SAĞLIK HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI VE HASTA MAHREMİYETİ

Yrd. Doç. Dr. Murat Volkan Dülger*

ÖZ

Kişisel verilerin önemi, teknolojilerinin gelişmesi ve internetin yaygınlaşmasıyla daha iyi anlaşılmıştır. Zira az sayıdaki kişi ya da kurumun elinde yazılı halde dosyalanmış bilgiler internetin yaygınlaşması sonucunda hukuka uygun ya da aykırı olarak ilgili ilgisiz herkesin erişimine açılmıştır. Özellikle “hassas veri” olarak nitelendirilen sağlık bilgilerinin hukuka aykırı olarak ele geçirilmesi, işlenmesi veya paylaşılması ayrımcılık başta olmak üzere diğer verilere göre ilgili kişi bakımından daha ciddi zararlar ortaya çıkarabilmesine neden olabilmektedir. Bununla birlikte bu bilgilerin paylaşılması kişinin özel hayatının gizliliği, hastanın mahremiyet hakkını ve doktorun hastasına karşı sır saklama yükümlülüğünün ihlaline yol açmaktadır. Konunun önemine rağmen ülkemizde henüz kişisel verilerin korunmasına ilişkin bir Kanun bulunmamaktadır. Çalışmamızda kişisel verilere ilişkin uluslararası düzenlemeler ile konuya ilişkin yasal mevzuat ülkemizdeki uygulamalar ışığında ele alınmıştır.

Anahtar sözcükler: Kişisel veri, hassas kişisel veri, hasta hakları, sağlık bilgilerinin mahremiyeti, özel hayatın gizliliği, hekimin sır saklama yükümlülüğü

THE ABSTRACT

The importance of personal data appreciated with the development of the technology and the spread of the internet. As a result of the widespread use of internet, handwritten informations filed by a limited number of people was opened to everyone lawfully or unlawfully related or unrelated to personal data. Especially seizing, sharing and procesing personal health data, which called “sensitive data” through illegal methods, can cause serious damages as discrimination. However, sharing these information is a violation of right to private life, patient privacy right and the obligation of doctor – patient confidentiality. Despite the importance of this issue, Turkey does not have a code on the protection of personal data. In our study, international legislations on personal data protection and the regulations that Turkey already had, are discussed in the light of the implementation in our country.

Keywords: Personal data, sensitive personal data, right of patients, privacy of personal health data, right to privacy, medical confidentiality.

GİRİŞ

Kişisel veri, tartışmalı ve sınırları tam olarak çizilemeyen bir kavramdır; ancak yine de kısaca insana ait, bireyi tanımlayabilecek her türlü bilgi olarak tanımlanması mümkündür. Aslında insanın, insan olarak evrendeki yerini alması ve toplumdaki konumu, insana bağlı bazı değerleri kişisel veri haline getirmektedir, örneğin kişinin adı, adresi, hastalıkları, medeni durumu, cinsel tercihleri, etnik kökeni, siyasi düşüncesi hep kişisel veri olarak kabul edilen bilgilerdir. Bununla birlikte özellikle geçtiğimiz yüzyılda bilim ve teknolojideki gelişmeler ve bunun topluma ve toplumsal hayatı oluşturan bileşenlere yansıması pek çok bilgiyi kişisel veri haline getirmiştir. Bu bağlamda banka hesap numarası, sosyal güvenlik numarası, vatandaşlık numarası ve elektronik posta adresinin şifresi bunlara örnek olarak gösterilebilir. Buna göre kabaca kişisel verilerin ikiye ayrılması mümkündür, birinci grupta insanın varoluşundan kaynaklanan kişiliğine ilişkin bilgiler yer almakta, ikinci grupta ise insanın modern bilişim toplumunda yer alması nedeniyle kendisine verilen ya da çeşitli hizmetlere ulaşmasında kullanılan bilgiler yer almaktadır. Ancak bu ayrım kişisel verilerin değeri ve korunmaya hak kazanımları açısından bir fark yaratmamaktadır.

