Kişisel Veri Mevzuatında Sağlık Bilgileri ve Güncel Kurul Kararları

Sağlık bilgileri, bireylerin en hassas ve kişisel verilerinin başında gelmektedir. Bir kişinin tıbbi geçmişi, hastalıkları, genetik özellikleri, kullandığı ilaçlar ve tedavi süreçleri; hukuka aykırı şekilde işlendiğinde iş hayatında ayrımcılığa, sigorta dışı bırakılmaya ve en muhtemel senaryoda ciddi mahremiyet ihlallerine zemin hazırlayabilmektedir.Bu nedenle Türk hukuku, sağlık verilerini “özel nitelikli kişisel veri” statüsüyle güçlendirilmiş bir koruma altına almaktadır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 6. maddesi uyarınca sağlık verileri; ırk, etnik köken, siyasi düşünce ve biyometrik verilerle birlikte en yüksek koruma rejimine tabi veri kategorisinde yer almaktadır.

Öte yandan 2024 yılında yürürlüğe giren 7499 Sayılı Kanun ile KVKK’nın özel nitelikli veri hükümleri köklü biçimde yenilenmiş; mevzuat AB Genel Veri Koruma Tüzüğü (GDPR) ile daha geniş bir uyum zeminine taşınmıştır. Konuya ilişkin temel mevzuat kaynakları, 6698 Sayılı KVKK, 7499 Sayılı Kanun ile yapılan değişiklikler (12 Mart 2024), Kişisel Sağlık Verileri Hakkında Yönetmelik (21 Haziran 2019), Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (Şubat 2025), KVK Kurulu’nun 2018/10 sayılı Kararı ve Türk Ceza Kanunu’nun 135-140. maddeleri olarak sıralanabilir.

1. Sağlık Verisinin Hukuki Tanımı ve Kapsamı

KVKK m. 6/1 uyarınca; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sınıflandırılmaktadır. Bu tanım, GDPR m. 9’daki özel kategori kişisel verilerle büyük ölçüde örtüşmektedir.

Teoriden Uygulamaya: Kişisel Veri Mevzuatında Sağlık Bilgileri ve Güncel Kurul Kararları

KVK Kurumu’nun Şubat 2025 tarihli Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehberi çerçevesinde sağlık verisi şu kategorileri kapsamaktadır: teşhis, tedavi bilgileri ve reçete edilen ilaçlar gibi klinik veriler; kan tahlilleri, MR/BT/röntgen görüntüleri ve patoloji raporları gibi tahlil ve tetkik sonuçları; poliklinik randevusu ve başvurulan klinik bilgisi gibi hastane randevu bilgileri; DNA ve genomik veriler ile sağlık bağlamında işlenen parmak izi ve retina taraması gibi genetik ve biyometrik veriler; epikriz, ameliyat notları, anestezi kayıtları ve hemşirelik kayıtları; eski tip kimlik belgelerindeki kan grubu bilgisi ve psikiyatri randevusu, psikolojik değerlendirme sonuçları ile bağımlılık testleri gibi psikolojik ve psikiyatrik veriler.

Bu bağlamda özellikle dikkat çeken bir husus, kan grubu bilgisine ilişkindir. Rehber’e göre kan grubu bilgisi, eski tip kimlik belgelerinde yer alsa dahi sağlık verisi niteliğini korumakta; işlenmesi için Kanun’da öngörülen koşullardan birinin sağlanması zorunlu olmaktadır. Ayrıca görüleceği üzere hastane randevusu gibi basit görünen bir bilgi dahi sağlık verisi oluşturmakta ve işlenmesi diğer sağlık verileri ile birlikte sıkı şartlara tabi tutulmaktadır.
Biyometrik ve genetik veriler KVKK m. 6/1’de ayrıca sayılmış olsa da bu veriler çoğunlukla sağlık hizmetleri bağlamında işlenmektedir. Örneğin kalıtsal hastalık taramaları ve biyobelirteç analizleri, hem sağlık hem de genetik veri kapsamında değerlendirilerek her iki kategorinin koruma mekanizmalarına tabi tutulmaktadır.

