Kişisel Sağlık Verilerinin

İşlenmesi Ve Aktarılmasının

Hukuki Boyutu

Av.Oktay Özer

 

Genel Olarak

 

6698 sayılı Kişisel Verilerin Korunması Kanunu[2] kabul edilip yürürlüğe girdiği tarihten bu yana ikincil düzenlemeler de peşi sıra yürürlüğe girmeye devam etmektedir. Bu kapsamda “kişisel verileri” koruyan temel konun olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yanı sıra konumuz gereğince daha detaylı inceleyeceğimiz Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik[3]  yürürlüğe girmiştir. Bunun yanı sıra Veri Sorumluları Sicili Hakkında Yönetmelik[4] , Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik[5]  ve Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik[6]  de yürürlüğe girmiştir.

 

Hasta Hakları Yönetmeliğine göre sağlık hizmetlerinden faydalanma ihtiyacı bulunan kimseye “hasta” denir. Kişi ister hasta olarak değerlendirilsin veya değerlendirilmesin, kişinin sağlığına dair her türlü veri kişisel veri kapsamındadır.

 

Nitekim Yönetmeliğe göre kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler “kişisel sağlık verisi” olarak tanımlanmıştır.[7]

 

Kişisel sağlık verileri, diğer kişisel verilere nazaran daha üstün korumayı hak eden kişisel veriler olup kişisel sağlık verilerine ilişkin yasal düzenlemeler çerçevesinde kişisel sağlık verilerinin korunması, işlenmesi ve aktarılması konuları işlenecektir.

1. Kişisel Veri Kavramı ve Unsurları

 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye “kişisel veri” denir.(6698 sayılı KVKK’nın md.3/d) Kişisel veri kavramını Kanun son derece geniş bir anlamda tanımlama gereği duymuştur.

 

Anayasa Mahkemesinin kararlarında da belirtildiği üzere,  “kişisel veri", "belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler" kişisel veri olarak kabul edilmektedi.[8]

 

Türkiye'nin imzaladığı ve 01.09.2016 tarihinde yürürlüğe giren 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin[9]  2. maddesinde "kişisel veri", "kimliği belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm bilgiler" şeklinde tanımlanmaktadır. Sözleşme'nin "özel veri kategorileri" başlıklı 6. maddesinde ise "iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar. Aynı şey ceza mahkûmiyetiyle ilgili kişisel veriler için de geçerlidir." demek suretiyle söz konusu verilerin kişisel veri kapsamında olduğunu belirlemektedir.

 

Ekonomik Kalkınma ve İşbirliği Örgütü'nün (OECD) yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri'nde "kişisel veri",  "belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler" şeklinde tanımlanmaktadır.

 

Avrupa Birliği'nin 95/46/EC sayılı Veri Koruma Direktifi'nin 2. maddesinde de "kişisel veri", "belirli ya da kimliği belirlenebilir gerçek kişi ile ilişkilendirilebilen her türlü bilgi" şeklinde tanımlandıktan sonra "bir kişinin doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği veya sosyal kimliğin"nin bu kapsamda değerlendirildiği ifade edilmektedir.

 

"Kişisel veri" kavramı tarafı olduğumuz Avrupa İnsan Hakları Sözleşmesi'nde (AİHS) açık bir şekilde düzenlenmemekle birlikte, Sözleşme'nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme'ye atıfta bulunulmakta ve bu verilerin özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM kararlarında kişilere ait "görüntü", "fotoğraf", "parmak izi", "DNA profili", "hücre örnekleri", "ev adresi" ve "yaş, doğum tarihi ve fiziksel özellikler" "kişisel veri" kapsamında değerlendirilmektedir.[10]

 

"Kişisel veri" kavramı teknolojik gelişmelere bağlı olarak çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat gerekse yargı içtihatları çerçevesinde "kişisel veri" kavramının, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği kabul edilmektedir.[11]

 

Kişisel sağlık verisi ise kişisel verilerin kişinin sağlığına ilişkin verileridir. Dolayısıyla kişisel sağlık verisi kavramı, kişisel veri kavramından ayrı ve bağımsız düşünülemez.

