SAĞLIK ALANINDA KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ REHBER
STATİS + DATA tarafından hazırlanmıştır.
STATİS + deidati
AV. SABİRE SANEM YILMAZ
İÇİNDEKİLER
1- Çalışma kimleri kapsamaktadır?
2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?
3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.
4- Amaç Sınırlaması
5- Yeterli Güvenlik Tekniklerinin Benimsenmesi
6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler
STATİS + deidati
AV. SABİRE SANEM YILMAZ
1- Çalışma Kimleri Kapsamaktadır?
Bu rehber, GDPR (Genel Veri Koruma Tüzüğü), KVKK (Kişisel Verilerin Korunması Kanunu), ICO (İngiltere Veri Koruma Otoritesi) çalışmaları ışığında hazırlanmıştır. KVKK m. 6’da düzenlenen “Sağlık meslek mensupları” kimleri kapsamaktadır ve sağlık alanında veri işleme faaliyeti kim, hangi kurum ve kuruluşlar, şirketler tarafından yerine getirilebilir sorusunun aydınlatılması amacı ile mevzuat ve GVKT (GDPR) yorumlanmıştır.
Çalışma, sağlık kuruluşları, özel muayenehanede çalışan kişiler, doktorlar, özel hastaneler, eczaneler, tıbbi analiz yapan laboratuvarlar, optisyenler, iş yeri hekimleri, turizm doktorları, araştırma ve kamu hastaneleri, üniversite hastaneleri gibi sağlık verisi işleyen profesyonelleri kapsamaktadır.
2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?
GDPR m. 9, özel nitelikli kişisel verilerin işlenmesi alanını düzenlemektedir. Sağlığa ilişkin veriler ile bireyin cinsel yönelim ve yaşamına ilişkin veriler özel nitelikli veriler olarak kabul edilmiştir. Özel nitelikli verilerin işlenmesi, genel olarak açık rıza şartına tabi tutulmuşsa da bazı durumlarda işleme açık rıza aranmaksızın gerçekleştirilebilir düzenlemesi önemlidir. Bu bağlamda m.9 (2) b/c/h/i/j sağlık verilerinin açık rıza alınmaksızın işlenebileceği halleri düzenlemiştir. Sırasıyla;
- m.9 (2) b, Veri sorumlusunun yükümlülüklerini yerine getirebilmek amacıyla istihdam, sosyal güvenlik, sosyal güvenlik kanunundan kaynaklanan işleme nedenleri ile sağlık verilerinin işlenmesi,
- m.9 (2) c, veri sahibinin fiziksel ya da yasal olarak rıza veremeyeceği durumlarda kendisinin ya da başkasının hayati çıkarlarının korunması için sağlık verilerinin işlenmesi,
- m.9 (2) h, koruyucu tıbbi bakım, teşhis, bakım hizmetleri, sağlık ve bakım hizmetlerinin yürütülmesinin sağlanması, çalışanların çalışma kapasitesinin değerlendirilmesi, tıbbi cihazların kalitesinin arttırılması, yeterli korumanın sağlanması şartıyla sağlık verilerinin işlenmesi,
- m.9 (2) i, sağlığa yönelik ciddi sınır ötesi tehditlerin önlenmesi, tıbbi ürünlerin veya tıbbi cihazların yüksek kalite ve standartlarının belirlenmesi gibi, halk sağlığının korunması için alınacak tedbirler kapsamında sağlık verilerinin işlenmesi,
- GDPR m.89’da yer alan düzenlemede dikkate alınarak kamu yararına arşivleme, bilimsel ve tarihi araştırma ve istatistiksel çalışmalar amacıyla işlemenin gerekli olması, (temel hak ve özgürlüklere zarar vermemek ve yeterli önlemleri almak koşuluyla)
KVKK m. 6’da düzenlenen sağlık verilerinin işlenme şartları küçük farklılıklar dışında GDPR ile benzerlik göstermektedir.
3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.
Sağlık verileri, özel bir kişisel veri kategorisi veya hassas kişisel veriler olarak ele alınır. Ancak, KVKK, “sağlık verilerinin” ne anlama geldiği tam olarak tanımlanmamıştır. Bir tanımın bulunmaması, belirli verilerin sağlık verileri olarak nitelendirilmesine ilişkin belirsizliklere yol açabilir, böylece sağlık verileri yanlışlıkla sıradan kişisel veriler olarak değerlendirilebilir. Bazı durumlarda doğrudan sağlık verisi olarak tanımlamadığımız veriler bir kaç veri ile bir araya geldiğinde sağlık verisini tanımlayabilir.
GDPR, yararlı bir şekilde sağlık verilerinin bir tanımını sunar ve “sağlıkla ilgili verileri, yani o kişinin sağlık durumu hakkında bilgileri ortaya çıkaran sağlık hizmetlerinin sağlanması dahil olmak üzere, bir gerçek kişinin fiziksel veya zihinsel sağlığıyla ilgili verileri” kapsadığını açıklığa kavuşturur. GDPR, sağlık verilerinin, sağlık hizmetleri için kayıt sırasında veya bu hizmetlerin sağlanması sırasında toplanan kişi hakkındaki bilgileri, bir kişiyi sağlık amacıyla benzersiz bir şekilde tanımlamak için bir gerçek kişiye atanan bir sayı, simge veya belirli bilgileri içerebileceğini düzenlemektedir. Genetik veriler ve biyolojik veriler dahil olmak üzere bir vücut parçasının test edilmesinden veya incelenmesinden elde edilen bilgiler veya örneğin bir hastalık, hastalık riski (yani bir bireyin gelecekteki potansiyel sağlık durumuna ilişkin veriler), engellilik hakkında herhangi bir bilgi tıbbi geçmiş veya bir bireyin fizyolojik veya biyomedikal durumunun, kaynağından bağımsız olarak klinik tedavisi sağlık verisi olarak tanımlanmaktadır.
