Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Covid-19’un Kişisel Sağlık Verilerinin Korunması Üzerindeki Etkilerinin İncelenmesi

Analysis of the Effects of Covid-19 on the Protection of Personal Health Data

Selin SERT SÜTÇÜ

Covid-19 virüsü Dünyada ilk olarak 2019 yılında Çin’in Wuhan Eyaleti’nde Aralık ayının sonunda görülmüştür. Mart 2020 itibariyle Çin’de salgın hızı yavaşlarken, İran, Kore, Güney Kore ve İtalya, İspanya’da Covid-19 vakaları ve buna bağlı ölümler hızla artmaya başlamıştır. Bütün bu gelişmelerin sonucu olarak Dünya Sağlık Örgütü tarafından pandemi ilan edilmesine karar verilmiştir.
 Ülkemizde ise ilk Covid-19 vakasının 11 Mart 2020’de tespit edildiği bildirilerek bir dizi önlem alınmıştır. Bu süre zarfında ülkemizde Sağlık Bakanlığı oluşturduğu bilim kurulunun tavsiyeleri doğrultusunda önlemleri kademeli olarak başlatmıştır. Son günlerde vaka sayısı diğer ülkelerde olduğu gibi ülkemizde de artışa geçmiştir.
 Covid-19 hukukun birçok alanını etkilemiştir. Kira sözleşmeleri, çalışma hayatı, özel okul sözleşmeleri gibi birden fazla alanda etkisini gösteren pandemi ve pandeminin yansımaları farklı hukuk alanlarında da etkisini göstermeye başlamıştır. Örneğin; kişilik hakları üzerindeki etkileri, sürelerin durması bakımından usul hukuku alanında gibi. 
Çalışma konumuz; pandeminin kişisel sağlık verilerinin korunması üzerindeki etkileridir. Konu hakkında genel bilgilere yer verildikten sonra kişisel görüşlerimiz açıklanmaya çalışacaktır.

Kişisel Veri, Kişisel Sağlık Verisi, Pandemi, Bulaşıcı Hastalık, Korunma.

The Covid-19 virus was first seen in the world in 2019 in Wuhan Province of China, at the end of December. While the pandemic pace in China slowed down as of March 2020, the Covid-19 cases and related deaths started to increase rapidly in Iran, Korea, South Korea and Italy, Spain. As a result of these developments, it was decided to declare a pandemic by the World Health Organization. 
In our country, a series of measures have been taken by reporting that the first Covid-19 case was recorded on March 11, 2020. During this period, the Ministry of Health has gradually initiated the measures in our country, in line with the recommendations of the scientific committee established. Recently, the number of cases has increased in our country as in other countries.
 Covid-19 has affected many areas of the law. Pandemic and the reflections of the pandemic, which have an effect in more than one area such as rental contracts, working life, private school contracts have started to show their effects in different legal areas. For example; effects on personal rights, such as in the field of procedural law in terms of suspending periods.
 Our subject of study is the effects of the pandemic on the protection of personal health data. It is endeavored to explain our personel views after providing general information on the subject.

Personal Data, Personal Health Data, Pandemic, Infectious Disease, Protection.

I. Genel Olarak

Günlük hayatımızın merkez kavramı haline gelen teknolojik ilerlemeler, hem hayatımızı kolaylaştırmakta hem bu ilerlemeler neticesinde daha fazla paylaştığımız bilgilerin daha fazla korunması ihtiyacı içerisinde olduğumuzu göstermektedir. Korunma ihtiyacı beraberinde kişisel veri kavramının gündeme gelmesini sağlamış, kişisel verilerin korunması kavramının gelişmesini sağlamıştır.