 

2. Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar

 

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, kişisel sağlık verilerinin işlenmesinde genel ilke ve esasları belirlemiştir. Yönetmeliğin md.5 hükmüne göre kişisel sağlık verileri işlenirken aşağıdaki ilkelere uyulması zorunludur;

 

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

İlgili ilkeler Kanunun md.4 hükmünde sayılan ilkelerle aynıdır. 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin md.5 hükmü “verilerin niteliği” başlığını taşımaktadır. Sözleşmeye göre otomatik işleme konu olan kişisel veriler;

a)  Adil biçimde ve yasal yoldan elde edilir ve işlenir,

b)  Belli ve meşru amaçlar için kaydedilir ve bu amaçlara aykırı şekilde kullanılamaz,

c)  Kaydedilme amaçlarına göre uygun ve yerinde olur ve aşırı olamaz,

d)  Doğru bilgileri yansıtır ve gerektiğinde güncellenir,

e)   Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkân veren bir biçimde saklanır.

 

“Otomatik işlem” den, tamamen veya kısmen otomatik yöntemlerle gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması anlaşılır.[12]

 

Her ne kadar Sözleşme otomatik bilgi işlemine konu olan sözleşme hükümlerini esas almışsa da Sözleşmenin md.3/2-c fıkrasına göre sözleşmede taraf bir ülke Sözleşmenin otomatik işleme konu olmayan kişisel verilere de uygulanacağını beyan edebilir. Nitekim Türkiye de Sözleşmeye ilişkin beyanında bu Sözleşme hükümlerinin otomatik olmayan yollarla işlenen kişisel verilere de uygulanacağını beyan etmiştir. Bu da Sözleşmenin uygulama alanını genişletmiştir. Dolayısıyla yukarıda sayılan ilkeler doğrudan Anayasanın md.90 hükmü gereğince iç hukukumuzun bir parçasını teşkil etmekte ve doğrudan uygulama imkânına erişmiş bulunmaktadır.

 

Türkiye bu Sözleşmeye taraf olurken verdiği beyanda Sözleşmeye aşağıda belirtilen kişisel verilerin uygulanmayacağını beyan etmiştir. Bunlar;

a)        Gerçek kişilerin tamamen kişisel veya ayrı konutta yaşayanlarla ilgili faaliyetlerine ilişkin işlenmesine,

b)        Kanun tarafından öngörülen kamu kayıtlarına,

c)         Kanuna uygun olarak kamu bilgisine sunulan bilgilere,

d)        Devlet kurumlarınca milli güvenlik, savunma ile soruşturma ve suç önleme amacıyla işlenen kişisel verilere.

 

Yönetmeliğe göre “sağlık hizmet sunucuları” md.4 hükmüne göre ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesislerini ifade eder. Yönetmeliğe göre sağlık hizmeti sunumunda görevli kişiler, ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir.

 

Sağlık hizmeti sunucularında veri işleyen kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz.

 

Sağlık hizmeti sunucuları, Kanunun emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur. Sağlık hizmeti sunucuları, Kanunun emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara uygun bir şekilde kişisel sağlık verilerini merkezi sağlık veri sistemine aktarır.

 

3. Kişisel Sağlık Verilerinin Korunması, İşlenmesi ve Aktarılması

 

A.        Kişisel sağlık verilerinin korunması

 

Yönetmeliğe göre “veri işleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade ederken, “veri sorumlusu” da kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

 

Veri işleyen; kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

 

Kişisel sağlık verisi işleyenler, bu verilerin mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri alır ve Bakanlıkça belirlenen diğer kurallara riayet eder.

 

Kişisel sağlık verilerinin kanuni olmayan yollarla işlenmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula bildirir. Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması ve yetkilendirme dâhilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar, Genel Müdürlükçe belirlenir.

 

Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur.