2. İşlenme Şartları ve 2024 Değişikliklerinin Getirdikleri

KVKK m. 6/2 uyarınca kural olarak özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak madde kapsamında sayılan bazı hallerde bu verilerin işlenmesi mümkündür. Bunlardan temel norm olarak kabul edilen işleme şartı, ilgilinin açık rızası olmasıdır. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Rızanın alındığını ispat yükü ise veri sorumlusuna aittir. Sağlık ilişkisinde var olan güç dengesizliği gözetildiğinde, açık rızanın tıpkı tıbbi müdahalelerdeki aydınlatılmış onam gibi gerçekten özgür iradeyle alınıp alınmadığı her somut olayda titizlikle değerlendirilmelidir.

A. 2024 Öncesi Durum

7499 Sayılı Kanun ile gerçekleştirilen değişikliklerden önce KVKK m. 6/3, sağlık ve cinsel hayata ilişkin kişisel veriler için özel bir istisna öngörmekteydi. Bu düzenlemeye göre söz konusu veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmekteydi.

Yapay Zekâ Terapist Olabilir mi? AI ile Psikolojik Destek, Riskler ve Hukuki Sorumluluk

B. 2024 Sonrası Yeni Çerçeve

12 Mart 2024 tarihli Resmî Gazete’de yayımlanan 7499 Sayılı Kanun ile KVKK m. 6’da köklü değişiklikler yapılmıştır. Bu değişikliklerle sağlık ve cinsel hayata ilişkin verilerin diğer özel nitelikli verilerden ayrışan konumu ortadan kaldırılmış; tüm özel nitelikli kişisel veriler aynı ve genişletilmiş işleme şartlarına tabi kılınmıştır. İşlenme şartlarının kural-istisna sistematiği tamamıyla yeniden düzenlenmiş; istisnai haller sekiz bent halinde sayım yoluyla genişletilmiş ve GDPR m. 9 ile örtüşecek biçimde yeniden kurgulanmıştır. Bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiştir.

Eski düzenlemede sağlık verilerinin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmesi, yalnızca sır saklama yükümlülüğü altındaki kişilere ve yetkili kurum ile kuruluşlara, başka bir deyişle esas itibarıyla sağlık bakanlığı bünyesindeki yapılara ve sağlık profesyonellerine tanınmış bir işleme hakkıydı.

Oysa gerçek hayatta sağlık verileri çok daha geniş bir yelpazede ve meşru hukuki gerekçelerle işlenmek zorundadır. Örneğin, iş sağlığı ve güvenliği mevzuatı kapsamında işverenler, çalışanların maluliyet durumunu, kronik hastalıklarını veya iş kazası sonuçlarını belgelemek; Sosyal Güvenlik Kurumu ise emeklilik, malullük aylığı ve hastalık sigortası gibi haklarla ilgili değerlendirmelerde ilgililerin sağlık kayıtlarına erişmek durumundadır.

Özel sigorta şirketleri, sigortalılık kapsamının belirlenmesinde tıbbi geçmişe başvurmakta; iş mahkemeleri ve idare mahkemeleri de yargılama süreçlerinde sağlık verisi içeren delilleri incelemektedir. Tüm bu ihtiyaçlar, eski maddenin sağladığı dar istisna şemsiyesinin altına sığmamaktaydı. 2024 reformuyla getirilen sekiz bentlik genişletilmiş istisna sistemi, bu gerçekliği hukuki zemine oturtmuş, iş ve sosyal güvenlik hukuku başta olmak üzere çok sayıda alanın meşru veri işleme gereksinimlerini ölçülülük ve sınırılık ilkelerini aşmadan güvence altına almıştır. Böylece hem veri sorumlularının hukuki belirsizlik içinde hareket etmesi önlenmiş hem de ilgili kişilerin korunması daha kapsamlı bir çerçeveye kavuşturulmuştur.

Kişisel Sağlık Verileri konusunda hastane ve hekimlerin sorumluluğu

Güncel düzenleme kapsamında sağlık verileri aşağıdaki sekiz hukuki sebepten birine dayanılarak işlenebilmektedir: ilgili kişinin açık rızasının bulunması; kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rıza verilememesi ve hayat ya da beden bütünlüğünün korunması için zorunlu olması; ilgili kişinin söz konusu verileri kendisinin alenileştirmesi; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; sır saklama yükümlülüğü altındaki kişilerce kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım ile sağlık hizmetlerinin planlanması amacıyla zorunlu olması; istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik hukukundan doğan yükümlülüklerin yerine getirilmesi için zorunlu olması; ve siyasi, felsefi, dini veya sendikal amaçla kurulan kuruluşların kendi üyelerine ait verileri üyelik rızasıyla işlemesi.

