KİŞİSEL SAĞLIK VERİLERİ VE ÖZEL HAYAT KAVRAMI
Kavramsal Olarak Kişisel Sağlık Verileri
Kişisel veri kavramı « kimliği belirli ve belirlenebilir bir kişiye ait tüm veriler» şeklinde tanımlanabilir. Tıbbi veriler ise, kişinin sağlık hizmeti almak için bir sağlık kurumunda yaptığı tüm işlemlerdir. Bu veriler, tıp alanında çalışan herkes tarafından öğrenilebilecek veriler olarak da ifade edilebilir.
Sağlık ile ilgili tüm veriler, arşiv, kayıtlar hassas nitelikte verilerdir. 6698 Sayılı KVKK’nın 6. maddesi « Özel Nitelikli Kişisel Verilerin İşlenme Şartları» başlığı altında sağlığa ilişkin verileri özel nitelikli veri olarak nitelendirmektedir.
30808 Sayılı Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4. maddesinin j fıkrasında kişisel sağlık verisi, « Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerini ifade eder » şeklinde tanımlanmıştır.
Kavramsal Olarak Özel Hayat
Özel hayat, Türk Dil Kurumu’nun Türkçe Sözlüğünde şu şekilde açıklanmaktadır; “kişinin kendine özgü yaşayışı, yaşama tarzı, kendisini ilgilendiren tutum ve davranışlar”. Bir başka tanıma göre ise; “kişilerin hukuken korunan, herkesle paylaşmadığı ve güvendiği kişiler dışında herkesten gizli tuttuğu yaşam alanıdır”.
Avrupa İnsan Hakları Komisyonuna göre özel hayat, “yabancı gözlerden uzak yaşamayı isteme hakkından” geniş olup bir ölçüde bireyin kendi kişiliğini geliştirme ve gerçekleştirme için hemcinsleriyle, özellikle duygusal ilişkiler kurmak ve bunu devam ettirmek hakkıdır. Özel hayat bireyin bedeni ve manevi bütünlüğünü kapsar.
Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde özel hayat, kişinin yalnızca kendine ait hayatı, özel hayatı, aile hayatı ve haberleşmesi olarak ifade edilmiştir. Kişinin, kendi hayatı, Anayasa’da “Herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz”, “Herkes haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır”, “gizliliğine dokunulamaz” şeklinde ifade edilmiştir.
Özel Hayatın Gizliliği ve Kişisel Verilerle Arasındaki İlişkinin Değerlendirilmesi
Kişinin özgürce gelişmesine, yakınları ile baş başa kalmasına devlet veyahut başkaları müdahale etmemelidir. Mahremiyet, toplumdan ayrılmak, soyutlanmak değildir. Kişinin kendisi ile diğer bireyler arasındaki sınırlarının çizilmesi, bu sınırların aşılmamasına gayret gösterilmesidir.
Kişisel veri kavramı, hayatın özel alanı, gizliliği, mahremiyeti, sırrı kavramları ile yakın ilişki içerisindedir. Özel hayat negatif bir haktır ve bu hakkın korunması gerekir. Sır kişisel değerlerden sayılır ve kişilik haklarıyla ilgilidir. Kişisel değerlerden herhangi birine saldırı olursa bu kişiliğe yapılmış kabul edilir. Kişinin kamuya kapalı, herkesten gizlediği hayatı, özel hayatıdır. Özel hayatın korunması, gizliliğin korunup diğer kişilerin gözleri önüne serilmemesidir.
Özel hayat, gizli hayat ve sır kavramları birbirlerine sıkı sıkıya bağlıdır. Özel hayat kapsamında sırlar korunmaktadır. Genel kişilik hakları kapsamında ise özel hayat korunmaktadır. Tıbbi verilerin kaydedilmesi ve korunması özel hayatın gizliliği ve meslek sırrı kavramları iç içedir.
Birçok ülkede, özel hayatın gizliliği kavramının tanımı ile kişisel verilerin korunması arasında bağlantı kurulmuştur ve kişisel verilerin korunmasını isteme hakkının, özel hayatın gizliliği hakkının kendine has özellikleri olan bir türü olduğu ve birbirlerinden ayrılmaz birer parça oldukları kabul edilmiştir.
Teknolojik gelişmeler, bilgilerin toplanmasını hızlandırmış; bir veri merkezinde bulunan bilginin ve başka bir merkezde bulunan bilginin birleştirilmesi ile bir havuzda toplanması imkanının artması, özel yaşamın gizliliği hakkının alt başlıklara ayrılmasına sebep olmuş ve bu hakkın en küçük detayına varıncaya dek koruma altına alınması zorunluluğu ortaya çıkmıştır.