Genel işleme amacı “açık rıza” almaksızın işlenmemesi yönündedir. GDPR m. 9 (2) b,c, h,i,j’de düzenlenen durumlar söz konusu olduğunda açık rıza alınmaksızın işlendiği düzenlenmiştir.
KVKK m. 6 sağlık ve cinsel hayata ilişkin verilerin açık rıza alınmaksızın işlenebileceği halleri şu şekilde kategorize etmiştir:
- Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İşlemenin yasallığı ancak Kurul tarafından belirlenen “Yeterli Önlemler” in alınması ile mümkündür.
İyi bir veri yönetişim sistemi kurmak özellikle sağlık verilerinin korunması açısından önemlidir. Aşağıdaki tabloda bir çerçeve çizilmiştir.
STATİS + deidati
AV. SABİRE SANEM YILMAZ
İyi bir veri yönetim sistemi kurmak için:
Verilerin işlendiği sistemi iyi tanımlayın ve doğru bir veri yönetişim sistemi kurun. |
↓
Veriyi koruma yöntemlerinizi tanımlayın ve verileri güvenli datalarda muhafaza edin. | İşlemeniz için zorunlu olan verileri tespit edin ve fazla veri işlemeyin. (Veri minimizasyonu süreci) |
↓ ↓ ↓
Organizasyonunuzu gözden geçirin. | Şikayet mekanizmasını kurun. | Tüm veri işleme faaliyetlerinizde şeffaf olun. |
4- Amaç sınırlaması.
Sağlık verileri için KVKK ve GDPR’da getirilen doğal amaç sınırlaması verilerin başka amaçlarla kullanılmasının da önüne geçecektir. Sağlık verilerinin profilleme ve pazarlama amacıyla kullanılması açık rıza aranmaksızın veri işleme halleri arasında sayılmadığı için ve pazarlama, profilleme gibi faaliyetler daha fazla veri işleme ve daha fazla verinin işleme tabi tutulması anlamında değerlendirileceğinden “açık rıza” alınmış olsa dahi “açık rıza” nın her zaman geri alınabileceği ve yeterli önlemlerin alınmasının gerekeceği hususlarının da göz ardı edilmemesi gerekir. Alınan açık rıza metinleri genel ifadelerden uzak, somut ve sadece ilgili durum için sınırlı olarak düzenlenecektir. Açık rıza metinlerinin bir süresi olduğu ve süre bittiğinde de açık rızanın otomatik olarak ortadan kalkacağı ve işlenen verilerin yasallığının da ortadan kalkma anında sona ereceği dikkate alınmalıdır.
5- Yeterli güvenlik tekniklerinin benimsenmesi.
Sağlık verileri, ister giyilebilir cihazlar, ister mobil uygulamalar, ister bulut ortamında ya da veri tabanları aracılığıyla toplansın, kötüye kullanımın sonuçları veri sorumluları açısından oldukça ağır sonuçlar doğurur. Bu nedenle veri ekosisteminin güvenli olması önemlidir.
Veri sorumlusu, veri işleyen ile birlikte ve ayrı ayrı sistemin güvenliğinden sorumludur. Verinin işlenmesinde uygun teknik organizasyon gözden geçirilecek, şifreleme, takma adla adlandırma dahil uygun veri koruma yöntemi belirlenecektir. Verinin işlendiği sistemi düzenli olarak kontrol etmek, verinin tehlikede olduğu durumda erişilebilir ve şeffaf olarak organizasyon sürecini yürütmek, veri sahiplerini süresinde uyarmak, veri koruma otoritesine
STATİS + deidati
AV. SABİRE SANEM YILMAZ
gecikmeksizin durumu haber vermek ve teknik tüm önlemleri almak sürecin olmaz ise olmazıdır.
6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler.
- Veri koruma ile ilgili rejimi gözden geçirmek gerekir. Eğer AB üyesi alanına giren bir işleme faaliyeti söz konusu ise üye ülkelerde bulunan rejim de gözden geçirilmelidir.
- Sağlık verilerinin tanımlarını yapabilecek bir sistem kurulmalı ve sistemde işlenmiş tüm sağlık verilerini yeterli düzeyde tanımlanmalıdır.
- Sağlık verilerini işlemek için yeterli gerekçeler gözden geçirilmelidir.
- Veri sahiplerinin temel hak ve özgürlüklerinin zarar görme ihtimalinin her aşamada gözden geçirilmesi ve zarar görebileceği durumlarda yeterli önlemlerin alınması ve risklerin veri sahiplerine açıklanması gereklidir. Bu anlamda gizlilik etki değerlendirmesi yapmak önemlidir.