 

 

B.        Kişisel sağlık verilerinin işlenmesi

 

Kanunun md.6 hükmüne göre kişinin sağlığına, cinsel hayatına ilişkin kişisel verileri “özel nitelikli kişisel veri” olarak kabul edilmiştir. Buna göre özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.[13]

 

Kanuna göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından;

a)   Kamu sağlığının korunması,

b)   Koruyucu hekimlik,

c)   Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

d)   Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, ilgilinin açık rızası aranmaksızın işlenebilir.

 

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kişisel sağlık verilerinin, yukarıda sayılan istisnai amaç ve koşullar dışında işlenebilmesi için ilgili kişinin, Kanunun 10 uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca bilgilendirilmesi ve açık rızasının alınması gerekir.

 

İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz.

 

108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin “özel veri kategorileri” başlıklı md.6 hükmüne "iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar. Aynı şey ceza mahkûmiyetiyle ilgili kişisel veriler için de geçerlidir." demek suretiyle kişinin sağlığına veya cinsel yaşamına ilişkin verilerin özel nitelikli kişisel veriler olduğunu iç hukukta uygun güvenceler sağlanmadıkça otomatik bilgi işlemine tabi tutulmayacağını düzenlemiştir. Sözleşmenin md.9/2 hükmüne göre Taraf devletin kanunlarında öngörülmüş olması ve demokratik bir toplumda yukarıda sayılan durumların sağlanması için gerekli bir önlem oluşturması için ancak aşağıdaki nedenlerle istisna getirilebileceğini düzenlemiştir. Bunlar da;

a)  Devletin güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi,

b)   İlgili kişinin veya başkasının hak ve özgürlüklerinin korunması, dır.

 

Sözleşmeye taraf olurken Türkiye’nin beyanında Sözleşmenin 6.maddesine herhangi bir şekilde istisna tanımamıştır. Türkiye Sözleşmeye ilişkin beyanında bu Sözleşme hükümlerinin otomatik olmayan yollarla işlenen kişisel verilere de uygulanacağını da beyan etmiştir. Sözleşmenin md.9/1 hükmüne göre Sözleşmenin bu istisnaları dışında hiçbir istisna getirilemeyeceği yazılıdır. Türkiye Sözleşmeye taraf olurken verdiği beyanda aşağıda sayılan hususların kişisel verilere uygulanmayacağını belirtmiştir. Bunlar ise; a)Gerçek kişilerin tamamen kişisel veya aynı konutta yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesine, b)Kanun tarafından öngörülen kamu kayıtlarına, c)Kanuna uygun olarak kamu bilgisine sunulan bilgilere, d)Devlet kurumlarınca milli güvenlik, savunma ile soruşturma ve suç önleme amacıyla işlenen kişisel verilere, o halde Türkiye bakımından özel nitelikli kişisel veriler bakımından istisna getirilmediği ancak özel nitelikte olmayan kişisel veriler bakımından ise istisnalar getirdiği anlaşılmaktadır. Bu durumda özel nitelikteki kişisel veriler bakımından iç hukukta uygun güvenceler sağlanmadıkça otomatik veya otomatik bilgi işleme konu olmayan kişisel verilerin işlenmesi hukuka aykırıdır. İç hukukta uygun güvencelerden ne anlamamız gerektiği konusunda ise Türkiye Cumhuriyeti Anayasasının md.13 hükmüne bakmak gerekir. Buna göre: “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” iç hukuktaki düzenlemelerin bu maddeye göre değerlendirilmesi gerekir.[14]

 

Türkiye Cumhuriyeti Anayasası’nın “özel hayatın gizliliği” başlıklı md.20/3 hükmüne göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” kişisel veriler özel hayatın gizliliğinin bir parçası olarak düzenlenmiştir. Kişisel veriler hakkındaki düzenlemelerin de Kanunla düzenlenmesi zorunludur.

 

Türkiye Cumhuriyeti Anayasası’nın md.90/5 hükmüne göre “Usulüne göre yürürlüğe konulmuş Milletlerarası andlaşmalar kanun hükmündedir. Bunlar hakkında Anayasaya aykırılık iddiası ile Anayasa Mahkemesine başvurulamaz. Usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası andlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası andlaşma hükümleri esas alınır.” bahsi geçen 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin temel hak ve özgürlüklere ilişkin olduğu tartışmasızdır.