Bu noktada GDPR’ın on istisnai hal öngördüğü hatırlatılmalıdır. Türk kanun koyucu “kamu yararı” ve “meşru menfaat” gibi ucu açık kavramları benimsememiş; ancak 2024 değişiklikleriyle GDPR ile önemli bir uyum zemini oluşturulmuştur.

3. Kişisel Sağlık Verileri Hakkında Yönetmelik

Sağlık verilerine ilişkin sektörel düzenleme alanında çalkantılı bir hukuki süreç yaşanmıştır. Sağlık Bakanlığı tarafından Ekim 2016’da yürürlüğe konulan ilk yönetmeliğin, Danıştay 15. Dairesi tarafından 2017’de yürütmesi durdurulmuş ve ardından iptal edilmesine karar verilmiştir. Sonraki değişiklikler de benzer akıbete uğramış; nihayetinde 21 Haziran 2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik hukuki istikrarı sağlamıştır. Buna ek olarak 2025 yılında çeşitli güncellemeler de hayata geçirilmiştir.

A. Yönetmeliğin Kapsamı

Yönetmelik, Sağlık Bakanlığı’nın merkez ve taşra teşkilatı birimleri ile bunlara bağlı sağlık hizmeti sunucuları ve ilgili kuruluşlar tarafından yürütülen süreçlerde uygulanmaktadır. Kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri de Bakanlık bünyesindeki süreçlere katıldıkları ölçüde kapsam dahindedir.

Geleceğin entegre sağlık ve bakım sistemleri yenilikçi bilgi altyapısı üzerinde yükselecek

B. Sağlık Verilerine Erişimde Temel Düzenlemeler

a. Sağlık personelinin sağlık verisine erişimi
Yönetmeliğin 6. maddesi ve 2025 tarihli değişiklikleri, sağlık verilerine erişim konusunu hem personel hem de süre boyutuyla ayrıntılı biçimde düzenlemektedir. Temel kural şudur: sağlık hizmeti sunumunda görevli kişiler, ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir. Bu genel ilkenin üzerine, 2025 değişiklikleriyle personel türüne ve duruma göre farklılaşan ayrıntılı bir erişim biçimi inşa edilmiştir.

Kişisel sağlık verilerine erişim yetkisi, KVKK m. 6’daki işleme şartlarıyla sınırlı olmak üzere yalnızca aşağıda sayılan sağlık personeline tanınmıştır: Kişinin kayıtlı olduğu aile hekimi, süre sınırı olmaksızın veriye erişebilir. Bu, aile hekimliği modelinin sürekliliğini ve bütüncül takibi esas almasının doğal ve gerekli bir yansımasıdır. Kişinin sağlık hizmeti almak amacıyla başvurduğu hekim, yalnızca sağlık hizmeti alınan günler ile konsültasyon veya kontrol muayene süresi dahil olmak üzere, alınan hizmetle doğrudan bağlantılı işlemler tamamlanıncaya kadar erişim sağlayabilir. Aynı sağlık hizmeti sunucusunda görevli diğer hekimler için de aynı zaman çerçevesi geçerlidir. Erişim, ilgili hizmetin tamamlanmasıyla sona erer.

Yatan hastalar söz konusu olduğunda ise hastanın yatışının yapıldığı sağlık hizmeti sunucusundaki hekimler, yatış süresince ve taburculukla doğrudan bağlantılı işlemler tamamlanıncaya kadar erişim yetkisine sahiptir. Acil servis bağlamında erişim, sunulan acil sağlık hizmetiyle sınırlı tutulmuştur; bu da orantılılık ilkesinin acil durumlara uyarlanmasıdır.

