Kişisel sağlık verilerinin işlenmesi ve mahremiyetinin sağlanması hakkında yönetmelik Sağlık Bakanlığı tarafından hazırlanarak 22 Ekim 2016 tarihinde Resmî Gazete’de yayımlanmak suretiyle yürürlüğe girmiştir.
Kişisel sağlık verilerinin işlenmesi ve mahremiyetinin sağlanması hakkında yönetmelik Sağlık Bakanlığı tarafından hazırlanarak 22 Ekim 2016 tarihinde Resmî Gazete’de yayımlanmak suretiyle yürürlüğe girmiştir.
Kişisel Verileri Koruma Kanunu’nda (6698) sağlık verileri, özel nitelikli kişisel veri olarak tanımlanmaktadır. Kişisel sağlık verilerinin ilgilinin açık rızası olmadan işlenmesi kanunun açık hükmü uyarınca yasaktır. Anılmakta olan verilerin ilgilinin açık rızası aranmadan işlenebileceği istisnai durumlar aynı kanun hükmünde düzenlenmiştir. Bu verilerin kullanılmasında kurul tarafından belirtilmiş olan yeterli önlemlerin alınmasının da şart olduğu açıkça belirtilmiştir.
Kişisel Sağlık Verilerinin Korunması Yönetmeliğe Gelen Eleştiriler
İşbu yönetmelik yürürlükte kaldığı süreçte pek fazla kez eleştirileri üzerinde toplamıştır. Bu yöndeki eleştirilerin en temel olanı açık rıza olmaksızın veri işlenebileceği alanların mevzuata aykırı olarak geniş tutulduğu yönündeki eleştirilerdir. Zira yönetmeliğin temel hedefi sağlık hizmetlerine erişmek isteyen her bireyin verilerinin merkezi bir elektronik sisteme aktarılmasıdır. Buna ilişkin olarak sağlık hizmeti sunucularının sorunlulukları ilgili kanunun 5.maddesinin 6.fıkrasında belirtilmiş durumda olup ilgili maddede herhangi bir istisnai durumdan söz edilmemiştir.
Bir diğer eleştiri noktası ise kanun içerisindeki bazı maddelerde kişisel sağlık verilerinin korunması hususunda ucu açık yetkiler verilmesine ilişkindir. Bu yetkilerden bir tanesi kişisel sağlık verilerinin elektronik sisteme aktarılmasında veriye sahip olan ilgilinin rızasının aranmamasının yanı sıra bu verilerin elektronik sisteme işlenmesi esnasında tüm esas ve usuller ilgili bakanlığın takdir yetkisine bırakılmıştır.
Tüm bunların yanı sıra kanun içerisinde diğer kurum ve kuruluşlar tarafından kişisel sağlık verilerinin korunması ve saklanması hususunda hazırlanmış olan mevzuat taslaklarına ilişkin görüş bildirme yetkisi Kişisel Verileri Koruma Kurumu’na verilmiştir. Ancak işbu yönetmelik yürürlüğe konulurken Kişisel Verileri Koruma Kurumu’na görüş ve onayı sorulmamıştır.
Yönetmeliğe ilişkin yapılan son eleştirilerden bir tanesi de ‘’Kişisel Sağlık Verilerinin Komisyonu’’ adı ile yönetmelikçe oluşturulan komisyon hakkındadır. İşbu komisyona yurt dışına veri aktarma yetkisi verilmiştir. Fakat adı geçen kanunun 9.maddesi gereğince yut dışına veri aktarma yetkisi kurula ait olduğundan yönetmelik kanun hükümleriyle çelişmektedir.
Kişisel Sağlık Verilerinin Korunması Yönetmeliğe Açılan Davalar
Bu ve benzeri gerekçeler nedeniyle yönetmelik hakkında 2 adet dava açılmış olup ilki Tüm Eczacı İşverenler Sendikası tarafından açılmıştır. Sendika kanunda böyle bir yükümlülük bulunmamasına rağmen kişisel verilerin yazılı rıza eşliğinde alınmasının zorunlu kıldığı bahsinde bulunmuştur. Böyle bir zorunluluğun eczacılar tarafından uyulmasının mümkün olmadığı bir sorumluluk olduğunu belirten sendika dava neticesinde yönetmeliğin ilgili maddelerinin yürütmesinin durdurulması ve iptal edilmesi talebinde bulunmuştur.
Yönetmelik aleyhine açılmış olan ikinci davada ise Türk Dermatoloji Derneği ve Türk Psikiyatri Derneği yönetmeliğin tüm hükümlerinin durdurulması ve iptal edilmesini talep etmiştir. Bu talebin nedeni olarak ise yönetmeliğin her türlü hasta bilgisinin anonim hale getirilmeden merkezi bilgisayar sistemine kaydedilmesini öngören maddelerinin Anayasa ile çeliştiği iddiasını göstermişlerdir. Yönetmeliğin Anayasa içerisinde düzenlenmiş olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin hükümleri ile çelişen düzenlemeler barındığını iddia etmişlerdir.
Danıştay davalara ilişkin vermiş olduğu 06.07.2017 tarihli kararı neticesinde yönetmeliğin tüm hükümleri için yürütmelerinin durdurulmasına hükmetmiştir. Karar içerisinde diğer iddialara değinmeksizin ilgili kanunun(6698) çerçeve kanun niteliğinde olduğu belirtilmiştir. Bu kanun çerçevesinde kişisel verilere ilişkin mevzuat hükümlerinin kontrol ve denetim yetkisinin Kişisel Verileri Koruma Kurulu’nda olduğunu ve tüm mevzuat taslakları için kuruldan görüş alınmasının şart olduğunu bu hükümler uyarınca yönetmeliğin hukuka aykırı olduğuna karar verilmiştir.