 

 Yukarıda yer alan hükümler dikkate alındığında kişisel sağlık verilerinin özel nitelikli kişisel veriler olduğu, anayasanın md.20 hükmü gereğince korunduğu, Anayasa md.13 gereğince temel hak ve özgürlüklere getirilecek sınırlamaların ancak kanunla ve anayasada belirtilen ölçülere göre yapılabileceği oysaki yönetmeliklerle düzenleme yoluna gidildiği anlaşılmakta olup söz konusu yönetmeliğin sayılan nedenlerle iptalinin gerektiği görüşündeyim. Ayrıca her ne kadar kişisel sağlık verileri hakkında Kişisel Verilerin Koruması Kanunu’nun md.6/3 hükmünde düzenlemelerin bulunduğu dolayısıyla kanunla şekli düzenleme şartlarını taşıdığı düşünülse bile Anayasa Mahkemesi tarafından içtihatları gözetilerek incelenmesi gerekir.[15]

 

C.        Kişisel sağlık verilerinin aktarılması

 

Yönetmeliğin md.8 hükmüne göre kişisel sağlık verileri, ancak Kanunun 8 inci ve 9 uncu madde hükümleri uyarınca aktarılabilir. Kişisel sağlık verileri, Kanunun 8 inci ve 9 uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak anonim hâle getirilmek suretiyle aktarılabilir. Yönetmelikteki bu düzenleme 24.11.2017 tarihinde yapılan değişiklikle şimdiki halini almıştır.

 

Ancak bu düzenleme Kanun düzenlemesine aykırıdır. Zira Kanunda kişisel sağlık verileri özel nitelikli kişisel sağlık verileri olarak Kanunun md.6 hükmünde yer verilmiş ve Kanunun md.8/2-b fıkrası gereğince de yeterli önlemler alınmak kaydıyla, 6 ıncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir olduğu yazılıdır. Kanunun 6 ıncı maddesinin üçüncü fıkrasında belirtilenler baktığımızda sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir olduğu yazılıdır.

 

Oysaki Yönetmelik, Kanunun 8.maddesinin tamamına atıfta bulunmuştur. Kanunun 8.maddesi de kişisel verilerin ilgili kişinin açık rızası bulunmaksızın aktarılmayacağını ifade ettikten sonra md.8/2-a hükmüne göre Kanunun 5 inci maddesinin ikinci fıkrasında sayılan hallerde de rıza aranmaksızın kişisel verilerin işlenebileceği yazılıdır. Bunlar ise;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, halidir. Bu durumda özel nitelikli sayılan kişisel verilerin aktarılması ancak Kanunun 6 ıncı maddesinde sayılan hallerde mümkünken bir de Yönetmeliğin bu atfı nedeniyle ayrıca Kanunun 5 inci maddesinin 2 inci fıkrasında sayılan hallerde de aktarılacağı düzenlenmiştir. Bu düzenleme Kanununun kısıtlamalarına, kapsamına aykırıdır.

 

Oysaki yönetmeliğin ilk yayınlandığı halinde md.8/1 hükmüne göre: “Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.” hükmü yazılı iken bu düzenlemenin kaldırılması, kapsamının Kanuna aykırı olarak genişletilmesi hukuka aykırıdır. Çünkü özel nitelikteki kişisel verilerin korunması, diğer kişisel verilere göre daha özel koruma kurallarına tabi olup Kanun koyucu da bunu düzenlemiş bulunmaktadır. Ancak yönetmelikte sağlık verilerinin aktarılması bakımından bu koruma kurallarına riayet edilmediği anlaşılmaktadır. Kaldı ki Kanunun md.7 hükmüne göre “kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü haiz olup kişisel verilerin aktarılmasını düzenleyen md.8 ve özel nitelikteki kişisel verileri düzenleyen md.6 hükmünde herhangi bir şekilde usul ve esasların yönetmelikle belirleneceğine dair bir düzenleme de söz konusu değildir. Olmaması da gerekir çünkü bu gibi üstün korunması gereken kişisel verilerin idare tarafından tek taraflı idari işlemleriyle düzenlenmesi hukuki güvenlik hakkı başta olmak üzere kanunilik ilkesine, demokratik toplum düzenine aykırılık teşkil eder. Kanunda da açıkça “kanunlarında açıkça öngörülmüş olması halinde” ibaresi de bunu desteklemektedir.

