Kişisel Sağlık Verilerinin KVKK Ve GDPR Kapsamında İşlenmesi

Sağlık verisi, KVKK’nın 6/1. maddesinde ve GDPR’ın 9/1. maddesinde tahdidi olarak sayılan özel nitelikli kişisel verilerdendir. Kişinin diğer verilerine göre daha fazla hukuki korumayı gerektirmektedir. Kişinin tanı ve teşhisleri, sosyal güvenlik numarası, aşı bilgileri, kullandığı ilaçlar, kısaca ruhsal ve fiziki sağlık geçmişini içeren bütün bilgiler bu kapsama dahildir.

KVKK’da özel nitelikli kişisel sağlık verisi tanımı bulunmamaktadır. Ancak, 30808 Sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik, 4/j maddesinde; “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri” olarak tanımlanmıştır.

GDPR sağlık verilerinin tanımını 4/15. maddesinde, sağlık hizmetinin sağlanması da dahil olmak üzere gerçek bir kişinin fiziksel veya zihinsel sağlığı ile ilgili olan ve sağlık durumu hakkında bilgi veren kişisel veriler özel sağlık verisi kapsamındadır.

20.10.2016 tarih, 29863 Sayılı, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik kapsamında kişisel sağlık verisi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini ifade eder” şeklindeyken, 21.06.2019 tarihli, 30808 Sayılı; Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında sağlık verisi tanımına “fiziksel ve ruhsal sağlığa ilişkin her türlü veri” ibaresi de eklenerek GDPR ile tam bir uyum oluşturulmuştur.

ÖZEL NİTELİKLİ SAĞLIK VERİSİNİN İŞLENME ŞARTLARI

Kişisel sağlık verileri de KVKK ve GDPR’da sınırlı sayıda bulunan özel nitelikli kişisel verilerdendir. Kişisel sağlık verilerin hukuka aykırı olarak kullanımı ve işlenmesi, kişiler üzerinde telafisi zor etkiler bırakarak kırılgan gruplar üzerinde ayrımcılığa sebep olabilecektir. Bu nedenlerle, sağlık verisi özel nitelikli kişisel veri olarak tanımlanmış ve işlenmesi şartlara bağlanmıştır.

Özel nitelikli kişisel veri olan sağlık verisinin işlenmesinde öncelikle; kişisel verilerin işlenmesindeki temel ilkelere uygunluk testi yapılmalı daha sonrasında ise kişisel sağlık verisinin işlenme şartlarının varlığı aranmalıdır. Burada incelenecek olan hukuka uygun sağlık verisi işleme şartında öncelikle, KVKK kapsamında 4. Maddede aranan koşullar, GDPR kapsamında ise 5. Madde kapsamında aranan ön koşullar sağlanmalıdır. Genel ilkelere uygunluk ön şartı sağlandıktan sonra KVKK ve GDPR’da özel olarak düzenlenen kişisel nitelikli veri işleme şartları ve özel nitelikli kişisel veri işleme şartları bakımdan uygunluk değerlendirmesi yapılmalıdır.

KVKK kapsamında, kişisel veri ve özel nitelikli kişisel veri işleme şartları 5. ve 6. madde hükmünde düzenlenmiştir. 5. madde genel nitelikli kişisel verilerin işlenmesini düzenlerken 6. maddesinde özel nitelikli kişisel verilerin işlenmesini hukuka uygun hale getiren durumlara yer verilmiştir.

KVKK’nın 6. maddesinin 1. fıkrasında özel nitelikli kişisel veriler daha önce de belirttiğimiz üzere tahdidi olarak sayılmıştır. Bu maddenin ikinci fıkrasında ise özel nitelikli kişisel verilerin ilginin açık rızası olmadan işlenmesi yasaklanmıştır. Aynı maddenin 3. fıkrasında, 1. fıkrada tahdidi olarak sayılan kişisel veriler, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmektedir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir.

KVKK’da görüleceği üzere sağlık ve cinsel hayata ilişkin kişisel veriler, özel nitelikli kişisel veriler arasında da ayrıca ve açıkça başka bir korumaya tabii tutulmaktadır.

GDPR madde 9 kapsamında özel nitelikli kişisel verilerin işlenme şartları düzenlemiştir. Özel nitelikli kişisel verilerin işlenme şartından önce genel ilklere uygunluk şartının sağlanması gerekmektedir.

GDPR’ın 9/1. Maddesinde özel nitelikli kişisel veriler tek tek sayılarak bu verilerin işlenmesi istisnalar dışında yasaklanmıştır. GDPR 9/2 ve devamında ise özel nitelikli kişisel verilerinin işlenebilme şartları ele alınmıştır. Buna göre; işbu maddede açıklanan ve izah edilen unsurlarda açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesi mümkündür.

KVKK 6/3. Maddesi kapsamında kişinin sağlık ve cinsel hayatına ilişkin kişisel verilerinin işlenmesi, GDPR’a göre daha dar kapsamda değerlendirilerek bu verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi söz konusu olduğunda, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğine vermektedir. GDPR ise “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve Kuruluşlar” ibaresine rastlanmamaktır.

KVKK kapsamında özel nitelikli kişisel sağlık verisinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar dışında işlenme şartı ilgili kişinin açık rızasının alınmasıdır. Ancak, açık rıza alma şartlarının sağlanması birçok konuda zor veya imkansıza yakındır. Açık rıza, temel olarak, belirli bir konuya ilişkin olarak, kişiye özel bilgilendirilmeye dayanan ve özgür iradeyle açıkça verilen bir rızadır.

Sağlık verilerinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından işlenmediği hallerde, ilgili kişiden açık rıza almak gerekecektir. Bu ise işverenin 4857 Sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 Sayılı Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri gereği uygulamada sorun teşkil etmektedir. Ancak, kişisel sağlık verisinin işveren tarafından ihlaline ilişkin Kişisel Verileri Koruma Kurulu’nun 18.02.2020 tarihli ve 2020/138 sayılı, Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulmasına ilişkin kararında;

Konuya ilişkin veri işleme faaliyetinin Kişisel Verilerin İşlenmesi Hakkında Kanun’un 3. 4. 5. 6. Maddeleri kapsamında hukuka uygun olduğuna, “4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmaması sebebiyle, konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir”.

Yine, Kişisel Verileri Koruma Kurulu’nun 08.10.2020 tarihli 2020/769 Kara sayılı kararında, 4857 sayılı İş Kanunu’nun 75 inci maddesi ve 5510 sayılı Sosyal Sigortalar Kanunu’nun 86. Maddesi uyarınca işverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, ilgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;

Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve şirketin sistemlerinde kayıtlı olmadığı, iş yeri hekiminin ise KVKK 6. Maddesi kapsamında sır saklamaya yükümlülüğü altında bulunan kişilerden sayılacağından, başvuru hakkında Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

KVKK ve GDPR’da özel nitelikli sağlık verilerinin işlenmesi konusunda düzenleme farklılıkları gözükse de ilerleyen yıllarda KVKK’da yapılacak düzenlemelerle; Kişisel Verileri Koruma Kurulu’nun verdiği kararlar doğrultusunda KVKK’nın GDPR’a uyarlanması söz konusu olacaktır.

Uygulamadaki güncel sorunlar Kişisel Verileri Koruma Kurul’u karaları ışığında zamanla değişerek netleşecektir. Teknolojik anlamda sürekli gelişen ve globalleşen dünyada değişim ve gelişim her zaman devam edecektir.