KVK Kanunu’nun 6. maddesi kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini özel nitelikli kişisel veri olarak düzenlemiş ve bu liste sınırlı sayı prensibi (numerus clausus) ile oluşturulduğu için sayılanlar dışında özel nitelikli veri ihdas edilemez. Kanun’un özel nitelikli verilere ayrıcalık tanımasının temel nedeni kişilere ait bazı verilerin ayrımcılığa yol açabilme olasılığının daha yüksek olmasıdır. Fakat her ayrımcılığa yol açan verinin özel nitelikli veri olarak belirlenmediği de belirtilmelidir. Öyle ki cinsiyet maddede özel nitelikli veri olarak düzenlenmemiştir.
Sağlık sektöründe faaliyet gösteren veri sorumlularının sağlık verilerinin işlenmesinde dikkat edilmesi gereken hususlar nelerdir?
Sağlık sektöründe faaliyet gösteren veri sorumlularının “sağlık verileri”ni işleme faaliyetleri ayrıca incelenmelidir. KVK Kanunu 6/2 hükmünde düzenlendiği gibi özel nitelikli kişisel veriler veri sahiplerinin açık rızası olmaksızın işlenememektedir. Özel nitelikli kişisel veriler, veri sahiplerinin açık rızası olmaksızın KVK Kanunu madde 6/3 uyarınca sağlık verileri ve cinsel hayata ilişkin veriler hariç olmak “kanunlarda öngörülmesi” halinde işlenebilecektir. Kanun hükmünden de anlaşılacağı üzere sağlık verilerinin ve cinsel hayata ilişkin verilerin işlenme alanı daha dar tutulup işlemeye ilişkin farklı bir rejim öngörülmüştür. Sağlık ve cinsel hayata ilişkin veriler ise ancak “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından” ilginin açık rızası olmadan işlenebilecektir. Sağlık verilerinin işlenmesi ve saklanması her ne kadar kişilerin gerekli tedavileri görebilmesi ve tedavi geçmişlerinin bilinebilmesi adına önem taşısa da kişilerin sağlık bilgileri bir o kadar önemlidir. Çünkü, sağlık bilgileri kişilerin toplum ve sosyal hayatlarında ayrımcılığa yol açabileceği gibi iş, aile, sosyal ortamlarında birçok problemi beraberinde getirebilecektir.
Özel nitelikli kişisel verilerin tanımı ve işlenmesi hakkındaki açıklamalardan sonra ana faaliyet konusu sağlık verileri olan veri sorumlularından eczanelerin, diş kliniklerinin, OSGB firmalarının KVK Kanunu kapsamında yükümlülüklerini ve dikkat etmeleri gereken hususlara değinmek gerekir. Öncelikle, veri sorumlularının veri sahiplerini KVK Kanunu’nun 10. maddesi uyarınca aydınlatma yükümlülüğü bulunmaktadır. Sağlık sektöründe faaliyet gösteren veri sorumlularından eczacıların, doktorların sır saklama yükümlülüğünün bulunduğu kanunlarda öngörüldüğünden veri sahiplerinin açık rızası olmaksızın sağlık verilerini kanunda öngörülen amaçlar çerçevesinde işleyebileceklerdir. Burada dikkat edilmesi gereken hususlardan bir diğeri KVK Kanunu’nda yer alan veri işleme amaçlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması” veri işleme faaliyetlerine uygun bir biçimde aydınlatma metninde de açıkça yer alması gerektiğidir. Ayrıca, kanun kapsamında sağlık sektöründe faaliyet gösteren yukarıda sayılan veri sorumluları çalışanlarının sır saklama yükümlülüğünün bulunup bulunmadığına dikkat edilmeli; çalışanlarının sır saklama yükümlülüğünün bulunmaması halinde veri sorumlularının sağlık verilerini işleme faaliyetinde veri sahiplerinden açık rıza alması zorunlu hale gelebilecektir.
Son olarak, özel nitelikli kişisel verilerin işlenmesinde KVK Kanunu’nun 6/4 maddesinde Kurul tarafından belirlenen yeterli önlemlerin alınması gerektiği düzenlemiştir. Dolayısıyla, veri sorumlularının ilgili madde uyarınca bünyelerinde gerekli idari ve teknik tedbirleri alma zorunluluklarının olduğu unutulmamalıdır.
Av. Beyza Meyra Su