Bu tablonun dışında kalan erişim talepleri kural olarak yetkisiz kabul edilmektedir. Nitekim KVK Kurulu, hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına sınırsız biçimde erişmesini, amaçla bağlantılılık ve ölçülülük ilkelerine aykırı bulmuştur.

b. Çocuğun, engelli ve kısıtlıların sağlık verilerine erişim
Yönetmeliğe “bakım veren kişi” tanımı eklenmiş; veli, vasi veya çocuğun bakım ve gözetiminden sorumlu yetkilendirilmiş gerçek ya da tüzel kişilerin hukuki statüsü netleştirilmiştir. Boşanma davası sürerken ve geçici velayet bir ebeveyne bırakılmışsa yalnızca o ebeveyn çocuğun sağlık verilerine ve e-nabız sistemine erişebilecektir.

Estetik operasyonlarda hekimin aydınlatma yükümlülüğü

Boşanma kararının kesinleşmesiyle erişim hakkı velayet sahibi ebeveyne aittir. velayeti olmayan ebeveynin talebi ise Genel Müdürlük değerlendirmesine bırakılmış olup paylaşılacak veriler lokasyon, adres ve iletişim bilgilerinden arındırılmış biçimde sınırlı tutulacaktır. Bunlara ek olarak ayırt etme gücü bulunan çocuklar, velilerinin e-nabız sistemine erişimini kısıtlayabilecektir.

Engelli raporu bulunan kişilerin sağlık verilerine ise artık yalnızca hasta yakınları değil, bakım veren kişiler tarafından da erişilebileceği düzenlenmiştir. Düzenleme, çocuğun ve kısıtlı bireyin üstün yararı ile sağlık verilerinin korunması arasında ölçülü bir denge kurmayı amaçlamakla birlikte, “bakım veren kişi” tanımının yalnızca çocukla ilgili bir biçimde yapılmış olması ve engelli yetişkinlere uygulanmasındaki sınırların yeterince belirlenmemiş olması, uygulamada yorum güçlüğüne yol açabilecek bir boşluk olarak dikkat çekmektedir.

c. e-Nabız sistemine erişim
E-Nabız güvenlik ayarları çerçevesinde kişinin tercihlerine de hukuki sonuç bağlanmıştır. 2025 değişikliğiyle “gizlilik tercihi” kavramı “güvenlik ayarı” olarak yeniden adlandırılmıştır. e-Nabız hesabı bulunan kişilerin sağlık verileri, kendi gizlilik tercihleri çerçevesinde erişime açılmaktadır. Kişiler; kişisel sağlık kaydı sistemi üzerinden verilerini görüntüleyebilir, eksik ya da hatalı bilgilerin düzeltilmesini talep edebilir ve hesabını dondurabilir. Kişinin belirlediği güvenlik ayarları, belirli istisnai durumlar dışında bağlayıcı kabul edilmiştir. Bu istisnalar arasında tutukluluk veya hükümlülük hali ile telefon doğrulamasına erişimin fiilen mümkün olmadığı durumlar sayılmıştır. Bu hallerde KVKK m. 6’daki işleme şartları çerçevesinde güvenlik ayarları uygulanmaksızın erişim sürdürülebilmektedir.

d. Vefat eden kişilerin sağlık verilerine erişim
Vefat eden kişilere ait sağlık verilerinin saklama süresi, 20 yıldan 30 yıla çıkarılmıştır. Bu düzenleme; arşivleme yükümlülükleri, eski hasta kayıtlarının muhafazası ve hukuki uyuşmazlıklarda delil niteliği bakımından sağlık kuruluşları açısından pratik sonuçlar doğurmaktadır.

e. Avukatların sağlık verilerine erişimi
Avukatların erişimi konusunda da dikkat çekici bir değişiklik yaşanmıştır. Eski düzenlemede müvekkile ait sağlık verilerine erişim için özel vekaletname, yani açık rızayı içeren ayrı bir yetki belgesi şartı aranmaktaydı. 2025 değişikliğiyle bu zorunluluk kaldırılmış; avukatların erişimi artık doğrudan KVKK m. 6’daki özel nitelikli veri işleme şartlarına bağlanmıştır. Buna göre erişim, açık rızaya dayalı mutlak bir hak olarak değil; hukuki temsil ilişkisinin gerektirdiği ölçüde ve amaçla sınırlı olarak mümkündür. Ancak yine de uygulamada bu konuya ilişkin problemlerin sürdüğü bilinmektedir.

f. İşyeri hekiminin sağlık verilerine erişimi
İş sağlığı ve güvenliği mevzuatı kapsamında işyeri hekimleri, çalışanların sağlık gözetimini yürütmek amacıyla zorunlu olarak sağlık verisi işlemektedir. Bu bağlamda işyeri hekiminin verilere erişiminin meşru hukuki dayanağı, KVKK m. 6’nın 2024 sonrası düzenlemesinde açıkça tanınan “istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik hukukundan doğan yükümlülüklerin yerine getirilmesi” istisnasıdır.

