Kişisel sağlık verileri bu kez de MBYS ile gündemde - Hazal Pekşen Demirhan*


  • Hekim Sözü Mart-Nisan 2021
  • 753

PDF formatında okumak için tıklayınız.

Muayenehanelerden, hastaların kişisel sağlık verilerinin –açık rıza aranmaksızın istenmesinin hukuki dayanağı bulunmamaktadır.
Hastalara ait sağlık verilerinin, herhangi bir elemeden geçirilmeden, bir bütün halinde ve düzenli olarak merkezi bir sistemde depolanmasına imkan veren “Sağlık Net-2”, “e-Nabız”, “USS”, “MBYS” gibi programlar, uygulanmaya konuldukları ilk günden bu yana itirazların ve tartışmaların konusu oldu.

Bugünlerde yine MBYS (Muayene Bilgi Yönetim Sistemi) adı altında gündeme getirilerek, muayenehane hekimlerinden hastalarına ilişkin sağlık verilerinin istendiği görülmektedir.

İstenen sağlık verileri, Anayasa’nın 20. maddesinde, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde, BİYOTIP Sözleşmesi’nin 10. maddesinde, Tıbbi Deontoloji Tüzüğü’nün 4. maddesinde ve bir bütün olarak Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’de yer alan “özel hayatın ve hasta mahremiyetinin korunması ile sır saklama yükümlülüğü” kapsamındaki “hasta verileri”dir.
Sağlık Bakanlığı tarafından bu verilerin bir bütün halinde istenmesinin hukuki bir dayanağı bulunmamaktadır. Nitekim;
MUAYENEHANELER, SAĞLIK BAKANLIĞI’NA BAĞLI KURULUŞ DEĞİLDİR.
ÜLKE ÇAPINDAKİ BİR BİLİŞİM SİSTEMİNE VERİ GÖNDERMELERİNİ GEREKTİRİR BİR DÜZENLEME BULUNMAMAKTADIR.

3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. maddesinin 1/f bendinde; “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” düzenlemesi yer almaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu gereği, 21.06.2019 tarihinde yürürlüğe konulan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinin 2. fıkrasında da, “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.” denilerek aynı düzenleme tekrar edilmiştir.
Görüldüğü gibi, Sağlık Bakanlığı tarafından, ülke çapında kurulacak olan kayıt ve bildirim sistemi, Sağlık Bakanlığı bağlı ve ilgili kuruluşlarını kapsayacak olup, muayenehaneler bağlı ve ilgili kuruluş olmadığından, bu sisteme dahil edilmeleri de, bu sisteme veri göndermelerinin beklenmesi de hukuka aykırı olacaktır.

HASTALARA İLİŞKİN SAĞLIK VERİLERİNİN BİR BÜTÜN HALİNDE, DÜZENLİ OLARAK SAĞLIK BAKANLIĞI’NA AKTARILMASINI GEREKTİRİR HUKUKİ BİR DÜZENLEME BULUNMAMAKTADIR.

Sağlık Bakanlığı, veri talep eden yazılarında, talebin dayanağı olarak Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesini gösterse de, üst bölümde ayrıntısına yer verdiğimiz üzere, bu madde Bakanlık bağlı ve ilgili kuruluşlarını kapsamaktadır.
Gerek 3359 sayılı Kanun’da da, gerekse de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, gerekse adı geçen Yönetmelik’te, kişisel sağlık verilerinin, muayenehaneler tarafından bir bütün halinde ve düzenli olarak Sağlık Bakanlığı’na aktarılmasına ilişkin bir kural bulunmamaktadır.

Hastalara ilişkin sağlık verilerinin Sağlık Bakanlığı’na aktarılacağına ilişkin düzenleme, muayenehanelerin de tabi olduğu kuralları düzenleyen Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasında yapılmıştı.
Ancak bu fıkrada yer alan; “Sağlık kuruluşları tarafından kayıt altına alınan kişisel sağlık verileri, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun bir şekilde işlenir ve Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde merkezi sağlık veri sistemine aktarılır. Bakanlık tarafından kurulan kayıt ve bildirim sistemine ve Bakanlıkça yapılacak diğer iş ve işlemlere esas olmak üzere, istenilen bilgi ve belgelerin Bakanlığa gönderilmesi zorunludur.” yönündeki düzenlemenin, Danıştay 15. Dairesi’nin 15.1.2019 tarih ve 2018/530 E. sayılı kararıyla yürütmesi durdurulmuştur.
Dolayısıyla yürütmesi durdurulmuş bir kuralın uygulanması söz konusu olamayacağından, bu koşullar altında Sağlık Bakanlığı’na veri gönderilmesine ilişkin talep de hukuka uygun değildir.

“KİŞİSEL SAĞLIK VERİLERİ”
“ÖZEL NİTELİKLİ KİŞİSEL VERİLER” OLUP, AÇIK RIZA ARANMAKSIZIN İŞLENMESİ VE AKTARILMASI BELLİ KOŞULLARIN GERÇEKLEŞMESİNE BAĞLIDIR.

Sağlık Bakanlığı tarafından, son olarak gönderilen yazıda, bu verilerin istenme amacı “kayıt dışı ekonominin azaltılması” olarak açıklanmıştır. Ancak bu amaçla –açık rızaya dayanmaksızın- veri istenmesi de hukuka uygun değildir.

Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri, “kişisel sağlık verileri”ni oluşturmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi gereğince, “kişisel sağlık verileri”, “özel nitelikli kişisel veri” olup, bu verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Aynı düzenleme gereğince, sağlık verilerinin açık rıza aranmaksızın işlenebilmesi ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla mümkündür. Bu amaçları gerçekleştirebilmek için, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından sağlık verileri işlenebilmektedir.

6698 sayılı Kanun’un 8. maddesinde “Kişisel verilerin aktarılması”na ilişkin düzenleme yapılmış olup, “Kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı” düzenlenmiş; yine istisna olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri varsa, açık rıza olmaksızın aktarılabileceği hüküm altına alınmıştır.

Görüldüğü gibi, Bakanlığın veri isteme amacı, Kanun’un düzenlediği amaçlarla da uyuşmamaktadır.

Dolayısıyla herhangi bir merkezi bilişim sistemine bütün hasta verilerinin hastaların açık rızası aranmaksızın gönderilmesinin istenmesinin hukuka uygun bir temeli bulunmamaktadır.

* İstanbul Tabip Odası Hukuk Bürosu


Bu İÇERİĞİ Paylaş!