Kişisel verilerin işlenmesi, verilerin ilk kez elde edilmesinden itibaren veriler üzerinde gerçekleştirilen tüm işlemleri ifade eder. Kişisel verilerin işlenmesi, KVKK md.3/1-e’de “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmaktadır.
Otomatik yollarla işleme bilgisayar, mobil cihaz vb. otomasyon sistemleri kullanılarak gerçekleştirilen veri işlemelerini ifade ederken; otomatik olmayan yollarla işleme ise herhangi bir otomasyon sistemi kullanılmaksızın elle (manuel) gerçekleştirilen veri işlemelerini ifade eder. Veri kayıt sistemi ise KVKK md.3/1-h uyarınca “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” dir. Veri kayıt sisteminde veriler ad, soyad, kimlik numarası, kredi borcunu ödemeyenler gibi belirli kriterlere göre sınıflandırılmaktadır. Hastane personelince bilgisayar ortamında oluşturulan doktor randevusu, elektronik reçete oluşturulması, bilgisayar ortamında yer alan hastanın tahlil sonuçlarının görüntülenmesi otomatik yollarla gerçekleştirilen veri işlemesine; hastane personelince doğum tarihi, boy ve kilo gibi belirli kriterlere göre sınıflandırılmış fiziki doğum defterlerinin tutulması otomatik olmayan yollarla gerçekleştirilen ve bir veri kayıt sisteminin parçası olan veri işlemesine örnek verilebilir.
Kişisel Sağlık Verilerinin İşlenmesine Dair Temel İlkeler
Ulusal ve uluslararası birçok düzenlemede kişisel verilerin işlenmesine temel teşkil eden birtakım ilkeler kabul edilmiştir. Bu doğrultuda KVKK md.4/2’de de “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”, “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde beş temel ilkeye yer verilmiştir. Belirttiğimiz bu ilkeler kişisel sağlık verileri de dahil olmak üzere tüm kişisel veri gruplarını kapsamakta olup bu ilkelere, ilgili kişinin verilerinin işlenmesi için izin verdiği haller de dahil tüm veri işleme süreçlerinde uyulması zorunludur. Aksi takdirde yapılan işleme KVKK md. 4/b.2 uyarınca kanuna aykırı olduğundan KVKK md.11/ğ’ e binaen ilgili kişi veri sorumlusundan zararının tazminini talep edebilecektir.
Özel hastaneler açısından veri sorumlusu kişisel verileri, hasta dosyalarının en az yirmi yıl süre ile saklanacağına ilişkin ÖHY 49/f.2 , ortak kullanım alanlarının kayıt altına alındığı kameraların görüntülerinin en az iki ay süre ile saklanacağına ilişkin ÖHY 49/f.6, ölen kimsenin sağlık verilerinin en az yirmi yıl süre ile saklanacağına ilişkin KSVHY md.11/b.2 hükümlerinde olduğu gibi kişisel verilerin muhafazasına ilişkin ilgili mevzuatta bir süre öngörülmüşse bu süre; kişisel verilerin muhafazasına ilişkin mevzuatta bir süre öngörülmediği takdirde ise işleme amacına ulaşması için gerekli olan kendisinin belirlediği azami süre geçtiğinde KVKK md.7/1 uyarınca, ilgili kişinin talebi üzerine veya resen silmek, yok etmek veya anonim hale getirmek zorundadır.
Kişisel Sağlık Verilerinin İşlenme Şartları
Kişisel sağlık verilerinin işlenmesi şartları KVKK md.6/b.2 ila md.6/b.4’te yer almakta olup mezkur düzenlemeler şu şekildedir:
KVKK md.6/b.2: “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
KVKK md.6/b.2 uyarınca özel nitelikli kişisel veri gruplarından olan kişisel sağlık verilerinin işlenmesinde kural olarak ilgili kişinin açık rızasını varlığı aranmaktadır.
KVKK md.6/b.3:
“ Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. ”
KVKK md.6/b.3’de özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenebileceği birtakım istisnai haller öngörülmüştür. Bu hüküm uyarınca kişisel sağlık verilerinin işlenmesinin hükümde yer verilen amaçlardan (kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi) en az birisine dayanarak ve yine aynı hükümde yer verilen kişilerce (sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar) gerçekleştirilmesi halinde ilgili kişinin açık rızasının alınması gerekli değildir.
KVKK md.6/b.4: “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
KVKK md.6/b.4 uyarınca kişisel sağlık verilerinin işlenmesi için -işlemenin açık rıza veya bir başka hukuka uygunluk nedenine dayanmasından bağımsız olarak Kurul’ca belirlenen yeterli olanların alınması da gerekmektedir.
Özel sağlık kurumları kapsamında esas olarak hastaya fizik muayene, çeşitli tahlil ve tetkik yapılması, hastanın ameliyat edilmesi veya ona ilaç tedavisi veya fizik tedavi uygulanması , hastanın barındırılması ve yedirip içirilmesi, hastaya verilen hizmetin faturalandırılması, hizmet ücretinin SGK'dan alınması vb. faaliyetler gerçekleştirilmekte ve bu faaliyetler sırasında kişisel sağlık verileri ,esas olarak “ tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ” ve “sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçlarına ulaşmak için işlenmektedir. Bu nedenle KVKK md.6/b.3 uyarınca, kişisel sağlık verileri, özel sağlık kurumlarında faaliyet gösteren kişiler (aynı zamanda sır saklama yükümlülüklerinin de bulunması şartıyla) tarafından kural olarak ilgili kişinin açık rızası alınmaksızın işlenebilir. Ancak, kişisel sağlık verileri, örneğin tıbbi araştırmalarda kullanılma gibi açık rıza alınmaksızın işlemenin gerçekleştirilemeyeceği amaçlarla işlenecekse bu hususta ilgili kişilerin açık rızasının alınması gerekir.
Ayrıca KVKK md.6/b.3’de işleme mutlaka söz konusu amaçlar için gerekli olmalıdır. Bundan dolayı örneğin; özel sağlık kurumlarında kullanılan elektronik sağlık kaydı sistemine belirli bir kişisel sağlık verisi, yalnızca ileride faydalı olabileceği düşüncesiyle girilmemeli, öncelikle bu veri girişinin tamamen meşru olup olmadığı ile ilgili bir değerlendirme yapılmalıdır.