PANDEMİ DÖNEMİNDE HASTALARIN SAĞLIK VERİLERİNİN PAYLAŞILMASININ KVKK AÇISINDAN DEĞERLENDİRİLMESİ
-HUKUK BÜLTENİ-
BÜLTEN TARİHİ: 29/01/2021
1982 Anayasasının 20’nci maddesine 5982 sayılı Kanun’la yapılan 2010 değişikliğiyle beraber kişisel verilerin korunmasını isteme hakkı eklenmiştir[1]. Bu hak, özel hayatın gizliliği başlığı altında sanki sadece özel hayat kişisel verileri ile alakalı olduğu düşünülse de kişisel verileri sadece özel hayatın dar kapsamına sokmak doğru olmayacaktır. Nitekim bir kişinin finansal, mesleki yaşamına ait veriler de kişisel veri kapsamına girmektedir. Özel hayatın gizliliği altında bu hakkın nasıl sınırlanacağına dair özel sınırlama sebepleri zikredilmiştir. Kişisel verilerin korunmasını isteme hakkına ilişkin olarak ise ilgili hükümde özel sınırlama sebepleri belirtilmemiştir. Bu durum Anayasa’nın 13’üncü maddesinde belirtilen hakların sınırlanmasının Anayasa’da belirtilen özel sınırlama sebeplerine dayanması kaidesine tenakuz oluşturmaktadır[2]. Zira bir temel hak ve hürriyetin sınırlanmasının salt Kanun ile öngörülmesi durumunda hakkı sınırlama iradesine sahip olanlara temel hak ve hürriyetlerin sınırlanmasında nitelikli çoğunluktan kaçınma kolaylığı sağlayacaktır. Bu açıdan kişisel verilerle alakalı bir hükmün getirilmiş olması ne derece önemli bir gelişme olsa da düzenlemede bulunan nakısalar bu temel hakkın öngörülenden daha kolay sınırlanmasına yol açmaktadır. Gerçekten, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verilerin işlenme şartları bu Kanun ile düzenlenmiştir. Açık rıza haricinde kanunla düzenlenen sınırlama sebepleri sayılmıştır. Kanaatimizce, bu kişisel veri işleme şartları, diğer bir deyişle sınırlama sebepleri Anayasa hükümleri ile bağdaşmamaktadır.
Özetle, Anayasa ile güvence altına alınan bu hakkın korunması esas, sınırlanması istisnadır. Fakat KVKK’da gerek istisna halleri[3] gerek kişisel verilerin işlenme şartları[4] hakkı korumaktan ziyade kişisel verilerin işlenme şartlarına sebepler bağlamıştır.
Biz bu çalışmamızda hassas nitelikli verilerden sağlık verilerinin işlenme koşullarını, işlendiği takdirde oluşacak ihlalleri ve bu bağlamda verilen mahkeme içtihatlarını inceleyeceğiz.
KVKK, özel nitelikli olarak ifade ettiği kişisel verilerin işlenebilmesini ilk olarak ilgili kişinin açık rızasının mevcudiyetine bağlamıştır. Kanun’un 6’ncı maddesi ayrıca ilgili kişinin açık rızasının bulunmadığı hallerde özel nitelikli verilerin işlenme şartlarını da düzenlemiştir. Nitekim Kanun’la öngörüldüğü hallerde özel nitelikli kişisel veriler de işlenebilecektir. Bu durumun istisnasını ise sağlık verileri ve cinsel hayat verileri oluşturur. Buradan hareketle ilgili kişinin sağlık verilerini işleyebilmek için Kanun’da belirtilen özel sebeplerin varlığı şarttır.
Tahdidi olarak “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla” şeklinde sayılan özel işlenme sebepleri ile açık rıza aranmaksızın ancak Kanun’da belirtilen sır saklama yükümlülüğü altındaki kişiler veya kurum ve kuruluşlar tarafından ilgili kişinin sağlık verileri işlenebilir[5]. Özetle, kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin açık rızasının bulunması veya Kanun’da belirtilen şartların varlığı zaruridir[6].