 

4. Sonuç ve Kanaat

 

Anayasamızda özel hayatın gizliliği başlığı altında 2010 yılında yer alan düzenleme ile kişisel verilerin özel düzenlemelerle kanunla korunması hükmü yer aldıktan sonra 2016 yılında 6698 sayılı Kişisel Verilerin Koruması Kanunu kabul edilmiştir. Türkiye'nin imzaladığı ve 01.09.2016 tarihinde yürürlüğe giren 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesine göre kişisel sağlık verileri özel nitelikli kişisel verilerdir. Nitekim Kanun da özel nitelikteki kişisel veriler bakımından daha iyi koruma sağlamıştır. Kişisel sağlık verilerine dair yürürlükte bulunan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ise Kanun tarafından öngörülmeden çıkarılmış bulunmakta ve Anayasanın md.13 hükmünde belirtilen özellikle kanunla düzenlenmesi şartına aykırılık teşkil etmektedir. Ayrıca Yönetmelikteki maddelerin Kanunda öngörülmeyen şekilde kişisel sağlık verilerinin işlenmesine ve aktarılmasına olanak sağlamış olması da hukuka aykırı niteliktedir.

 

Kişisel sağlık verilerinin korunması, işlenmesi, aktarılması, silinmesi dâhil düzenlemelerin, temel hak ve özgürlüklere ilişkin olduğu, kanunla düzenleme zorunluluğu bulunması nedeniyle Yönetmelikle düzenleme yoluna gidilmesi hukuka aykırı olup söz konusu düzenlemenin iptali veya yürürlükten kaldırılarak Kanunla düzenleme yoluna gidilmesi gerektiği görüş ve kanaatindeyim.

 

 

 

Her türlü soru ve görüşleriniz için info@kavlak.av.tr e-mail adresinden bizimle iletişime geçebilirsiniz.

[1] İstanbul Barosuna kayıtlı Avukat.

[2] Yayımlandığı Resmi Gazete Tarihi: 7/4/2016 Sayı : 29677

[3] Resmi Gazete Tarihi: 20.10.2016 Resmi Gazete Sayısı: 29863

[4] Resmi Gazete Tarihi: 30.12.2017 Resmi Gazete Sayısı: 30286

[5] Resmi Gazete Tarihi: 28.10.2017 Resmi Gazete Sayısı: 30224

[6] Resmi Gazete Tarihi: 16.11.2017 Resmi Gazete Sayısı: 30242

[7] Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik md.4/f

[8] (Anayasa Mahkemesinin kararları: E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014; E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014; E.2014/180, K.2015/30, 19.3.2015).

[9] 18 Şubat 2016 Tarihli ve 29628 Sayılı Resmî Gazete

[10] (Peck/Birleşik Krallık, B.No: 44647/98, 28.01.2003; Sciacca/İtalya, B.No:50774/99, 11.01.2005; S. ve Marper/Birleşik Krallık, (Büyük Daire), B.No: 30562/04, 30566/04, 04.12.2008; Alkaya/Türkiye, B.No:42811/06, 09.10.2012; K.U./Finlandiya, B.No:2872/02, 02.12.2008).

[11] Anayasa Mahkemesinin 2015/32 Esas, 2015/102 Karar numaralı kararı, R.G. Tarih-Sayı: 02.12.2015- 29550

[12] 108 Nolu Sözleşmenin md.2/c maddesi.

[13] Ayrıca Kanunda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri de özel nitelikli kişisel veri olarak kabul edilmiştir.