Kişinin yalnız kalma ve rahatsız edilmeme hakkını ortadan kaldıran çeşitli uygulamalar (e-nabız projesi, ses, görüntü kayıtları vb.) kişileri tek tipleştirmiştir. Çünkü insan doğası gereği, kendisi ile ilişkili olsun olmasın, diğer insanlardan veya belirli kişilerden sakladığı faaliyetleri vardır. İnsan, bu hayat alanına müdahale edilmediği yani bu faaliyetleri ve hakkındaki bilgiler açığa çıkmadığı oranda kendisini özgür ve güvende hisseder. Bu özgürlük ve güven hissi, insanın daha rahat gelişmesini, iletişim kurmasını ve sosyalleşmesini sağlar.
KİŞİSEL SAĞLIK VERİLERİNİN KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDAKİ YERİ
Genel Olarak
KVKK.m.6/ I maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” denilmiştir.
Kişisel sağlık verilerinin, özel nitelikli kişisel veri olmaları sebebiyle diğer tüm verilerden daha hassas bir korumaya tabi olduklarından yukarıda bahsedilmişti. Kişisel sağlık verilerini hem genel nitelikli kişisel verilerden hem de bir ölçüde diğer özel nitelikli verilerden ayıran husus, sağlığa ilişkin verilerin içlerinde taşıdığı risktir. Bu riskin ise sağlık verilerinin hukuka aykırı olarak işlenmeleri dolayısıyla istenmeyen başkalarınca öğrenilmesi ihtimalinde veri sahibinin toplumda önyargıya, aşağılanmaya, dışlanmaya ve ayırımcılığa uğrayabilme ihtimalinin yüksekliği olduğu ifade edilmektedir.
Covid-19 Pandemisi Özelinde Kişisel Verilerin Korunması
KVKK’nın 6. Maddesine göre kişisel sağlık verilerinin, veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. Ancak yine aynı maddenin üçüncü fıkrasında öngörülen hâllerde kişisel sağlık verileri, (istisnai olarak) sahibinin açık rızası olmaksızın da işlenebileceği söylenmiştir. Buna göre “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” KVKK’nın 28. maddesinde kişisel sağlık verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, KVKK kapsamındaki hüküm ve sınırlamalardan istisna tutulmuştur. Burada ana kural, kişisel sağlık verilerinin sahibinin açık rızası olmaksızın işlenemeyeceğidir. KVKK’nın 3. Maddesinin 1. Fıkrasının a bendi uyarınca açık rıza, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade eder.
Covid-19 Pandemisi özelinde kişilere filyasyon yolu ile antikor, antijen, PCR gibi testlerle ya da çeşitli yollarla elde edilen, hastanelerde saklanan, arşivlenen, çeşitli sağlık kuruluşları ve Sağlık Bakanlığı ile paylaşılan, Sağlık Bakanlığınca da çeşitli uluslararası kuruluşlarla paylaşılan (WHO vb.) hatta Hayat Eve Sığar (HES) uygulaması ile kamuyla dahi belirli bir seviyede paylaşılan tüm veriler, kişisel sağlık verisi sayılır. Bunlar yukarıda bahsettiğimiz “özel nitelikli” kişisel verilerdendir. Bu verilerin elde edilmesi, saklanması, paylaşılması, işlenmesi, yok edilmesi esasen KVKK ve KSVY’de yer alan özel nitelikli verilerin işlenmesine ilişkin kurallara tabidir.
Ancak pandemi döneminde hemen hemen her devletin yaptığı gibi ülkemiz de bu sağlık verilerinin işlenmesine ve aktarılmasına ilişkin kuralları mecburi olarak esnetmiştir.
Kişisel sağlık verilerinin COVID-19 pandemi sürecinde işlenmesine ilişkin olarak mevzuatta yer alan bir diğer hüküm de KVKK’nın 28. maddesinin 1. fıkrasının (ç) bendinde bulunan “istisnalar” başlıklı hükümdür. Bu hükme göre kişisel verilerin kamu düzeni ve kamu güvenliğini sağlamaya yönelik olarak, yalnızca yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesinde de açık rıza şartı aranmayabilir.
