Sağlık Kuruluşlarının VERBİS'e Kayıt Yükümlülüğü

1. Sağlık Kuruluşlarının VERBİS’e Kayıt Yükümlülüğü

Bilindiği üzere, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 30 Eylül 2020 tarihi itibariyle Veri Sorumluları Sicili’ne (“VERBİS”) kayıt ile yükümlüydü. Yine yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının ve kamu kurum ve kuruluşu veri sorumlularının 31 Mart 2021 tarihine kadar VERBİS’e kayıt yükümlülüğü bulunmaktadır.

Dolayısıyla, 30 Eylül 2020 tarihinde kayıtla yükümlü tutulmadığı halde, özel nitelikli kişisel veri işlemesinden ötürü VERBİS’e kaydı zorunlu olan özel sağlık kuruluşları, özel muayenehaneler, eczaneler, özel diş poliklinikleri gibi kuruluşlar bulunmaktadır. Bu kuruluşların VERBİS’e kayıt yükümlülüğünü 31 Mart 2021’e kadar yerine getirmemesi halinde, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 18. Maddesinin (ç) bendi uyarınca 36.000 Türk lirasından 1.800.000 Türk lirasına kadar idari para cezası ile karşı karşıya kalması söz konusu olacaktır.

VERBİS’e kayıt, bir kuruluş tarafından işlenen kişisel verilerin belirlenmesi, bu verilerin alındığı ve aktarıldığı kişi gruplarının tayini ve alınan kişisel verilerin amacı dahilinde saklanması ve korunması için alınacak veri güvenliği tedbirlerinin tespitinin yapıldığı kapsamlı bir süreçtir.

2. Kişisel Sağlık Verilerinin Hukuki Niteliği ve Korunması

Sağlık kuruluşları, mesleki faaliyet gereğince ağırlıklı olarak sağlık verisi almakta, işlemekte ve gerektiği ölçüde aktarmaktadır. Bu sebeple, özel nitelikli veri sayılan kişisel sağlık verilerinin tespiti ve hangi tür korumaya tabi olduğunun belirlenmesi, sağlık kuruluşları bakımından önem arz etmektedir.

Kişisel Verileri Koruma Kanunu (“Kanun”) uyarınca, kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler özel kişisel nitelikli veri olarak kabul edilmektedir. Kişisel sağlık verileri de bu sebeple özel nitelikli veri sayılmaktadır. Kanun bu tip verilerin en üstün koruma ile saklanması, işlenmesi ve aktarılması gerektiğini ortaya koymaktadır.

Kanun’un 6.maddesi uyarınca, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler kural olarak yalnızca ilgilinin açık rızası alınarak işlenebilir.

İstisnaen,

1. Sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülen hallerde,

2. Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel sağlık verilerine ilişkin usul ve esaslar, Sağlık Bakanlığı tarafından yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik’te (“Yönetmelik”) öngörülmüştür. Yönetmelik’e göre, sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir. Söz konusu sağlık verilerine erişim süreleri, kişinin e-Nabız hesabı olup olmamasına göre farklılık gösterir.

Hastanın vefat etmiş olması halinde, veraset ilamını ibraz eden mirasçılar da sağlık verilerine erişmeye ve bu verileri almaya yetkilidir. Yine, çocukların kişisel sağlık verileri de velileri tarafından erişilebilir.

Sağlık verilerinin asgari saklanma süreleri farklı kanun ve yönetmeliklerde düzenlenmiştir. Örneğin, Yönetmelik uyarınca vefat etmiş bir kişinin sağlık verileri ölüm tarihini takiben en az 20 yıl boyunca saklanmalıdır. Devlet Arşiv Hizmetleri Hakkında Çıkarılan Yönetmelik uyarınca, hasta dosyalarının saklanma süresi 15 yıl olup, yeni doğan dosyaları ve adli dosyalar için saklama süresi uzatılmış, 20 yıl olarak düzenlenmiştir.

Sağlık kuruluşları faaliyetleri gereği çeşitli araştırmalarda, tıbbi faaliyet ve istatistiklerde kişisel sağlık verilerini işlemek durumunda kalabilirler. Bu noktada dikkat edilmesi gereken, hastanın kimliğinin gizlenmesi suretiyle sağlık verisinin anonimleştirilmesidir.

KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU

[2] https://www.resmigazete.gov.tr/eskiler/2019/06/20190621-3.htm

[3] https://www.mondaq.com/turkey/privacy-protection/818906/ki351isel-sa287l305k-verilerinin-korunmas305na-ili351kin-yeni-bir-dzenleme-ki351isel-sa287l305k-verileri-hakk305nda-ynetmelik

YAZAR

Bilgi Teknolojileri Birimi