Ancak burada kritik bir sınır çizilmesi gerekmektedir: işyeri hekimi, elde ettiği sağlık bilgilerini yalnızca çalışanın işe uygunluğuna ilişkin sonuçlarla sınırlı tutarak işverene aktarabilir; çalışanın teşhisi, hastalığının niteliği veya tedavisi hakkındaki ayrıntıları paylaşması ise hem mesleki etik hem de KVKK açısından yasaktır. Başka bir deyişle işveren yalnızca “çalışan mevcut görevini yapabilir mi?” sorusunun yanıtına ulaşabilmeli; bu yanıtın arkasındaki tıbbi içeriğe erişim imkânı bulunmamalıdır. Uygulamada bu sınırın zaman zaman aşıldığı görülmekte, özellikle işe iade davalarında sağlık raporlarının doğrudan işverene aktarıldığı ve işveren kanalıyla yargı süreçlerine taşındığı dikkat çekmektedir.

g. Mahremiyet düzeyi yüksek verilere erişim
Mahremiyet düzeyi yüksek veriler bakımından ayrı bir koruma katmanı oluşturulmuştur. Başkalarının öğrenmesi halinde bireyin sosyal hayatını veya ruh sağlığını olumsuz etkileme riski taşıyan veriler Bakanlıkça ayrıca belirlenmekte; bu verilere sağlık personelinin erişimine ölçülü kısıtlar getirilmektedir. Psikiyatrik tanılar, bağımlılık kayıtları ve cinsel sağlıkla ilgili veriler bu kategorinin tipik örnekleri arasında sayılabilir.

4. Veri Güvenliği: Teknik ve İdari Tedbirler

KVKK m. 12 uyarınca veri sorumluları; hukuka aykırı işlemeyi önlemek, yetkisiz erişimi engellemek ve verilerin güvenli muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlüdür. Özel nitelikli veriler için bu yükümlülük, çok daha ağır bir içeriktedir.

A. KVK Kurulunun 2018/10 Sayılı Kararı ile Belirlenen Asgari Tedbirler

Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken asgari tedbirleri belirleyen karar Kurulunun 2018/10 sayılı kararıdır. İdari tedbirler açısından; çalışanlara özel nitelikli kişisel veriler hakkında düzenli eğitim ve farkındalık programları düzenlenmesi, erişim prosedürleri ve yetkilendirme politikasının oluşturulması, gizlilik taahhütnamesi veya sır saklama yükümlülüğü içeren sözleşmelerin imzalatılması, veri işleme envanterinin güncellenmesi ve düzenli iç denetim mekanizmalarının kurulması beklenmektedir.

Teknik tedbirler açısından ise özel nitelikli veriler için güçlü şifreleme yöntemleri ve ayrı şifreleme anahtarları kullanılması, erişim loglarının tutulması ve düzenli izlenmesi, çok faktörlü kimlik doğrulama sistemleri, Veri Kaybı Önleme (DLP) sistemleri ve fiziksel güvenlik önlemleri zorunlu tutulmaktadır.

B. Veri İhlali Bildirimi

KVKK m. 12/5 uyarınca kişisel verilerin hukuka aykırı yollarla elde edilmesi halinde veri sorumlusu, en kısa sürede ilgili kişilere ve Kurula bildirim yapmakla yükümlüdür. Kişisel Sağlık Verileri Yönetmeliği de bu yükümlülüğü pekiştirmektedir.

5. Veri Aktarımı ve Yurt Dışına Aktarım

A. Yurt İçi Aktarım

Sağlık verilerinin yurt içinde aktarımı KVKK m. 8 çerçevesinde gerçekleşmektedir. Sağlık kuruluşları; hastalarına ait verileri yalnızca tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde işleyebilir. Kamu kurum ve kuruluşlarına aktarımda protokol düzenlenmesi zorunludur; bu protokolde veri koruma ilkeleri, güvenlik hükümleri ve aktarılacak veri türleri yer almalıdır.