Sağlık verilerinin özel nitelikli kişisel veriler içinde bile özel bir konuma sahip olması karşısında çıkarılacak sonuç bu verilerin ancak gerekli olduğu ölçüde işlenebilmesi gereğidir. Bu bağlamda kişisel sağlık verilerinin işlenmesini meşru kılan amaç olarak ilgili kişinin sağlık durumunun takip edilmesiyle sağlık hizmetlerinin etkin ve hızlı bir şekilde yürütülmesi kabul edilmektedir[7].
KVKK, özel nitelikli kişisel verilerin işlenme şartları meydana gelse bile bu kişisel verilerin Kişisel Verileri Koruma Kurulu tarafından öngörülen veri güvenliği yöntemleri kullanılarak yeterli önlemlerin alınmasını şart koşmuştur[8].
2.2. ÖZEL KANUNLARLA GETİRİLEN SINIRLAMA SEBEPLERİ
5502 Sayılı Sosyal Güvenlik Kurumu Kanunu’nun 35/5 maddesine göre Sosyal Güvenlik Kurumu (“SGK”) ilgili Kanun’un verdiği görevleri yerine getirmek amacıyla kişisel verileri işleyebilmektedir. SGK bunun dışında 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu’nun Ek-1,2,3,4 sayılı cetvellerinde yer alan kamu idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları sağlık verileri dışında kişisel veri ve ticari sır niteliğindeki verileri paylaşmaktadır[9].
663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında KHK’nın 47’nci maddesine göre kamu veya özel sağlık kuruluşları ve sağlık mensuplarını sağlık hizmeti almak gayesiyle başvurulduğunda bunlar sağlık hizmetinin doğası gereği vermek zorunda oldukları veya başvuruculara verilen hizmete ilişkin kişisel verileri işleyebileceklerdir[10]. Eczacılar ve Eczaneler Hakkında Yönetmeliğe (“Yönetmelik”) göre satışı yapılan tüm ilaçların elektronik ortamda kaydedilme ve bu kayıtların yapılan teftişlerde istenilmesi halinde sunulabilmesi gerekmektedir. Kanaatimizce, Yönetmelik ile ilaç alan bireylerin, hastaların hangi ilacı aldıklarına ilişkin sağlık verilerinin kaydedilmesi hukuka aykırıdır[11]. Zira sınırlamanın Anayasa’nın ilgili maddesinde öngörülen özel sınırlama sebeplerine dayalı olarak ve kanunla yapılması gerekir. Nitekim hassas verilerden olan sağlık verileri işlenen hastaların, veriyi işleyenlere ve veri sorumlularına karşı duyduğu güven çok önemlidir. Kişisel verilerden sağlık verilerinin alelade işlenmesi, aktarılması veya 3. kişilerle paylaşılması durumunda sağlık verisini paylaşması gereken bir hastanın dahi çekinceleri olacaktır. Bu durum hem hasta özelinde hem de toplum genelinde çok vahim sonuçlar doğurabilecektir. Örneğin, Covid-19 hastası olan bir bireyin kişisel verilerinin sıkı bir denetime tabi tutulmadan işlenmesi durumunda en basitinden bu hastanın yakınları açısından aynı bulaşıcı hastalığa yakalansalar bile toplumu ilgilendiren bu salgın hastalığın bilgisini veri işleyen sıfatıyla doktorlara veya veri sorumlusu sıfatıyla hastane, sağlık bakanlığı gibi tüzel kişiliklere vermeyeceklerdir. Bu özel nitelikli verilerin işlenmesi bu yüzden çok sıkı sınırlama sebeplerine bağlı olmalı, ilgili kişinin verileri basitçe işlenmemelidir.
İnsan Hakları Avrupa Mahkemesi (“İHAM”), Z./Finlandiya[12] kararında salgın hastalıklar söz konusu olduğunda kamu yararı gerekçesi ile bir hastanın sağlık verisinin alınması, aynı hastanın sağlık verisinin korunmasının sağlayacağı yarardan daha fazla olacağını kabul etmektedir. Sağlık verisi açıklanan hastanın özel yaşamına müdahale somut olayımızda kamu yararı gözetilerek suçların önlenmesi maksadıyladır. Fakat İHAM ayrıca, kişisel sağlık verileriyle ilgili Z./ Finlandiya kararında, şu noktaya dikkat çekmiştir. HIV enfeksiyonu nedeniyle bir kişinin HIV testinin pozitif olduğunun açıklanmasının, onun özel hayatını ve toplumda bulunduğu yeri ağır bir şekilde zedeleyeceğini belirtmiştir. Anılan kararında İHAM, hastanın sağlık verilerinin korunacağı hususunda kuşkusunun bulunmaması gerektiğini vurgulamıştır[13].