[14] Anayasa Mahkemesinin 2016/165 Esas, 2017/76 Karar sayılı 15.03.2017 tarihli kararına göre: “Temel hak ve özgürlükler özlerine dokunulmaksızın yalnızca Anayasa’da öngörülen sebeplerle ve ancak kanunla sınırlanabilir. Dokunulamayacak “öz”, her temel hak ve özgürlük açısından farklılık göstermekle birlikte kanunla getirilen sınırlamanın hakkın özüne dokunmadığının kabulü için temel hakların kullanılmasını ciddî surette güçleştirip, amacına ulaşmasına engel olmaması ve etkisini ortadan kaldırıcı bir nitelik taşımaması gerekir. 

 

Temel hak ve özgürlüklerin özlerine dokunulmaksızın yapılan sınırlamalar yönünden ise bu sınırlamaların, demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine aykırı olamayacağı belirtilmiştir. Bir başka deyişle, öze dokunan sınırlamalar, “demokratik toplum düzeninin gerekleri” ve “ölçülülük” ilkelerine evleviyetle aykırı olacağından, temel hak ve özgürlüklerin özüne dokunan sınırlamalar yönünden “demokratik toplum düzeninin gerekleri” ve “ölçülülük” ilkeleri bakımından ayrıca inceleme yapılmasına gerek bulunmamaktadır.

 

Öze dokunma yasağını ihlal etmeyen müdahaleler yönünden gözetilmesi öngörülen “demokratik toplum düzeninin gerekleri” kavramı, öncelikle ilgili hak yönünden getirilen sınırlamaların zorunlu ya da istisnai tedbir niteliğinde olmalarını gerektirmektedir. “Demokratik toplum düzeninin gerekleri”nden olma, bir sınırlamanın demokratik bir toplumda zorlayıcı bir toplumsal ihtiyacın karşılanması amacına yönelik ve ölçülü olmasını ifade etmektedir.

 

Anayasa’nın 13. maddesinde ifade edilen “ölçülülük ilkesi”, temel hak ve özgürlüklerin sınırlandırılmasına ilişkin başvurularda dikkate alınması gereken bir diğer ilkedir. Demokratik toplum düzeninin gerekleri ve ölçülülük ilkeleri, iki ayrı kriter olarak düzenlenmiş olmakla birlikte bu iki kriter arasında sıkı bir ilişki vardır. Temel hak ve özgürlüklere yönelik herhangi bir sınırlamanın başvurulabilecek en son çare ya da alınabilecek en son önlem olarak temel haklara en az müdahaleye olanak veren ölçülü bir sınırlama niteliğinde olup olmadığının incelenmesi gerekir.

 

Anayasa’nın 13. maddesinde yer alan ve aralarında sıkı bir ilişki bulunan, “temel hak ve hürriyetlerin özü”, “demokratik toplum düzeninin gerekleri” ve “ölçülülük ilkesi” kavramları, bir bütünün parçaları olup, “demokratik bir hukuk devleti”nin özgürlükler rejiminde gözetilmesi gereken temel ölçütlerini oluşturmaktadır.”

 

[15] Anayasa Mahkemesi Tuğba Arslan Başvurusu (Başvuru Numarası: 2014/256) kararı yol gösterici niteliktedir: “Anayasasının 87. maddesine göre "kanun koymak, değiştirmek ve kaldırmak" Türkiye Büyük Millet Meclisinin görev ve yetkisindedir. Bir yasama işlemi olarak kanun, Türkiye Büyük Millet Meclisinin iradesinin ürünüdür. Kanun, parlâmento kararı dışında kalan ve Anayasanın yetki verdiği Türkiye Büyük Millet Meclisi tarafından, Anayasa'da öngörülen kanun yapma usullerine uyularak yapılan işlemlerdir. Anayasa'nın 7. maddesinde yer alan "Yasama yetkisi Türk Milleti adına Türkiye Büyük Millet Meclisinindir. Bu yetki devredilemez" kuralı, bir ayrım yapmadan, kanunun maddi ve şekli anlamlarını kapsamaktadır. Anayasa'nın 7. maddesinin anlamı, kanun yapma yetkisinin başka bir mercie devredilemeyeceği ve bunun doğal sonucu olarak da Anayasa'ya göre kanunla yapılması zorunlu olan bir düzenlemenin başka bir merci tarafından yapılamayacağıdır.