B. Yurt Dışına Aktarım

7499 Sayılı Kanun ile KVKK m. 9 yenilenmiş, açık rıza merkezli anlayıştan hiyerarşik ve basamaklı bir koruma sistemine geçilmiştir. Birinci basamakta yeterlilik kararı yer almaktadır. KVK Kurulu’nun, aktarım yapılacak ülke veya uluslararası kuruluş için yeterli koruma güvencesinin mevcut olduğuna karar vermesi gerekmektedir. İkinci basamakta uygun güvenceler devreye girmektedir. Yeterlilik kararı bulunmaması halinde standart sözleşmeler, bağlayıcı şirket kuralları (BCR) veya onaylı davranış kuralları gibi güvencelerden birinin sağlanması zorunludur. Üçüncü basamakta ise arızi aktarım söz konusudur. Her iki mekanizmanın da mümkün olmadığı istisnai ve tek seferlik durumlarda belirlenen koşullar altında aktarım gerçekleştirilebilmektedir.

Türkiye’nin önemli bir sağlık turizmi destinasyonu olması nedeniyle, yabancı hastaların verilerinin ülkelerine aktarımı büyük pratik önem taşımaktadır. Uluslararası hasta verisi işleyen hastaneler ve sağlık turizmi aracı kurumların yurt dışı aktarım mekanizmalarını gözden geçirmeleri gerekmektedir.

6. İlgili Kişinin Hakları

KVKK m. 11 uyarınca sağlık verisi işlenen her birey, veri sorumlusuna başvurarak şu hakları kullanabilmektedir: kişisel verilerinin işlenip işlenmediğini öğrenme ve bilgi isteme; işlenme amacını ve amaca uygunluğu öğrenme; yurt içi veya yurt dışında aktarılan üçüncü kişileri öğrenme; eksik veya yanlış verilerin düzeltilmesini talep etme; Kanun’daki koşullar çerçevesinde silinmesini ya da yok edilmesini isteme; otomatik analize dayalı aleyhte sonuca itiraz etme ve hukuka aykırı işleme nedeniyle uğranılan zararın giderilmesini talep etme. Veri sorumlusu başvuruları en geç 30 gün içinde sonuçlandırmakla yükümlüdür. Kişisel Sağlık Verileri Yönetmeliği uyarınca ayrıca hiç kimse, geçmiş sağlık verilerinin dökümünü sunmaya zorlanamaz.

7.Gelişen Teknoloji ile Birlikte Uygulamada Karşılışılan Sorunlar

A. Bilimsel Araştırma Amacıyla Sağlık Verisi İşlemede Anonimleştirme ve Pseudonymization Sorunu

Yönetmelik, bilimsel araştırma amaçlı veri işlenmesini ayrıca düzenlemekte; bu amaçla işleme için etik kurul onayı ve anonimleştirme veya sözleşme güvencelerinin sağlanmasını zorunlu kılmaktadır. Sağlık verisinin bilimsel araştırma, istatistik veya eğitim amaçlı işlenmesinde sıklıkla başvurulan iki kavram, anonimleştirme ve takma adlandırma (pseudonymization), hukuki sonuçları itibarıyla birbirinden keskin biçimde ayrışmaktadır. Gerçek anlamda anonimleştirme, verinin, hiçbir teknik araçla ve hiçbir makul çabayla ilgili kişiyle yeniden bağlantırılandırılamayacağı hâle getirilmesini ifade etmekte ve ancak bu durumda veri, KVKK’nın uygulama alanı dışına çıkmaktadır.

Buna karşılık pseudonymization, ad ve TC kimlik numarası gibi doğrudan tanımlayıcıların bir takma adla değiştirilmesinden ibarettir. Ayrı bir anahtar veya ek veriyle kişi yeniden tespit edilebildiğinden bu süreç anonimleştirme sayılmaz ve kişisel veri koruma mevzuatı uygulanmaya devam eder. Sağlık alanında yürütülen biyomedikal araştırmaların ve yapay zekâ modellerini eğitmek amacıyla kullanılan hasta veri setlerinin önemli bir bölümünün gerçekte pseudonymize edilmiş verilerden oluştuğu; bu verilerin ise çoğunlukla yanlış biçimde “anonimleştirilmiş” olarak nitelendirildiği görülmektedir. Bu hatalı sınıflandırma, ilgili kişilerin rızası ve aydınlatma yükümlülüğü bakımından ciddi hukuki riskler doğurmaktadır.