SAĞLIK VERİLERİNİN PANDEMİ SÜRECİNDE MOBİL UYGULAMALAR ÜZERİNDEN PAYLAŞILMASI
Pandemi sürecinde çeşitli ülkelerde çeşitli mobil uygulamalar üzerinden birtakım uyarı/ takip sistemleri uygulamaya konulmuştur. Örneğin Avustralya’da COVIDsafe isimli bir akıllı telefon uygulaması hayata geçirilmiştir. Yine İtalya’da virüslü kişilerle teması tespit etmeye yarayan bir uygulama kullanılmaktadır. Almanya’da ise veri güvenliği endişesi nedeniyle kişisel sağlık verilerinin kullanıcıların yalnızca kendi telefonlarında toplanmasına imkân sağlayan bir uygulama tercih edilmiştir. Hindistan’da ise AarogyaSetu adlı bir telefon uygulaması ile kullanıcılara bulundukları bölgede Covid-19 vakası bulunup bulunmadığı bilgisi verilmektedir. Çin’de her vatandaşın toplu ulaşımı kullanmadan, kalabalık yerlere girmeden, hatta eve girişlerde dahi zorunlu olarak aldıkları QR kodlarını taratarak virüs geçmişleri, sağlık durumları ve seyahat geçmişlerine ilişkin bilgi paylaşmaları sağlanmaktadır.
Türkiye’de kullanılan uygulama başlarda Hindistan’ın kullandığı uygulama ile benzerlik göstermekteydi. Ancak son birkaç aydır buna ek olarak, Çin’in kullanmakta olduğu uygulamaya benzer bir doğrultuda kullanılmaya başlanmıştır. Pandeminin başlarında HES uygulaması ile hem bulunulan bölgedeki risk durumu değerlendiriliyordu hem de kişisel sağlık verileri işleniyordu. Ayrıca uygulamanın kullanıcılarının bluetooth bağlantısını kullanması sebebiyle, kullanıcının temas ettiği kişilerden birinin test sonucunun sonradan pozitif çıkması halinde, kullanıcıyı uyarıyordu.
Ancak güncel uygulamaya baktığımızda uygulama, yukarıda anlatılan işlevlerin dışında, kişilerin covid-19 risk durumlarını paylaşarak, kişinin temaslı/ pozitif olduğunu açıkça göstermektedir. Son günlerde hem özel kuruluşlar hem de kamu kuruluşları, bünyelerinde işlem yapılmasını ya da bu kuruluşlara ait herhangi bir ortamda bulunulmasını, HES kodu ibraz edilmesi zorunluluğuna bağlamakta ve bu uygulama gitgide yaygınlaşmaktadır.
HES uygulaması, kişileri risk durumlarına göre kategorize etmekte ve bu bilgilerin üçüncü kişiler ile paylaşılmasına olanak sağlamaktadır. Bu şekilde de kişilerin sağlık durumları kamuya açıkça ifşa edilmektedir. Yapılan bu uygulama hem KVKK’nın ilgili hükümlerine hem de TMK, TBK ve TCK’daki ilgili hükümlere açıkça aykırılık teşkil etmektedir. Bu denli geniş bir bilgi paylaşımının 6698 sayılı Kanun hükümlerine uyum sağlanarak, özellikle sağlık verilerinin işlenmesindeki şartlar yerine getirilerek (aydınlatma ve açık rıza alınması gibi) yapılması gerekmektedir.
HES koduna ilişkin bir başka uygulama ise şehirlerarası yolculuk edeceklerin söz konusu kodu almalarının zorunlu tutulmasıdır. Anılan kod ile belirlenecek covid-19 pozitif ya da temaslı kişilerin şehirlerarası yolculuk yapmaları yasaklanmıştır. Buradan anlaşıldığı üzere kullanıcıların sağlık verileri, HES kodu marifetiyle işlenmekte, depolanmakta, kullanılmakta, paylaşılmakta, yurtiçi ve yurtdışına aktarımı yapılmaktadır.
Yukarıda açıklanan faaliyetlerin hepsi aslında kişisel sağlık verilerinin işlenmesi faaliyeti olup, normal şartlar altında ancak veri sahibinin açık rızası olması halinde işlenebilecektir. Ancak Covid-19 pandemisi kapsamında değerlendirdiğimizde bu süreçte Sağlık Bakanlığı tarafından açık rıza şartı bakımından esnetilen bu işleme faaliyetleri KVKK m.6 kapsamında kamu sağlığının korunması amacıyla yetkili kişi ve kurumlarca gerçekleştirilmeleri dolayısıyla hukuka uygun olarak sayılabilecektir. Zaten Sağlık Bakanlığı da yapılan uygulamaya yukarıda anılan maddeyi gerekçe göstermektedir.
AVUKAT NİSA DOLMACI
Comments