Kişisel veriler, yukarıda belirtildiği üzere ilk insanlardan bu yana var ola gelmiştir. Ancak bilişim teknolojilerinin gelişmesi ve internetin yaygınlaşmasıyla kişisel verilerin varlığı ve önemi ortaya çıkan sorunlar nedeniyle daha iyi anlaşılmıştır. Zira daha önce az sayıdaki kişi ya da kurumun elinde yazılı halde dosyalanmış olan bu bilgiler bilişim teknolojisinin gelişmesi ile dijital ortama aktarılmış, internetin yaygınlaşması sonucunda da hukuka uygun ya da aykırı olarak ilgili ilgisiz herkesin erişimine açılmıştır.

İşte kişisel veriler ile ilgili tehlikenin ortaya çıkış noktası da bu olmuştur. Zira ilgisiz kişilerin kişisel verilere erişebileceği ve bunları kullanabileceği/yayabileceği endişesi dahi kişiler üzerinde gerçek bir tehdit oluşturmaktadır.

1. Kişisel Verinin Tek Başına Korunmaya Değer Bir Hak Olup Olmadığı Sorunu

Kişisel verilerin korunması, insan haklarından olan özel hayat ve aile hayatına saygı hakkı bakımından da önem arz etmektedir. Özel hayata ve aile hayatına saygı hakkı, gerek Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde herkesin özel hayata ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu belirtilerek, gerekse Anayasanın 20. maddesinde kişinin temel haklarından sayılarak güvence altına alınmıştır[1]. Dolayısıyla kişisel verilerin korunması hem ulusal üstü hukuk açısından bir insan hakkı, hem de ulusal hukuk açısından Anayasa normu ile düzenlenmiş bir temel hak ve özgürlüktür[2].

Öğretide kişisel verilerin, özel hayatın gizliliğinin korunmasının bir alt başlığı mı yoksa kendi başına bağımsız bir kavram mı olduğu konusunda iki farklı görüş bulunmaktadır:

Bunlardan ilkinde, bir gerçek kişinin “kendine özel olan ve gizli kalmasını isteyeceği hayat olaylarını” koruyan özel hayatın gizliliği hakkının tanımı ve kişinin üçüncü kişilerin gözetimi ile denetimden uzak, insan onuruna uygun olarak yaşayabilmesini öngören amacı dikkate alındığında kişisel verilerin korunması kavramının, özel hayatın gizliliğinin korunmasının bir alt başlığı olduğunun kabul edilmesi gerektiği ifade edilmektedir[3].

Bu konudaki ikinci görüşte ise, kişisel verilerin korunması hakkının ilk aşamada özel yaşamın gizliliği hakkı içinde değerlendirilebileceği, ancak gelişen teknoloji karşısında özel yaşamın gizliliği hakkına geleneksel yaklaşımla ve bu alanda benimsenen ilkelerle kişisel verilerin korunmasının yetersiz kaldığı, bu nedenle tarihsel süreç içerisinde kendisinden daha köklü bir hak alanı olan özel yaşamın gizliliği hakkından ayrılmaya başladığı; bu anlamda kişisel verilerin korunmasının özel yaşamın gizliliği hakkının özellik taşıyan türü olduğu ve kendine özgü bazı gereklilikleri nedeniyle ayrı bir alan olarak algılanmaya başladığı, ancak bunların birbiriyle organik ilişkisi bulunan alanlar olduğu ifade edilmektedir[4].

Biz de bunlardan ikinci görüşe katılmaktayız çünkü her ne kadar kişisel veriler özel hayatın gizliliği kavramının içinden çıkmış olsa da zamanla hem teknolojideki gelişmeler hem de bu verilerin sıklıkla hak ihlaline konu olması nedeniyle ayrı bir kimliğe kavuşmuştur. Ayrıca “özel hayatın gizliliği” kavramındaki “gizlilik” sözcüğü, kişisel verilerin korunmasıyla tam olarak örtüşmemektedir. Zira korumaya alınan kişisel verilerin mutlaka gizli olması gerekmez, kişinin özel hayatına dâhil olan ve bu alana dâhil olan kişiler tarafından bilinen ancak gizli olmayan bir bilginin, üçüncü kişilerle paylaşılması halinde bu bilgi, kişisel verilerin korunmasından faydalanır, ancak bu gizliliğin korunması değildir. Benzer şekilde kişisel verilerin korunmasına ilişkin suçlarda da korunan hukuksal değer “sır” olmayıp, verinin ilgilisi olan kişinin kişilik haklarıdır[5]. Nitekim Yargıtay Ceza Genel Kurulu’da çok yeni tarihli kararında bu görüşlerimizi ifade ettiğimiz bir başka eserimize atıf yapmak suretiyle bu görüşte olduğunu ifade etmiştir[6].