B. Yapay Zekâ ve Otomatik Karar Alma Sistemlerinin Yaygınlaşması ile Gelen Sorunlar

Sağlık alanında yapay zekâ uygulamalarının hızla yaygınlaşması, kişisel veri koruma hukuku açısından yeni ve tartışmalı bir alan açmaktadır. Görüntü tanıma sistemleri aracılığıyla gerçekleştirilen radyoloji tanıları, erken teşhise yönelik risk skorlama algoritmaları ve özel sağlık sigortasında prim hesaplamasında kullanılan makine öğrenmesi modelleri, kişi hakkında doğrudan hukuki sonuç veya benzer nitelikte önemli bir etki doğuran kararları münhasıran otomatik sistemlere dayandırmaktadır.

KVKK m. 11/1-g, ilgili kişilere bu tür kararlara itiraz hakkı tanımaktadır. Ancak özellikle sigorta priminin otomatik algoritmayla belirlenmesi veya belirli bir teşhisin yalnızca yapay zekâ çıktısına dayandırılması hâlinde bu hakkın pratikte nasıl kullanılacağı, algoritmanın şeffaflığı, yapay zekanın blackbox yapısının buna ne ölçüde müsade edeceği ve insan denetiminin hangi aşamada devreye gireceği henüz netlik kazanmamış sorular olarak gündemdeki yerini korumaktadır. Kurul bu konuda henüz bir karar açıklamamış olsa da GDPR kapsamında Avrupa veri koruma otoritelerinin otomatik karar almaya ilişkin kararları, Türk uygulaması açısından da yol gösterici bir referans noktasıdır.

8.Yaptırımlar ve Cezai Sorumluluk

A. İdari Yaptırımlar

KVKK m. 18 uyarınca veri işleme, aydınlatma ve güvenlik yükümlülüklerinin ihlali halinde idari para cezası uygulanmaktadır. 2024 değişiklikleriyle standart sözleşmelere ilişkin bildirim yükümlülüğüne uymayanlar için de idari para cezası öngörülmüş, bu cezanın veri sorumlusu veya veri işleyenler hakkında uygulanabileceği hükme bağlanmıştır. Aynı değişikliklerle KVKK kararlarına itirazlar için idare mahkemeleri yetkili kılınmıştır.

B. Cezai Yaptırımlar (TCK m. 135-140)

KVKK m. 17, cezai yaptırımları Türk Ceza Kanunu’nun 135-140. maddelerine atıf yaparak düzenlemektedir. Hukuka aykırı kayıt (m. 135) 1-3 yıl hapis cezasını gerektirmekte; özel nitelikli verilerde bu ceza artırımlı uygulanmaktadır. Yetkisiz kişilere verme veya ele geçirme (m. 136) 2-4 yıl, verilerin imha edilmemesi (m. 138) ise 1-2 yıl hapis cezasını öngörmektedir.

Emsal Kurul Kararı Örnekleri

KVK 2022/594- Bağımlılık Testi Sonuçlarının Yetkisiz Kişiye Gönderilmesi:
Bir özel sağlık kuruluşu, çalışanlara yaptırdığı bağımlılık testi sonuçlarını ilgili kişilerin açık rızası alınmaksızın işyerindeki üçüncü bir kişinin e-posta adresine göndermiştir. Kurul, açık rızayı kanıtlayan belgenin sunulamaması ve gerekli teknik ile idari güvenlik tedbirlerinin alınmaması nedeniyle KVKK m. 12/1 kapsamında ihlal tespit etmiş ve idari yaptırım uygulamıştır.

