Sağlık Hukuku Yazı Dizisi’nin ilk iki yazısında, tıbbi müdahalenin hukuki açıdan geçerli sayılması için hekimlerin bilgilendirme ve aydınlatılması gerekliliği ve bu hallerin hangi durumlarda ortadan kalkacağına ilişkin konuları ele almıştık. Söz konusu yazılara Sağlık Hukuku Yazı Dizisi 1 ve Sağlık Hukuku Yazı Dizisi 2 linklerine tıklayarak ulaşabilirsiniz.
Bu yazımızda ise sağlık hukukunda kişisel verilerin korunmasına ilişkin neler yapıldığını ve alınan önlemlerin ne olduğuna değineceğiz.
Kişisel verilerin korunması öncelikle, insan hakları ve özel hayatın gizliliği kavramı kapsamında birçok ülkenin anayasasında yerini almış, daha sonra ise bağımsız bir hak olarak tanınmıştır. Kişisel verilerin korunmasını bağımsız bir hak olarak anayasalarına alan ilk devletler 1976 Portekiz Anayasası, 1978 İspanya Anayasası olarak karşımıza çıkar. İlk uluslararası düzenlemeyi ekonomik büyüme ve mali istikrarı amaçlayan ve ekonomik bir örgüt olan OECD hazırlamış ve “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler”i kabul etmiştir.
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği durumlarda, kişinin ayrımcılığa, damgalanmaya, ötekileştirilmeye maruz kalmasına ve mağdur olmasına neden olabilecek nitelikteki verilerdir. Dolayısıyla bu tür veriler, daha sıkı koruma rejimine tabi tutulmaktadır.
Hukukumuzda özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirlenmiştir (KVKK m. 6/1). KVKK’da özel nitelikli kişisel veriler, Numerus Clausus (Sınırlı Sayı) İlkesine göre düzenlenmiştir, bu nedenle kıyas yoluyla bu verileri genişletmek mümkün değildir
Bu konuda yapılmış olan mevzuatta belirtilen Kişisel Sağlık Verileri Hakkında Yönetmelik kişisel sağlık verisini m.4/1-j de düzenlenmiştir. “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri” Belirtilen veriler hekim veya sağlık kuruluşu tarafından tutulan tüm kayıtları kişisel sağlık verisi olarak ifade eder. Yapılan kayıtlar her türlü bilgiyi içeren (hastanın tedavi öyküsünü, yaptırdığı tahlilleri gibi) veriler söz konusudur.
Hukuki nitelik olarak ise, Kişisel verilerin Otomatik İşleme Tabi Tutması Karşısında Bireylerin Korunması Sözleşmesi Madde 6 “İç hukukta güvenceler sağlanmadıkça, ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel veriler otomatik işleme tabi tutulamaz.” Yapılan düzenlemelere bir yükümlülük getirilmiş olup alınan kararlarda bu hükümlere riayet edilmesi gerektiği düşüncesi yatmaktadır. Ve sağlık veya cinsel hayata ilişkin kişisel veriler yalnızca ilgilinin açık rızası ile gizlilik yükümlülüğü altındaki kişilerce veya kamu sağlığının korunması koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla yetkili kurum ve kuruluşlar tarafından yapılabilir.
İlk yapılan düzenleme Dünya Tabipler Birliği Cenevre Bildirgesi’nde yer alan Hekimlik Andı uyarınca “Hastamın bana açtığı sırları, yaşamını yitirdikten sonra bile gizli tutacağıma ant içerim.” şeklinde belirlenmiştir. Aynı şekilde, Lizbon-Bali Bildirgesi’nde Madde 4 gereğince, “Hasta, kendisiyle ilgili tüm tıbbi ve kişisel bilgilerin gizliliğine gereken saygıyı göstermesini hekimden bekleme hakkına sahiptir.” Ek olarak, Hasta Haklarına İlişkin Avrupa Statüsü de bu konu hakkında gerekli bilgilendirmeleri yapmaktadır.
Türk Hukukunda Tıbbi Deontoloji Nizamnamesi Madde 4’te belirtilen “Tabip ve diş tabibi, meslek ve sanatının icrası vesilesiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça, ifşa edemez. Tıbbi toplantılarda takdim edilen veya yayınlarda bahis konusu olan vakalarda, hastanın hüviyeti açıklanamaz.” Hasta Hakları Yönetmeliği’nde ise, Madde 23’te geçen hüküm Bilgilerin Gizli Tutulmasına ilişkin düzenlemeleri içermektedir. Kişisel sağlık verilerinin sır saklama yükümlülüğüne uygun olarak verilerin depolanması, elektronik ortamda tutulan kayıtların da Sağlık Hizmetleri Temel Kanunu ile yürümektedir. Ülkemizde kişisel sağlık verilerinin toplandığı sistem ‘MEDULA’ olarak belirlenmiştir. Ek olarak, sağlık kuruluşları ile sigorta şirketlerinin de erişim izni olduğunu 23 Ekim 2013 tarihinde çıkarılan Özel Sağlık Sigortaları Yönetmeliği’nde konu düzenlenmiştir.
Türk Hukukunda idari para cezası öngörülmüş olup, gerçek ve tüzel kişiler bakımından tazminat sorumluluğu ortaya çıkmaktadır. Kişisel Sağlık Verileri Hakkında Yönetmelik Madde 21-(2) uyarınca, “Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır”.
Yine aynı yönetmelik madde 21-(3) gereğince, Merkezi sağlık veri sistemine Bakanlıkça belirlene usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.’
TCK madde 135 Kişisel Verilerin Kaydedilmesi, TCK madde 136 Verilen Hukuka Aykırı Olarak Verme veya Ele Geçirme, TCK madde 138 Verileri Yok Etmeme suçu olarak kanunda düzenlenmiş olup, yukarıda belirtilen somut olayda uygulanabilir tedbirler kapsamında yer almaktadır. Örneklemek gerekirse, safra ameliyatı olan ve sonrasında yoğun bakımda bir müddet tedavi gören hastanın tedavi kartını en az 76 hastane çalışanının baktığı tespit edilmiştir. Bunun doğruluğunun tartışılması gerekli olup aşırı veri paylaşımı olarak gündeme gelmektedir. Gereğinden fazla verinin açıklanması ihlali olarak değerlendirilmelidir.
İçinde yaşadığımız dönemde ilerleyen hukuki, sosyal ve teknik problemlerin büyümesiyle temel hak ve özgürlüklerin, yaşam hakkı ihlalinin sınırlarının aşıldığı pek çok somut olayda görülmektedir. Kişisel sağlık verilerinin korunması konusunda ulusal ve uluslararası düzenlemeler getirilse de konu hakkındaki hukuki dayanakların yeteriz olmasından ötürü, vakıalar ele alınırken bir takım problemler doğduğu görülmektedir. Son olarak, hekimlerin ve çalışanların eğitim görürken kişisel verilerin mahremiyetinin bilinciyle yetiştirilmesi gerektiğini tavsiye etmek isteriz.