Kişisel veri; ceza hukuku, medeni hukuk, idare hukuku, ticaret hukuku, borçlar hukuku vb. gibi hemen tüm hukuk dallarının ilgi alanına giren çok geniş bir kavramdır. Ancak, bu çalışmada konumuz sağlık hukukunda kişisel verilerin korunması ve hasta mahremiyeti olduğundan, “hassas veri” olarak kabul edilen sağlık verileri kavramının ne olduğu, kavramın ulusal ve ulus üstü hukuktaki yeri ile Türkiye’deki durumu incelenecektir.

1. Tarihsel Süreçte Bir İnsan Hakkı Olarak Kişisel Verilerin Korunması

Kişisel verilerin korunması hukuk dünyasında yeni bir kavram olsa da, kaynağını mahremiyet gibi oldukça köklü ve eski bir kavramdan almaktadır. Mahremiyet, kişinin bağımsız ve özgür var oluşunun temelini oluşturan, dolayısıyla birey olmanın ana unsurlarından birini oluşturan bir kavramdır. Kavram, ilk olarak 1890’da ABD’li Yargıç Brandeis tarafından “yalnız bırakılma hakkı; hakların en kapsamlısı ve özgür insanlar tarafından en çok değer verileni” olarak tanımlanmıştır. Sonrasında zaman içerisinde kavramın bedensel-fiziksel mahremiyet, zihinsel-iletişimsel mahremiyet ve bilgi mahremiyeti gibi özel görünümleri ortaya çıkmıştır.

Teknolojinin gelişmesi, yaşamı kolaylaştırmayı ve bireyi özgürleştirmeyi vaat etse de bireyin izlenmesi ve verilerinin kaydedilmesi gözetim toplumu endişesini de beraberinde getirmiştir. Bu çerçevede, bilgi aktarımının çok kolaylaştığı bir ortamda kişisel verilerin meta haline gelmesi ve bireyin kendine dair veriler üzerindeki kontrol ve denetimini kaybetmesi gibi riskler gündeme gelmiştir[7].

Kişisel verilerin korunması bir insan hakkı olarak öncelikle insan onuru ve kişiliğin serbestçe geliştirilmesi bağlamında ele alınmıştır. Alman Federal Anayasa Mahkemesi, 1983 yılında verdiği bir kararda, memurların nüfus sayımı esnasında sayımın ötesinde vatandaşlardan başka birtakım bilgiler almasını ve bilgi vermeyi reddedenlerin yaptırıma tabi tutulmasını öngören Nüfus Sayımı Yasası’nı insan onuru ve kişiliğin korunması hakkına aykırı olduğu gerekçesi ile iptal etmiştir. Kararda, bu iki hukuki menfaatten yola çıkılarak “bilgilerin geleceğini belirleme hakkı” kavramı ortaya konulmuştur[8].

Veri toplama ve izleme faaliyetleriyle dış dünyaya karşı şeffaflaşan bir bireyin kişiliğini özgürce geliştirebilmesi mümkün değildir. Dolayısıyla, bireyin kişisel verilerinin geleceğini belirleme hakkının hukuki güvencelerle korunması önemlidir. Elbette bu koruma sınırsız olmayacaktır; ancak buna getirilen sınırlamaların yasal bir dayanağı olması ve kolaylıkla anlaşılabilir bir şekilde ifade edilmesi gerekir[9].

III.    Çeşitli Uluslararası Belgelerde ve Avrupa Birliği Düzenlemelerinde Kişisel Verilerin Korunması

Kişisel verilerin korunması görece yeni bir hukuki kavram olduğundan, pek çok uluslararası insan hakları belgesinde buna ilişkin özel bir düzenlemeye rastlamak mümkün değildir. Bununla birlikte, kişisel verilerin korunmasının altında mahremiyet anlayışı bulunduğu için, özel yaşamın korunmasına ilişkin düzenlemelerin aynı zamanda kişisel veriler üzerinde de etki doğurduğu görülür. Bu doğrultuda uluslararası belgeler incelenecek olunursa, ilk olarak karşımıza Birleşmiş Milletler İnsan Hakları Evrensel Beyannamesi’nin 12. maddesi çıkmaktadır:

“Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin bu gibi karışma ve saldırılara karşı yasa tarafından korunmaya hakkı vardır”.