 

Buna karşın Anayasa'nın 8. maddesi uyarınca "Yürütme yetkisi ve görevi, Cumhurbaşkanı ve Bakanlar Kurulu tarafından, Anayasaya ve kanunlara uygun olarak kullanılır ve yerine getirilir". Bu bakımdan, yürütme yetkisi ve görevi "kanunlara uygun olarak" kullanılması gerektiğinden kanun ile düzenlenebilecek konularda, yasama organının asli kuralları koymakla yetinerek, bunun yanı sıra tali ve uygulayıcı kuralları idari düzenleyici işlemlere bırakması mümkündür.

 

Başka bir ifadeyle, Anayasa'ya göre mutlaka kanunla düzenlenmesi gerekmeyen bir konu, kanuni dayanağı olmak kaydıyla idarenin düzenleyici işlemlerine bırakılabilir. Buna karşın temel hak ve hürriyetlerin sınırlandırılmasının ancak kanunla yapılacağına ilişkin Anayasa'nın 13. maddesi, bir kanun hükmü olmaksızın yürütme ve idarenin bir hak ve hürriyeti ilk elden düzenleyici işlemle sınırlamasına izin vermez.

 

Dahası, Anayasa'nın 91. maddesinin birinci fıkrası uyarınca sosyal ve ekonomik haklar hariç olmak üzere temel hak ve hürriyetlere ilişkin olarak kanun hükmünde kararname ile düzenleme yapılamaz. Dolayısıyla kanun hükmünde kararname ile dahi düzenlenemeyecek temel hak ve hürriyetlerin sınırlandırılmasına ilişkin bir düzenlemenin ilk elden idari düzenleyici işlemlerle yapılması Anayasa karşısında mümkün değildir.

 

Temel hak ve özgürlükler alanında yasama organının, keyfiliğe izin vermeyen, öngörülebilir düzenlemeler yapma zorunluluğu vardır. İdareye keyfi uygulamalara meydan verebilecek çok geniş bir takdir yetkisi tanınması Anayasa'ya aykırı olabilecektir. Temel hak ve hürriyetlerin sınırlandırılmasına ilişkin kanunların şeklen var olması yeterli görülemez, aynı zamanda kanunların niteliğine de bakılmalıdır. Temel hak ve özgürlüklere ilişkin bir alanda kanunun emrine dayanarak yürütme organınca alınacak önlemler objektif nitelik taşımalı ve idarenin keyfi uygulamalarına sebep olacak geniş takdir yetkisi vermemelidir (Bkz. AYM, E.1984/14, K.1985/7, K.T. 13/6/1985). Aksi bir durumda temel hak ve özgürlüklerin ancak kanunla sınırlanabileceğine ilişkin Anayasa'nın 13. maddesi hükmüne de aykırılık oluşturacaktır.   

 

Sözleşme'nin orijinal metinlerinde "kanunen öngörülme"nin karşılığı olan "prescribed by law/prêvue par la loi" düzenlemesine AİHM'in yüklediği anlam, Türk hukukundaki "kanun" kavramını aşarak "hukuk" terimiyle karşılanabilecek bir anlama sahiptir. AİHM, bir hak veya özgürlüğe müdahale olduğunda öncelikle müdahalenin bir "hukuki temelinin" olup olmadığını denetlemektedir.  Başka bir deyişle AİHM, "hukuk" teriminden şekli anlamda kanunu anlamamakta, sınırlamayı yapan hukuki düzenlemenin kaynağına değil düzenlemenin erişilebilir, öngörülebilir ve kesin olma niteliğine bakmaktadır (Bkz. Hasan ve Chaush/Bulgaristan [BD], B. No: 30985/96, 26/8/2000, § 85). Bu yaklaşım nedeniyle AİHM'e göre hukuken öngörülmüş olma ifadesindeki "kanun" ya da "hukuk" sözcüğü sadece yazılı hukuku değil, içtihadî hukuku da kapsamaktadır.”