Kişisel verilerle ilgili olarak, gerek ulusal ve uluslararası mevzuatta gerek doktrinde pek çok tanım bulunmaktadır. Kişisel veri kavramını daha iyi anlamlandırabilmek için “kişisel” ve “veri” kavramının ayrı ayrı sözlük anlamlarını incelemekte fayda vardır. Kişisel kavramı; “Kişi ile ilgili, kişiye ilişkin, kişinin kendi malı olan, şahsi”1 olarak ifade edilmektedir. Veri kavramı ise; “Bir araştırmanın, bir tartışmanın, bir muhakemenin temeli olan ana öge, bilgi, olgu, kavram veya komutların, iletişim, yorum ve işlem için elverişli biçimli gösterimi”2 şeklinde anlamlandırılmaktadır.

Kişisel verilerle ilgili olarak ulusal ve uluslararası mevzuatta yapılan tanımları incelediğimizde; birbiri ile benzer nitelikte tanımlar yapıldığı görülecektir. 108 sayılı Sözleşmeyi incelediğimizde kişisel veri; “kimliği belirli veya belirlenebilir bir gerçek kişi (ilgili kişi) hakkındaki tüm bilgiler”3 olarak tanımlanmıştır.

95/46/EC sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” m.2/a4 hükmünde kişisel veri; kimliğin doğrudan veya dolaylı olarak tespitine olanak sağlayan gerçek kişiye ilişkin bilgi olarak tanımlanmaktadır.

Avrupa Birliği Genel Veri Koruma Tüzüğünde kişisel veri; “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”5 şeklinde tanımlanmaktadır.

Ülkemiz mevzuatında da kişisel veri Kişisel Verilerin Korunması Kanunu başta olmak üzere pek çok kaynakta tanımlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu m.3/1-d hükmüne göre kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”6 şeklinde tanımlanmaktadır.

Kişisel verilerin en çok korunmaya muhtaç olanı ise karşımıza kişisel sağlık verileri olarak çıkmaktadır. Sağlık hukukunda kişisel verilerin paylaşımının ve erişiminin kolay olması da bu verilerin korunması ihtiyacını gözler önüne sermektedir.

Kişisel sağlık verilerinin, “hekim veya diğer sağlık personeli tarafından, görevlerinden dolayı elde edilen, gerçek kişilere ait ve bu kişilerin başkalarının öğrenmesini istemediği, gizli tutulmasında kişinin makul bir nedeninin ve korunmaya layık bir yararının bulunduğu, özel yaşamın gizliliği kapsamındaki her türlü bilgidir”7 olarak doktrinde tanımlandığı görülmektedir.

Kişisel Sağlık Verileri Hakkında Yönetmeliğinin8 4’üncü maddesinin birinci fıkrasının (j) bendinde ise kişisel sağlık verisi, “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” şeklinde tanımlanmıştır.

Avrupa Birliği Genel Veri Koruma Tüzüğünün 4’üncü maddesinin onbeşinci fıkrasında, “sağlıkla ilgili veri”, “sağlık hizmetlerinin sağlanması da dahil olmak üzere bir gerçek kişinin sağlık durumuyla ilgili bilgilerin açıklandığı, söz konusu gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin kişisel veriler” olarak tanımlanmıştır.

Kişisel sağlık verilerinin işlenmesinde hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için muhafaza edilmelidir.9

Kişisel sağlık verilerine ilişkin bu tanımların ortak özelliği; kişilerin sağlık durumlarına ilişkin bilgiler içerdiği ve bu verilerin özel nitelikteki10 hassas veri11 olarak kabul edilmiş olmasıdır.

Kişisel sağlık verileri ile ilgili uluslararası düzenlemelere genel olarak bakacak olursak;

Avrupa Konseyi Bakanlar Komitesi, 13.02.1997 tarihinde üye ülkeler için 97/5 sayılı “Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararı”nı kabul etmiştir. Söz konusu kararın isminde geçen “tavsiye” kelimesinden de anlaşılacağı üzere üye ülkeler için herhangi bir bağlayıcılığı bulunmayan bu kararda esas itibarıyla kişisel sağlık verilerinin işlenmesine, sağlık verisi işlenen kişilerin haklarına, özellikle verilerin gizliliğinin ve güvenliğinin temin edilmesi başta olmak üzere sağlık verilerinin korunmasına yönelik çeşitli düzenlemeler yer almaktadır.

Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararının kabul edilmesinden günümüze yeni teknolojilerin gelişmesi ve dijitalleşmenin artması, kamu ve özel sektör tarafından kişisel sağlık verilerinin özellikle elektronik ortamda işlenmesi faaliyetlerini geçmişe kıyasla çok büyük oranda artırmıştır. Bu durum, Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararının kişisel sağlık verilerinin korunması hususunda yetersiz kalmasına yol açmıştır. Bundan dolayı Avrupa Konseyi Bakanlar Komitesi, kişisel sağlık verilerinin daha etkin bir şekilde korunmasına yönelik bir düzenlemenin oluşturulması için çalıştırmalara başlamış ve bu çalışmalar neticesinde 27 Mayıs 2019 tarihinde üye ülkeler için “Sağlıkla İlgili Verilerin Korunmasına İlişkin Tavsiye Kararı”nı kabul etmiştir.

Avrupa Birliği’nin 95/46/EC sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi”, ülkemizde 25.05.2018 tarihinden itibaren yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)12 ile yürürlükten kaldırılmıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü de kişisel veriler içerisinde kişiye ait sağlık verilerinin de yer aldığını ifade etmiştir.

İngiltere Covid-19 ile ilgili kişilerden toplanan bilgilerin “kişisel veriler” ve/veya “özel kişisel veriler kategorileri” olarak kabul edilmesinin muhtemel olduğunu ifade edilmiştir. Kişisel verilerin işlenmesi; Genel Veri Koruma Yönetmeliği (GDPR) ve İngiltere Veri Koruma Yasası 2018 kurallarına tabi olması gerektiği belirtilmiştir. Kişisel sağlık verilerini toplayacak olan kuruluşlar Covid-19 ile ilgili kişilerden herhangi bir kişisel veri bir veri koruma etki değerlendirmesi (DPIA) yapmayı düşünmelidir. Bir DPIA, kuruluşların belirli veri işleme faaliyetleri ile ilişkili riskleri ve bu riskleri azaltmak için alınabilecek önlemleri anlamalarına yardımcı olmayı amaçlamaktadır. Bireylerden herhangi bir kişisel veri ve/veya SCD toplanmadan önce, kuruluşların bu amacı yerine getirmek için hangi kişisel verilerin ve/veya SCD’nin ve ayrıntı düzeyinin gerektiği konusunda net bir amacı bulunmalıdır.13

Avrupa Birliği Genel Veri Koruma Tüzüğü m.6 hükmü gereğince; kişisel verilerin işlenmesinin hukuka uygun hale nasıl getirileceğini incelemiştir. İlk olarak vurgulanan husus; kişisel veri sahibinin kendi rızasıyla kişisel verilerinin paylaşımına rıza göstermesidir.14 Aynı madde de bir başka dikkat çeken husus; veri sahibinin veya bir başka gerçek kişinin hayati menfaatlerinin korunması amacının olması halinde15 de kişisel verilerin işlenmesinin hukuka uygun olduğu ifade edilmiştir. Kamu yararına getirilen bir görevin yerine getirilmesi de kişisel verilerin işlenmesinde hukuka uygunluk halidir. Kişisel veriler bu durumların varlığı halinde işlenirken dahi hukuka uygun ve adil davranılması gerektiği belirtilmiştir.

Avrupa Birliği Genel Veri Koruma Tüzüğü m.9 hükmünde ise özel nitelikteki kişisel verilere ilişkin işlemenin ne şekilde yapılacağı ifade edilmiştir. Kişilerin sağlık verilerinin m.9 hükmünde sayılması; Tüzüğün de kişisel sağlık verilerini özel nitelikte kişisel veri olarak kabul ettiğini göstermektedir. Özel kişisel veri kategorilerinin (biyometrik ve sağlık verileri dahil) açık rızası olmadan işlenmesini yasaklayan m.9 hükmü; işlemenin gerekli olduğu yerler de dahil olmak üzere benzer istisnalara sahiptir: