Sağlık Bakanlığı; kişisel sağlık verilerinin mahremiyetini sağlamak, kişisel sağlık verilerinin işlenmesi ve bu verileri işleyecek gerçek ve tüzel kişilerin uyacakları esas ve usulleri belirlemek üzere, Kişisel Sağlık Verilerinin İşlenmesi ve Veri Mahremiyetinin Sağlanması Hakkında Yönetmelik Taslağı hazırlayarak kamuoyunun bilgisine sundu.

Söz konusu yönetmelik taslağı, kamuoyunun olumlu ve olumsuz görüşleri alındıktan sonra ya aynen ya da gerekli görülen değişiklikler yapılarak Resmi Gazete’de yayımlanmasının ardından yürürlüğe girecek. Söz konusu Yönetmelik taslağı aşağıda yer almakta olup; isteyen, Bakanlığın web sitesinde yer alan http://sbu.saglik.gov.tr/gorus/ linkine tıklayarak, buradan Yönetmeliğe ilişkin görüş ve önerilerini paylaşabilecek.

Daha önde de Çalışma ve Sosyal Güvenlik Bakanlığı tarafından, Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanındaki sağlık verilerinin korunması ile güvenliğinin sağlanması ve paylaşılmasına ilişkin usul ve esasları belirlemek üzere 11/7/2012 tarihli ve 28350 sayılı Resmi Gazete’de, Genel Sağlık Sigortası Verilerinin Güvenliği ve Paylaşımına İlişkin Yönetmelik yayımlanmıştı (11/7/2012 tarihli haber).

Sağlık Bakanlığı’nın söz konusu yönetmelik taslağının aynen yürürlüğe girmesi halinde;

1- Kişisel sağlık verileri yani kişilerin sağlık durumlarıyla ilgili bilgiler; mevzuatla belirlenen görev alanına ve toplanma amacına uygun, sınırlı, ölçülü, doğru, tam, tutarlı ve güncel şekilde hukuka ve dürüstlük kurallarına uygun olarak işlenecek.

2- Kişisel sağlık verileri; ancak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım veya rehabilitasyon hizmeti gibi kişiye özel ya da toplum sağlığı, sağlık politikalarının geliştirilmesi, sağlık hizmetlerinin yönetimi ve planlanması, finansmanı, sağlık sigortacılığı, bilimsel araştırma ve istatistik gibi toplumsal amaçlarla ve bu Yönetmelik hükümlerine uygun şekilde işlenecek. Bu kapsamda işlenen veriler yalnızca anonim hale getirilerek yani kişilerin isimleri yer almadan sadece kişi sayısı üzerinden yayımlanabilecek.

3- Yukarıda 2. maddede belirtilen haller dışında;

a) İlgili kişinin açık rızasının bulunması, (ilgili kişinin rıza veremeyecek durumda olması halinde yasal temsilcisinin; çocuklarda kendi rızasının yanı sıra ana ve babasının veya yasal temsilcisinin rızası alınacak.)

b) İlgili kişinin sağlık durumunun diğer kişileri veya toplum sağlığını tehdit etmesi, (Bu durumda Bakanlık veya bağlı kuruluş yetkilisi izniyle tehlike altındaki kişilerle ve ilgili kurumun yetkilileri ile paylaşım yapılacak.)

c) Bir hakkın tesisi, icrası veya korunması için paylaşımın kanunen zorunlu olması,

ç) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması,

d) Kişisel sağlık verilerinin ilgili kişinin kendisi tarafından alenileştirilmiş yani açıklanmış olması,
hallerinde kişisel sağlık verileri işlenebilecek yani kaydedilebilecek.

4- Kişisel sağlık verileri, veri sorumlusunun denetiminde ve bu konuda görevlendirilen kişilerce işlenecek. Veri sorumlusu, veri işlenmesinin her aşamasının bu Yönetmelik hükümlerine uygun olmasını sağlayacak.

5- Kişisel sağlık verilerinin işlenmesinde görev alan herkes sır saklama yükümlülüğü altında olacak.

6- Ulusal ve/veya uluslararası bildirimi zorunlu bulaşıcı hastalıklar ilgili ulusal ve uluslararası mevzuata ve bu Yönetmelik hükümlerine uygun işlenecek.