Bir diğer taraftan Anayasa Mahkemesi HIV hastası olan başvurucunun[14] özel hayatının gizliliği kadar toplumdan dışlanmaları gibi problemlerle karşılaşacağı düşünülerek bu tarz özel nitelikli verilerin, diğer deyişle hassas sağlık verilerinin alınmasında meşru amaç ile orantılık esastır şeklinde karar vermiştir[15].
Çin’in Wuhan kentinde başlayıp Dünya’nın her ülkesine sirayet eden Covid-19 salgını ile sağlık verilerinin mahremiyetinin ne derece önemli olduğu gün yüzüne çıkmıştır. Gerçekten bu salgın ile bir yandan özel nitelikli kişisel veri niteliğindeki sağlık durumunu gösteren verilerin gizliliğindeki bireysel menfaat ile salgının yayılmasını önüne geçmede bu verilerin kullanılarak virüsün toplum geneline sirayet edip bulaşmasını engellemedeki kamu menfaati yarıştığı ortaya çıkmıştır.
Ülkemizde virüsün yayılması anından itibaren bazı veri sorumlusu niteliğindeki futbol kurumlarının bilinçli davranarak virüse hangi futbolcularının yakalandığını açıklamaması, henüz 2016 yılından beri yürürlükte olan KVKK’nın gereğince anlaşıldığının bir göstergesidir. Madalyonun diğer yüzü ise karanlıktır, basın ve sosyal medya üzerinden ünlülerin açık rızası olmadan bu bulaşıcı hastalığa yakalandığının haberleşmesi ilgili kişinin sağlık verilerinin ihlali manasına gelmektedir.
Hayat eve sığar (“HES”) kodu ve uygulaması da ne yazık ki sağlık verilerinin işlenmesinde çok masum değildir. Bu elektronik uygulama amacı itibariyle toplum sağlığını korumak ve kamu menfaatini sağlamak maksadıyla devreye girmiştir. Fakat uygulama itibariyle gerek bu sağlık verisi niteliği taşıyan kodun verilmesinin zorunlu olması gerekse de HES kodu bilgilerinin paylaşıldığı kişiler açısından ilgili kişinin kişisel verilerinin ihlali söz konusudur. Gerçekten gündelik yaşamda kolaylık sağlaması için getirilen bu uygulama KVKK’nın 6’ncı maddesinin 3’üncü fıkrası ile tamamıyla çelişmektedir. Zira KVKK m.6/3 özel nitelikli verilerden sağlık verilerinin işlenmesini daha önce değindiğimiz üzere özel sınırlama sebeplerinin varlığına bağlamıştır. Hatta bu özel sınırlama sebeplerinin varlığında dahi bu hassas nitelikli sağlık verilerini sır saklama yükümlülüğü altındaki kişilerin ve kurumların alabileceğini söylemiştir. Kuşkusuz bu sır saklama yükümlülüğü altındaki kişiler veri sorumlusu kamu otoriteleri adına çalışan veri işleyen niteliğindeki doktorlar, hemşireler ve sağlık personelleridir. Kurumların da veri sorumlusu niteliğindeki hastaneler, sağlık kurum ve kuruluşları olduğu açıktır. Diğer bir deyişle bir alışveriş merkezine girerken bir güvenlik görevlisine veya yolculuk yaparken muavine veya online sistemler üzerinden seyahat hizmeti verenlerle bu kişisel sağlık verilerin paylaşılması KVVK’nın getirmiş olduğu özel nitelikli verilerden sağlık verilerinin işlenme şartları ile taban tabana zıttır. Bu zaviyeden bakıldığında çok masum gibi görünen bir uygulamanın dahi toplumsal boyutunun getirdiği kamu yararı ile bir hastanın kişisel sağlık verisinin alelade kullanılmasından, işlenmesinden, paylaşılmasından, aktarılmasından doğan kişisel veri ihlali meşru amaç ile orantılı olarak değerlendirilmelidir. Nitekim İHAM’ın birçok kararında değindiği gibi “hukuki öngörülebilirlik” olmadan salt gündelik yaşamı kolaylaştırmak maksadıyla hastalık sonucuna bakılan hastanın veya hasta olmayan ilgili kişinin kişisel sağlık verilerinin sır saklama yükümlülüğü altında olmayan kişiler ve kurumlarca işlenmesi meşru amaç ile de orantılı olmayacaktır.