Özel yaşamın gizliliğine dair hassasiyet, Birleşmiş Milletler’in Kişisel ve Siyasal Haklar Sözleşmesi’ne de yansımıştır. Sözleşmenin “Mahremiyet Hakkı” (Right to Privacy) başlıklı 17. maddesi şöyledir:

“1. Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz.

2. Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahiptir”.

Birleşmiş Milletler İnsan Hakları Komitesi’nin bu madde ile ilgili 1988’de yayınladığı 16 no’lu Genel Yorumun 10. paragrafında kişisel verilere ilişkin değerlendirmelere de yer verilmektedir:

“Kişisel bilgilerin, ister kamu makamları, ister özel birey veya kurumlarca olsun, bilgisayarlar, veri bankaları ve diğer araçlarda toplanması ve tutulması kanunla düzenlenmelidir. Bir kişinin özel yaşamını ilgilendiren bilgilerin, kanun ile onları almak, işlemek ve kullanmak için yetkilendirilmemiş kişilerin eline geçmemesi ve Sözleşme ile uyumlu olmayan amaçlarla hiçbir zaman kullanılmamasının temin edilmesi için etkin önlemler Devletler tarafından alınmalıdır. Özel yaşamının en etkin şekilde korunması açısından, her birey, kişisel verilerinin otomatik data dosyalarında depolanıp depolanmadığını, şayet depolanıyorsa hangi verilerinin ne tür amaçlarla depolandığını, kolaylıkla anlaşılacak bir biçimde öğrenme hakkına sahip olmalıdır. Her birey, hangi kamu makamları veya özel birey veya kurumların dosyalarını kontrol ettiğini veya edebileceğini öğrenme olanağına da sahip olmalıdır. Eğer böylesi dosyalar doğru olmayan kişisel veriler içermekte veya yasal düzenlemelere aykırı bir şekilde toplanmış veya işlenmiş ise, her birey düzeltme veya kaldırma talebinde bulunma hakkına sahip olmalıdır.”

Kişisel verilere ilişkin önemli bir diğer uluslararası belge de OECD’nin (Ekonomik Kalkınma ve İşbirliği Örgütü) 1980’de yayınladığı “Mahremiyetin Korunması ve Sınıraşırı Veri Akışına Dair Rehber İlkeler” başlıklı metindir. Münhasıran bu konuya ilişkin olarak düzenlenen ilk uluslararası metin olması itibarı ile önem taşıyan bu belgede kişisel verilerle ilgili olarak bazı temel ilkelere yer verilmektedir. Bunlar; veri toplamanın sınırlı olması, veri kalitesi, amacın belirliliği, kullanımın sınırlı olması, veri güvenliği, açıklık, bireyin katılımı ve hesap verilebilirlik ilkesidir[10].

Avrupa bünyesindeki mahremiyet düzenlemelerine bakıldığında ilk olarak Avrupa Konseyi’nin Avrupa İnsan Hakları Sözleşmesi’ndeki özel yaşama dair 8. maddesi göze çarpmaktadır:

“1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.

2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.”

Avrupa Birliği’nin 24 Ekim 1995 tarihli, Birliğin veri koruma hukukunun temelini oluşturan, 95/46 sayılı “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması ve Bu Verilerin Serbest Dolaşımı” isimli Yönergesi, Birlik içinde yeknesak bir veri koruma hukukunun temelini oluşturmuştur. Yönergeyle amaçlanan, her üye ülkede kişisel verilerin eşit seviyede korunmasının garanti altına alınmasıdır. Başka bir ifade ile Yönergenin iç hukuka aktarılmasında üye ülkelerden beklenen, veri koruması düzenlemelerinin, yeterli bir veri koruması sağlamaları şartıyla, aynı olmalarından ziyade eşit ağırlıkta olmalarıdır[11]. Öte yandan, AB Temel Haklar Şartı’nda da, münhasıran kişisel verilerin korunmasını düzenleyen bir maddeye ver verilmiştir:

“1. Herkes, kendisini ilgilendiren kişisel verilerin korunması hakkına sahiptir.

