Kişisel verilerin korunması, 2016 yılında Kişisel Verilerin Korunması Kanunu (“Kanun”)’nun yayımlanması ile gündemde daha çok yer bulmasına rağmen aslında dayanağını Anayasa’daki başta “özel hayatın gizliliği” olmak üzere temel hak ve özgürlüklerin korunmasından alır. Kendi kişisel verisini üçüncü kişilerle paylaşan veri sahipleri, bu verilerin korunacağına, gizli tutulacağına ve ancak gerekirse bu verilerilerin başkaları ile paylaşılacağına dair bu verilerini paylaştıkları gerçek ve tüzel kişilerden taahhüt alma hakkına sahiptir. Bu taahhüt, Kanun sayesinde veriyi elde eden kişi için bir yükümlülük haline gelmiştir.
Kişilerin verisini elde etmeden hizmet verilemeyecek alanlardan biri, şüphesiz sağlık sektörüdür. Sağlık sektöründe hastanın, danışanın ya da bakım alanın adı/soyadı/adresinden öte geçirdiği hastalıklar, kullandığı ilaçlar ve hatta ailesindeki hastalıklara kadar bilgiler kaydedilmektedir. İstenen sağlık bilgileri, doğru bir tedavi/işlem için zorunlu olsa da bu zorunluluk kişisel verilerin işlenmesindeki yükümlülükleri bertaraf etmemektedir. Bu yüzden sağlık sektöründe hizmet veren hastane, hekim, psikolog, özel klinik gibi “veri sorumluları”, kişisel verilerin işlenmesinde ayrıca dikkatli ve hassas davranmalıdır.
Özel nitelikteki kişisel veriler Kanun’da “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” şeklinde sınırlı olarak sayılmıştır. Özel nitelikteki kişisel verilerin veri sorumluları tarafından daha sıkı şartlarda işlenmesi ve daha sıkı tedbirlerle korumasının sebebi, bunların öğrenilmesi halinde verinin sahibi “ilgili kişinin” mağdur olabilecek ya da ayrımcılığa maruz kalabilecek olmasıdır.
Sağlığa İlişkin Kişisel Verilerin İşlenme Şartları ve Kurulun İşaret Ettiği Önlemler
Özel nitelikteki kişisel veriler ya ilgili kişinin açık rızası ile ya da kanunlarda öngörülen zorunlu hallere dayanılarak işlenebilir. Unutmamak gerekir ki kanuni bir sebebe dayanılıyor olsa da ilgili kişi hasta/danışan, sağlık hukukunda geçerli olan aydınlatılmış onam dışında kişisel verilerinin işlenmesi kapsamında da aydınlatılmalıdır. Diğer yandan bir kişinin açık rıza vermesi, hakkındaki her türlü özel nitelikli kişisel verinin işlenmesini meşru kılmaz. Veri sorumlusu hastane/hekim/danışman verilen sağlık hizmeti ile sınırlı olarak ilgili özel nitelikli kişisel verileri işleme sorumluluğunu taşımaya devam eder.
Kişisel verilerin işlenmesinde aranan “açık rızanın alınması” şartı, sağlık ve cinsel hayat verileri için bir zorunluluk olmaktan çıkarılmıştır. Zira yetkili kurum ve kuruluşlar -sır saklama yükümlülüğüne uymak kaydıyla- kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla kişinin açık rızasını almadan da kişisel verileri işleyebilir. Ancak her halükarda sağlık ve cinsel hayat verisi işleyen bir veri sorumlusu, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirttiği yeterli önlemleri almakla yükümlüdür. Kurul, 2018/10 sayılı ilke kararında bu önlemlerin ne olduğunu listelemiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Sağlık Sektöründe Hizmet Verenlerin VERBİS Yükümlülüğü
Kurul, sağlık sektöründeki veri sorumluları için özel önlemlerin yanı sıra Veri Sorumluları Siciline (“VERBİS”) kayıt yükümlülüğünü de ayrıca düzenlenmiştir. VERBİS kaydı için genel olarak veri sorumlusunun çalışan sayısına, yıllık cirosuna ve faaliyet alanına bakılmaktadır. Buna göre -birtakım istisnalar Kurul kararları ile duyurulmuş olsa da- ana faaliyet alanı özel nitelikteki kişisel veri işleme olan veri sorumluları, VERBİS’e kaydolmak zorundadır. Bu kriterlere bakıldığında sağlık verileri başlı başına özel nitelikli bir kişisel veri olduğundan sağlık sektöründeki veri sorumlularının VERBİS kaydını yaptırması gerektiği sonucu çıkmaktadır.
Kişisel verilerin korunması yalnızca VERBİS kaydı ya da Kurul’un aradığı özel önlemler ile sınırlı değildir. Veri sorumluları sağlam bir envanter çıkararak ve politika belgesi hazırlayarak işlediği kişisel verilere dair bir süreç haritası oluşturmalı ve buna göre kişisel verilerini işlediği kişileri aydınlatmalı, gerekli hallerde rızalarını almalı, verilerin korunması için teknik ve idari tüm tedbirleri yerine getirmelidir. Sonuç olarak kişisel verilerin işlenmesi, sağlık sektöründe verinin gizlilik niteliği dolayısıyla daha titizlikle ele alınmalı ve Kanun’a uyum süreci bir an evvel tamamlanmalıdır.
Kişisel verilerin işlenmesine dair temel bilgilere “Kişisel Verilerin Korunmasına İlişkin Temel Kavramlar” başlıklı yazımızdan ulaşabilirsiniz.