KVK 2023/787- Hasta Verilerinin Reklam Amaçlı Paylaşılması:
Bir özel hastane, tedavi süreçlerine ilişkin hasta fotoğraf ve videolarını sosyal medya ile internet sitesinde yayımlamıştır. Kurul; sağlık kuruluşlarının hasta verilerini yalnızca tanı ve tedavi amacıyla işleyebileceğini, kişinin açık rızası bulunsa dahi Özel Hastaneler Yönetmeliği m. 60’ın reklam ve tanıtımı yasakladığını vurgulayarak bu uygulamanın KVKK m. 4 kapsamındaki veri işleme ilkelerini ihlal ettiğine hükmetti; verilerin imha edilmesini ve işlemlerin durdurulmasını emretmiştir.

8. Uyum Yükümlülükleri: Ne Yapılmalı?

KVKK ve sektörel mevzuata tam uyum sağlamak isteyen sağlık sektörü veri sorumlularının öncelikli adımları şunlardır:
Kişisel veri işleme envanterinin güncellenmesi ve sağlık verilerinin ayrı kategorize edilmesi; açık rıza süreçlerinin yeniden değerlendirilmesi ve hangi işlemin hangi hukuki sebebe dayandığının netleştirilmesi; aydınlatma metinlerinin 2024 değişikliklerine uygun biçimde güncellenmesi; saklama ve imha politikasının revize edilerek uygulama takviminin oluşturulması; teknik güvenlik tedbirlerinin (şifreleme, erişim kontrolü, DLP) gözden geçirilmesi; çalışanlara yönelik özel nitelikli kişisel veri eğitimlerinin düzenlenmesi; veri ihlali bildirim prosedürlerinin oluşturulması; yurt dışı aktarımlarının yeni mekanizmalar çerçevesinde yeniden yapılandırılması ve Kurul kararları ile rehberlerin takip edilerek uyum faaliyetlerinin sürekli güncellenmesi.

Açık rıza yönetimi konusunda ise uygulamada sık karşılaşılan sorunların farkında olmak gerekmektedir. Tedaviye bağlı paket onam formlarında ticari ve pazarlama rızalarının gizlenmesi, kapsamı belirsiz geniş ve toplu rıza formları kullanılması, rızanın geri alınabileceğinin hastaya yeterince açıklanmaması ve ilişkisel baskı nedeniyle rızanın gerçekte özgür olup olmadığının tartışmalı kalması öne çıkan başlıca sorunlardır.
Özellikle hastane başvuru formlarında tedaviye onay ile veri işleme rızasının tek belgede birleştirilmesi uygulaması, Kurul’un gündemindedir. İki farklı hukuki işlemin ayrı belgelerle ya da en azından açıkça ayrıştırılmış bölümlerle yönetilmesi hukuki güvenlik açısından zorunludur.

Sonuç

Türk kişisel veri koruma hukukunda sağlık bilgilerinin düzenlenmesi, 2016’dan bu yana önemli bir evrim geçirmiştir. 2024 reformu, GDPR ile uyumu artırmış, işleme şartlarını sistematize etmiş ve yurt dışına aktarımı daha sağlam bir hukuki zemine oturtmuştur.
Sağlık verisinin “özel nitelikli kişisel veri” statüsü korunmakla birlikte, bu verilere tanınan eski ayrıcalıklı konum kaldırılmış; tüm özel nitelikli veriler için birleşik bir çerçeve oluşturulmuştur. Bu yaklaşım yasal tutarlılığı güçlendirmiş; ancak uygulayıcıların sekiz istisnai hali ve sağlık alanındaki yansımalarını derinlemesine kavramasını zorunlu kılmıştır.

Sağlık verisi işleyen tüm kurum ve kuruluşların; 2024 değişikliklerini, Şubat 2025 Rehberi’ni ve Kurul kararlarını yakından takip ederek uyum programlarını sürekli güncel tutmaları, veri güvenliği tedbirlerini en üst düzeyde uygulamaları ve açık rıza mekanizmalarını gerçek anlamda özgür iradeyi yansıtacak biçimde kurgulamaları gerekmektedir. Bu yazı yalnızca bilgilendirme amacıyla kaleme alınmıştır ve hukuki tavsiye niteliği taşımamaktadır. Herhangi bir somut hukuki mesele için uzman avukatlarımızdan görüş alınması tavsiye edilir.

YORUMUNUZ VAR MI?

Label

İsim*

Email*

Δ

Label

İsim*

Email*

Δ

0 Yorum

Inline Feedbacks

Tüm yorumları gör