Saygılarımızla
Forensis Hukuk Bürosu
Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.
[1] Kişisel Verileri Koruma Kurumu, Anayasal Bir Hak Olarak Kişisel Verilerin Korunmasını İsteme Hakkı, https://www.kvkk.gov.tr/Icerik/4184/Anayasal-Bir-Hak-Olarak-Kisisel-Verilerin-Korunmasini-Isteme-Hakki, (10.01.2021).
[2] 1982 AY, 13’üncü madde: “Temel hak ve hürriyetlerin sınırlanması”, https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=2709&MevzuatTur=1&MevzuatTertip=5, (10.01.2021).
[3] 6698 sayılı KVKK 28’inci madde: “İstisnalar”, https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5, (10.01.2021).
[4] 6698 sayılı KVKK 5’inci madde: “Kişisel verilerin işlenme şartları”; 6698 sayılı KVKK 6’ncı madde: “Özel nitelikli kişisel verilerin işlenme şartları”.
[5] Rıza Saka, Kişisel Verilerin Korunması ve İmhasına İlişkin Genel Açıklamalar, in: Rıza Saka, Ramazan Çağlayan, Mahmut Koca, Avrupa Birliği Hukuku, İdare Hukuku ve Ceza Hukuku Açısından Kişisel Verilerin İmhası, 1.b., Ankara: Seçkin Yayıncılık, 2020, s. 33.
[6] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 1. b., İstanbul: Hukuk Akademisi, 2019, s. 221.
[7] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, 3.b., İstanbul: Onikilevha Yayıncılık, 2020, s. 264.
[8] KVK Kurul Kararı, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” 31/01/2018 Tarihli ve 2018/10 Sayılı, https://www.kvkk.gov.tr/Icerik/4110/2018-10, (10.01.2021).
[9] Çekin, op.cit., s. 268.
[10] Elif Küzeci, Kişisel Verilerin Korunması, 4. b., İstanbul: Onikilevha, 2020, s. 559.
[11] Çekin, s. 269.
[12] Z. v. Finland, 9/1996/627/811, Council of Europe: European Court of Human Rights, 25 February 1997, https://www.refworld.org/cases,ECHR,3ae6b71d0.html, (10.01.2021).
[13] Aydın Akgül, “Danıştay Kararları Işığında Kişisel Sağlık Verilerinin Korunması”, Danıştay Dergisi, S. 133, 2013, s. 30. https://www.danistay.gov.tr/upload/yayinlar/12_03_2014_104620.pdf, (10.01.2021).
[14] AYM Kararı, T.A.A., B. No: 2014/19081, 1/2/2017, § 61 “Sağlık durumunun maddi ve manevi varlığı koruma ve geliştirme hakkını ilgilendirdiğine kuşku yoktur. Bununla birlikte HIV pozitif durumda olan kişiler yönünden bu hastalık sadece bir sağlık sorunu olmayıp sosyal yaşamda ön yargılarla karşılaşmaları, damgalanmaları ve toplumdan dışlanmaları gibi problemlere de yol açarak ilgili kişilerin özel hayatının diğer boyutlarını da etkilemektedir. Söz konusu dışlanma, damgalanma ve ön yargıların özellikle iş hayatında mevcut olması durumunda kişiler üzerindeki etkiler çok daha yıkıcı olabilmektedir”. https://kararlarbilgibankasi.anayasa.gov.tr/BB/2014/19081, (10.01.2020).
[15] Küzeci, s. 554.