Konu : 20.10.2016 tarihli Resmi Gazete ’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik’in Danıştay 15. Dairesi’nin kararı ile yürütmesinin durdurulmasına ilişkin hazırlanan bilgi notundan ibarettir.
Sağlık Bakanlığı tarafından hazırlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahrumiyetinin Sağlanması Hakkında Yönetmelik (“Yönetmelik”) 22 Ekim 2016 tarihinde Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir.
6698 sayılı Kişisel Verileri Koruma Kanunu’na (“Kanun”) göre sağlık verileri, özel nitelikli kişisel veri olarak tanımlanmıştır. Kanun’un 6. Maddesinin açık hükmü uyarınca kişisel sağlık verilerinin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Anılan verilerin açık rıza aranmaksızın işlenebileceği istisnai haller aynı madde hükmünde sınırlı olarak düzenlenmiş, bu verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu da emredici biçimde belirtilmiştir.
Yönetmelik, yürürlük tarihinden bu yana Kanun’a aykırı yükümlülükler getirmek gibi çeşitli eleştirilere maruz kalmış olup anılan eleştirilerin bir kısmına değinmek gerekirse; yukarıda değinilmiş olan sağlık verilerinin açık rıza olmaksızın işlenebileceği hallerin mevzuata aykırı şekilde geniş tutulması bu yöndeki eleştirilerden ilkidir. Zira anılan Yönetmelik’te sağlık hizmetine erişmek isteyen herkesin kişisel verilerinin merkezi elektronik bir sisteme aktarılmasının sağlanmasını hedeflenmiştir. Buna ilişkin olarak 5. Maddenin 6. Fıkrasında herhangi bir istisnai halden bahsedilmeksizin aşağıdaki hükme yer verilmiştir:
“Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.”
Öte yandan Yönetmelik’in 6. Maddesinin 2,7 ve 8. Fıkraları ve 8. Maddesinin 3. Fıkrası uyarınca idareye kişisel sağlık verilerinin korunması hususunda ucu açık bir yetki verilmesi de eleştiriye uğrayan noktalardan biridir. Zira kişisel verilerin merkezi elektronik bir sisteme aktarılmasında rıza aranmaması bir yana, aktarıma ilişkin usul ve esaslar hakkında tüm takdir yetkisi Bakanlık’a bırakılmıştır. Buna ilişkin olarak 5. Maddenin 8. Fıkrasında aşağıdaki hükme yer verilmiştir:
“Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde aktarılır.”
Bununla birlikte Kanun’un 22. Maddesi 1/h fıkrası uyarınca diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek Kişisel Verileri Koruma Kurumu’nun görev ve yetkileri arasında sayılmışken bahse konu Yönetmelik Sağlık Bakanlığı’nca Kurum’un görüşü ve onayı alınmaksızın hazırlanarak yürürlüğe konmuştur.
Son olarak Yönetmelikçe “Kişisel Sağlık Verileri Komisyonu” adı altında bir komisyon oluşturulmuş olup yurtdışına veri aktarma yetkisi anılan komisyona verilmiştir ancak Kanun’un 9. Maddesi uyarınca yurtdışına veri aktarımına karar verme yetkisi Kurul’a ait olduğundan Yönetmelik bu noktada da Kanun hükümlerine ters düşmektedir.
Bunlar ve benzer gerekçelerle anılan Yönetmelik aleyhine 2 adet dava ikame edilmiş olup ilki Tüm Eczacı İşverenler Sendikası tarafından “Kanun’da bu tür bir yükümlülük yer almamasına rağmen kişisel sağlık verilerinin işlenmesi için gereken rızanın yazılı olarak alınmasını zorunlu kıldığı” bahsiyle 19.12.2016 tarihinde ikame edilmiştir. Buna ilişkin olarak; anılan Yönetmelik’in eczacıları, eczacılık mevzuatına aykırı ve uyulması imkansız yükümlülükler altına soktuğu ileri sürülmüş ve Yönetmelik’in 5. Maddesinin 5. Fıkrası ile 14. Maddesinin yürütmesinin durdurulması ve iptali istenmiştir. Zira eczacılar, tabi oldukları özel mevzuat gereği ilaç satışlarını İlaç Takip Sistemi’ne bildirmekte ve ilaçla ilgili kişisel sağlık verilerini senede iki defa yapılan denetlemelerde göstermek üzere eczanelerindeki bilgisayarlara kaydetmektedirler.
Yönetmelik aleyhine ikame edilen ikinci dava ise “hastaların her türlü bilgisinin anonim hale getirilmeden Sağlık Bakanlığı’ndaki merkezi bir bilgisayar sistemine kaydedilmesini” öngören bu Yönetmelik’in, yukarıda da örneklendiği üzere Kanun’un, Türkiye Cumhuriyeti Anayasası’nın ve 1981 tarihli 108 numaralı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin muhtelif hükümleri ile çelişkili düzenlemeler barındırdığı iddia edilerek Türk Dermatoloji Derneği ve Türkiye Psikiyatri Derneği tarafından Yönetmelik’in tüm hükümlerinin iptali ve durdurulması talebiyle ikame edilmiştir. Bu dava kapsamında Kanun’un uygulanabilmesi için gereken kurum ve kurulların henüz oluşturulmamış olduğu bahsiyle Kurul tarafından belirlenmesi gereken önlemler tamamlanmadan ve veri sorumlusu sicili oluşturulmadan hastaların her türlü bilgisinin anonim hale getirilmeksizin merkezi olarak kaydedilmesinin hukuka aykırı olduğu ileri sürülmüştür. Kaldı ki Sağlık Bakanlığı’nın anılan Yönetmelik’i Kişisel Verileri Koruma Kurulu’ndan görüş almadan çıkarttığı ifade edilmiştir.
Danıştay, her iki davaya ilişkin verdiği 06.07.2017 tarihli kararı ile Yönetmelik’in tüm hükümleri için yürütmenin durdurulmasına hükmetmiştir. Anılan kararın gerekçesinde yukarıda ileri sürülen diğer iddialara değinmeksizin 6698 sayılı Kanun’un “çerçeve kanun” niteliğinde olduğunu, kişisel verilere ilişkin hüküm içeren diğer tüm sektörlere ilişkin mevzuat hükümlerinin genel kontrol ve denetleme işlevlerinin bu Kanun uyarınca Kişisel Verileri Koruma Kurulu’nda olduğunu ve tüm bu mevzuat taslakları için Kurul’dan görüş alınmasının şart olduğunu belirtmiş, dava konusu düzenlemenin bu nedenle hukuka ve mevzuata aykırı olduğuna karar vermiştir.
Yönetmelik’in mevzuattan farklı hükümler içerdiği dikkate alındığında Danıştay’ın vermiş olduğu kararın yerinde olduğu kanaatindeyiz. Zira farklı sektörlerde aynı hususa ilişkin farklı hükümlerin yer alması, mevzuatın ve uygulamanın eşlenik olmaması sonucunu doğuracak olup uygulamada sorun teşkil edecektir. Dolayısıyla, Danıştay’ın anılan Yönetmelik’in yürütmesinin durdurulması ile kişisel verilere ilişkin her türlü mevzuat için Kurul ile iş birliği yapılması gerektiği görüşüne katılmaktayız.