7- Söz konusu Yönetmelik hükümleri;

a) Kişisel sağlık verileri işlenen gerçek kişileri,

b) Kişisel sağlık verilerini otomatik veya otomatik olmayan araçlarla kısmen veya tamamen işleyen Sağlık Bakanlığı ve bağlı kuruluşları ile sağlık ve sigorta hizmeti sunan diğer kamu ve özel kurum ve kuruluşlar ile kişileri,

c) Sağlık hizmet sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri,

8- Kişisel sağlık verilerinin uluslararası kuruluşlarla paylaşımına uluslararası hukuka uygun olarak Bakanlıkça izin verilebilecek. Bu durumda; uluslararası kuruluşların, Avrupa Birliği veri koruması mevzuatına uygun seviyede bir korumayı garanti etmesi ve gerekli güvenlik önlemlerinin alındığını Bakanlığa yazılı olarak bildirmesi gerecek.

9- Eğitim ve bilimsel araştırmalar kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin ayrıntılı olarak bilgilendirilip rızasının alınması zorunlu olacak. Bu durumda da veri işlemenin amacı, cevap verme zorunluluğunun bulunmadığı konusunda ilgili kişi bilgilendirilecek. İlgili kişi, rızasını her zaman geri alabilecek. Ancak rızanın geri alınması, geri almadan önceki dönemde gerçekleştirilen işlemleri etkilemeyecek.

10- İlgili kişi;

a) Kendi kişisel sağlık verilerini isteyebilecek ve veri sorumlusu bu bilgileri vermekle yükümlü olacak.

b) Kendi kişisel sağlık verilerinin işlenmesi hususunda bilgi isteme hakkına sahip olacak. Bu talep üzerine veri sorumlusu, açık ve anlaşılabilir şekilde veri işleyene ait bilgileri, verinin işlenme amacını, içerik ve kapsamı ile verinin paylaşımına ilişkin bilgileri verecek.

c) Kendi kişisel sağlık verilerine erişim hakkına sahip olacak.

ç) İstediği zaman kendisiyle ilgili verilerin bulunduğu veri sorumlusundan gerçekleştirilmiş veya gerçekleştirilmekte olan işlemlerle ilgili kayıtlarının düzeltilmesini, dondurulmasını, sildirilmesini ya da güncellenmesini yazılı veya elektronik ortamda isteme hakkına sahip olacak. Bilginin teyidinden yani doğrulanmasından sonra gerekli işlem yapılacak. Ancak kamu sağlığı ve güvenliğini ilgilendiren hallerde veriler silinemeyecek.

d) Bu konuda oluşacak uyuşmazlıklar Bakanlıkça ilgili mevzuata göre oluşturulan hasta hakları kurullarında çözümlenecek.

11- Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri etkin ve hızlı biçimde yerine getirebilmek için sağlık verisi işleyen bütün kişi ve kuruluşlardan kişisel sağlık verilerini bu Yönetmelik hükümlerine uygun olarak her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkili olacak.

12- Bakanlık, ülke genelinde sağlık bilgi sistemleri ile hizmet sunucularına, hizmetlere, hizmet sunum sürecinde kullanılan araç, gereç, tıbbi malzeme ve ilaçlara, olaylara ait veriler dahil gerekli görülen tüm alanlara dair kodlama ve sınıflandırma sistemi standartlarını bir Tebliğ ile belirleyecek ve ilan edecek, bu standartlara uygunluğu denetleyecek.

13- Veri sorumlusu ve alıcı, kişisel sağlık verilerinin ihlaline karşı ve ihlali halinde gerekli hukuki, teknik ve idari önlemleri alacak.

14- Bu Yönetmelikle korunan verileri, kendisine veya başkasına yarar sağlamak veya başkasına zarar vermek amacıyla hukuka aykırı olarak işleyenler hakkında genel hükümlere göre yani Türk Ceza Kanunu, Borçlar Kanunu gibi ilgili mevzuat hükümlerine göre işlem yapılacak.

15- Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılacak ve varsa yetkileri iptal edilecek. Özel hukuk kişileri için yetkilerinin alınması ile birlikte ilgili kuruluş hakkında ilgili mevzuatına göre idari işlem yapılacak.

16- Yönetmeliğin 11 nci maddesinin üçüncü fıkrası 01/12/2015 tarihinde; diğer maddeleri Resmi Gazete’de yayımlandığı tarihte yürürlüğe girecek. (isvesosyalguvenlik.com)