Çalışma ve Sosyal Güvenlik Bakanlığı tarafından, Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanındaki sağlık verilerinin korunması ile güvenliğinin sağlanması ve paylaşılmasına ilişkin usul ve esasları düzenlemek üzere 11/7/2012 tarihli ve 28350 sayılı Resmi Gazete’de, Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmelik yayımlandı.

Söz konusu Yönetmeliğe Mevzuat bölümünden ulaşabilirsiniz.

Yönetmelik uyarınca;

• Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esas olacak. Sağlık verilerinin paylaşımında; Anayasada, kanunlarda ve uluslararası sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınacak.

• Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuş olduğu sağlık hizmetlerine ilişkin kaydı tutulan sağlık verileri dahil her türlü kişisel bilgiler, ilgili mevzuatla izin verilen haller dışında veya kişilerin açıkça rızası olmaksızın, kurum, kuruluş ve üçüncü kişilerle paylaşılmayacak. Kişiyi doğrudan veya dolaylı olarak tanımlamayan genel veya anonim veriler paylaşılabilecek. Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler de bu hükümlere tabi olacak.

• Sosyal Güvenlik Kurumu, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla, güvenlik politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlü olacak. Kurumda yazılım geliştirme üzerine çalışan personel, verilecek özel izin dışında veri tabanına erişemeyecek. Veri talebinde bulunan kamu kurum ve kuruluşları, özel sektör kuruluşları ve gerçek ve tüzel kişilerin kurum veri tabanının tamamına doğrudan erişimine izin verilmeyecek. Talep edilen verinin aktarımı sağlanacak.

• Veri üretimi, kurum veri tabanında yetkilendirilmiş kişiler tarafından yapılacak. Veri üreten kişiler Kurumca belirlenecek olan yöntemlere göre farklı düzeylerde yetkilendirilebilecek. Üretilen veriler sadece veri talebinde bulunan özel sektör veya kamu kurumunun ilgili birimine iletilecek. Üretilen verilerin muhafazası ve güvenliği veri üreten ve talep eden birimler tarafından sağlanacak. Kurum, paylaşılan verilerin içeriğini kayıt altına almak ve muhafaza etmekten sorumlu olacak.

• Alıcı, kurumdan aldığı verilerin gizliliğini korumakla ve güvenliğini sağlamakla yükümlü olacak. Alınan veriler talebe esas gerekçe dışında hiçbir amaçla kullanılamayacak. Alıcı tarafın verileri teslim alabilmesi için noter aracılığı ile “Gizlilik Taahhüt Belgesi” imzalaması ve Kuruma vermesi zorunlu olacak. Alıcı, Kurumdan alınan verileri mevzuata aykırı kullanması veya güvenliğini sağlayamaması durumunda doğacak hukuki sonuçlardan sorumlu olacak. Alıcı, verilerin yetkisi olmayan kurum, kuruluş ve üçüncü kişilerin eline geçmemesi için gerekli tüm tedbirleri almakla yükümlü olacak.

• Aşağıda yer alan bilgiler paylaşılmayacak:

– Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,

– Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları kişilere ait her türlü veriler,

– Genel sağlık sigortalısına ait kişisel bilgileri içeren veriler,

– Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer bilgileri içeren veriler.

• Ancak, aşağıda belirtilenlerin veri talebinde bulunması halinde bilgilerin paylaşılamayacağı hükmü uygulanmayacak:

– Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,

– Kurumun denetim ve kontrol ile görevlendirdiği personel,

– Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile yapacakları soruşturma, inceleme ve teftişlerle ilgili görevlendirilen personel,

– Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan kurum personeli.

• Firma, ürün veya marka barındıran veriler, talep halinde firmanın kendisine verilebilecek. Ayrıca bu veriler sınırları açıkça belirtilmiş olmak ve veri talep eden firma tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde kurum, kuruluş ve üçüncü kişiler ile paylaşılabilecek.

• Veri paylaşımından yararlanmak isteyen alıcı, Kuruma yazılı olarak başvuracak. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunlu olacak. Kurum, veri tabanında tutulan bilgileri, mevzuat ile getirilen sınırlamalar ve bu Yönetmelikte belirtilen usul ve esaslara göre alıcıyla yapacağı sözleşme çerçevesinde paylaşabilecek.

• Verilerin paylaşımı hizmetlerinin koordinasyonu Kurum tarafından yapılacak.

• Yönetmeliğin kapsamına giren ve Kurum tarafından paylaşımı onaylanan verilere ilişkin;

– Üniversitelerin kurumsal projelerinde,

– 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa göre genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlı kuruluşlarının yayımladıkları süreli istatistik bültenlerinde,

– Uluslararası kuruluşların Kurumun işbirliği yaptığı çalışmalarda,
kullanılmak üzere, 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde gerçek ve tüzel kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve mütekabiliyet ilkesi çerçevesinde diğer ülkelerin resmi kurumlarının talepleri ücretsiz olarak karşılanacak.

• Yönetmeliğin kapsamına giren veri talepleri, Kurumun ön değerlendirmesine tabi olacak. Ön değerlendirme sonrasında uygun görülen veri taleplerinin karşılanması için alıcı, sözleşme yapmak üzere davet edilecek. Sözleşmeler Kurum Başkanı veya yetkilendireceği personel tarafından imzalanacak. Veriler, CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek alıcıya gönderilecek. Veri paylaşımı kapsamında edinilen bilgilerin her türlü kullanımında alıcının Kurumu kaynak göstermesi zorunlu olacak.

• Kurum tarafından sağlanan verilerin herhangi bir biçimde yetkisiz kişilerin eline geçmesi ve/veya amacı dışında kullanımından doğacak her türlü hukuki, mali veya cezai sorumluluk alıcıya ait olacak. Alıcının edindiği verileri kaynak göstermeden kullanması halinde Kurum tazminat isteme hakkına sahip olacak.

• Yönetmeliğin uygulanmasına ilişkin usul ve esaslar Kurum Yönetim Kurulunca belirlenecek.

Bahse konu yönetmeliğe sitemizin Mevzuat bölümünden ulaşabilirsiniz. (isvesosyalguvenlik.com)