi çizen en önemli yasal düzenlemedir. KVKK'nın 6. maddesi uyarınca sağlık verileri, öğrenilmesi halinde kişinin ayrımcılığa maruz kalmasına veya mağduriyetine neden olabilecek nitelikte olduğundan özel nitelikli kişisel veri statüsünde kabul edilmiştir. Bu nedenle, genel nitelikli kişisel verilere kıyasla sağlık verilerinin işlenmesinde ve korunmasında çok daha hassas ve katı bir hukuki koruma rejimi benimsenmiştir.
KVKK Kapsamında İşleme Şartları ve Sır Saklama Yükümlülüğü
KVKK madde 6 kapsamında, özel nitelikli kişisel verilerin işlenmesi kural olarak veri sahibinin açık rızası bulunmasına bağlıdır. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza beyanını ifade etmektedir. Ancak kanun koyucu, sağlık hizmetlerinin kesintisiz ve etkin bir şekilde yürütülebilmesi adına bazı istisnai haller öngörmüştür. Sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla, ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmektedir. Bu hukuki istisna, veri sahibinin haklarını ortadan kaldırmaz; aksine, veriyi işleyen sağlık profesyonellerine çok ciddi bir hukuki ve cezai sorumluluk yükler. Ek olarak, bu verilerin işlenmesi sırasında Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli ve katı güvenlik önlemlerinin alınması da hukuki bir zorunluluktur.
Hasta Hakları ve Veri İhlallerinde Hukuki Yaptırımlar
Sağlık hukuku pratiğinde, hastaların tıbbi kayıtları ve sağlık geçmişleri üzerinde mutlak bir bilgi edinme ve denetim hakkı mevcuttur. Hasta Hakları Yönetmeliği uyarınca, hastanın özel hayatının gizliliğine her aşamada saygı gösterilmesi zorunludur ve tıbbi verilerin hasta onayı olmadan üçüncü kişilerle paylaşılması yasaklanmıştır. Veri ihlali durumlarında ise Türk hukuku çok katmanlı bir yaptırım mekanizması işletmektedir. 5237 sayılı Türk Ceza Kanunu'nun (TCK) 135. ve devamı maddeleri, kişisel verilerin hukuka aykırı olarak kaydedilmesi, ifşa edilmesi ve ele geçirilmesini hapis cezası gerektiren suçlar olarak düzenlemiştir. İhlalin konusunun sağlık verisi olması ve suçun belli bir mesleğin sağladığı kolaylıktan yararlanılarak işlenmesi durumunda, verilecek ceza yarı oranında artırılmaktadır. Aynı zamanda, ihlali gerçekleştiren veri sorumluları hakkında Kişisel Verileri Koruma Kurulu tarafından ağır idari para cezaları uygulanmakta ve Borçlar Kanunu kapsamında mağdur hastaların manevi tazminat talep etme hakları doğmaktadır.
Türk Hukukunda Uygulamaya Yön Veren Temel Düzenlemeler
Sağlık kuruluşlarının veri işleme süreçlerinde uymakla yükümlü oldukları temel regülasyonlar, idari ve teknik tedbirlerin bütününü oluşturmaktadır. Kişisel Sağlık Verileri Hakkında Yönetmelik, e-Nabız sistemi gibi merkezi veri tabanlarında hastaların kendi verileri üzerindeki gizlilik tercihlerini belirlemesine olanak tanımaktadır. Türk hukuk uygulamasında sağlık verilerinin işlenmesini şekillendiren temel mevzuat ve ilkeler şu şekilde özetlenebilir:
- 6698 sayılı KVKK: Sağlık verilerinin işlenmesinde veri minimizasyonu, amaca bağlılık ve Kurul tarafından belirlenen yeterli güvenlik önlemlerinin alınması mecburiyetini getirir.
- 5237 sayılı TCK: Sağlık verisi ihlallerini, temel insan haklarına karşı işlenmiş nitelikli suçlar kategorisinde değerlendirerek cezai müeyyidelerle cezalandırır.
- Hasta Hakları Yönetmeliği: Teşhis ve tedavi süreçlerinde hastanın mahremiyet hakkını ve aydınlatılmış onam gerekliliğini güvence altına alır.
- Kişisel Sağlık Verileri Hakkında Yönetmelik: E-Nabız ve benzeri sistemlerde hasta verilerinin işleme sınırlarını düzenler.
Kurul kararlarında da açıkça görüldüğü üzere, yetkisiz sağlık personelinin, sırf kişisel merak veya yetki aşımıyla sağlık verilerine erişmesi, yüksek idari para cezaları ve disiplin süreçleri ile sonuçlanan ağır bir veri ihlali olarak kabul edilmektedir.