2. Bu veriler, adil bir şekilde, belirli amaçlar için ve ilgili kişinin rızasına veya yasa ile öngörülmüş diğer meşru bir temele dayanarak tutulur. Herkes, kendisi hakkında toplanmış verilere erişme ve bunları düzelttirme hakkına sahiptir.
3. Bu kurallara uyulması, bağımsız bir makam tarafından denetlenir.”

IV.    Kişisel Veri – Hassas Kişisel Veri ve Bu Verinin İşlenmesi Kavramlarının Tanımı

A.      Kişisel Veri

Kişisel veri kavramı, İngilizce “personal data” kavramından gelmekte olup, yabancı dildeki kavramı tam olarak karşılamaktadır. Bu alanda özellikle ülkemizin konuya ilişkin düzenlemelerinde ve mevzuat çalışmalarında dikkate alınan iki temel uluslararası düzenleme bulunmaktadır. Bunlardan ilki ülkemizin 1981 yılında imzalamış olduğu ancak henüz onaylamadığı Avrupa Konseyi’nin üretimi olan “Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin 108 sayılı Sözleşme”dir[12]. Sözleşme bu alandaki ilk düzenleme olup, yeknesak kurallar üretilmesinde temeli oluşturmuştur. Sözleşmenin 2. maddesinde kişisel veri, “kişiyi tanımlayan ya da tanımlayabilen her türlü bilgi” olarak açıklanmıştır.

Bu alandaki temel metinlerden bir diğeri ise 1995 tarihinde yürürlüğe giren 95/46/EC Veri Koruma Yönergesi”dir[13]. Bu Yönerge’nin 2. maddesinde ise kişisel veri “kişisel verinin doğrudan doğruya ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi” olarak tanımlanmaktadır[14].

Bir kişinin belirlenebilir kılınması, verilerin doğrudan ya da dolaylı olarak bir gerçek kişiyle ilişkilendirilmesi suretiyle kişinin tanımlanabilmesi, yani şahsın o şahıs olduğunun ortaya çıkarılabilmesi özelliğini ifade etmektedir. Örneğin verilerin bir kimlik numarasıyla ilişkilendirilmesi ya da kişinin psişik, psikolojik, fiziksel, ekonomik, kültürel veya sosyal kimliğini ifade eden, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel kişilere[15] ilişkin herhangi bir bilgi kişisel veriyi göstermektedir. Başka bir ifade ile isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, ses, parmak izleri, genetik bilgiler gibi özellikli bir içerik taşıyan veriler ile dolaylı olarak kişiyi belirlenebilir kılan ölçütlerin kombinasyonu (yaş, meslek, medeni durum, adres vb.) olan veriler kişisel veri kapsamında ele alınabilir[16]. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun (CMK) 80. maddesi gereğince bir suça ilişkin delil elde etmek için şüpheli, sanık veya diğer kişilerden alınan örnekler üzerinde yapılan genetik inceleme sonuçları kişisel veri niteliğindedir[17].

Verinin belirli veya kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesi sonucunda ortaya çıkan bilgiye “anonim veri” adı verilmektedir. İstatistik, araştırma, planlama vb. amaçlarla tutulan ve herhangi bir kişiyi belirtmekten ziyade kitlesel bilgi yığını olarak çıkan bu tür veriler, ilgili kişilerle ilişkilendirilmeleri mümkün olmadığından kişisel veri sayılmamaktadır[18].

Aslında ülkemizde bu konuda temel bir çalışma da yapılmıştır. Adalet Bakanlığı tarafından oluşturulan bir komisyon tarafından üç yıllık bir çalışmanın sonucunda 2003 yılında “Kişisel Verilerin Korunması Kanun Tasarısı” hazırlanmıştır. Söz konusu tasarı genel olarak 108 nolu Avrupa Konseyi Sözleşmesi ve Veri Koruma Yönergesi temel alınarak hazırlanmıştır[19], ancak bu alandaki yoğun taleplere rağmen çeşitli gerekçelerle henüz yasalaşamamıştır.

Söz konusu tasarının 3. maddesinde kişisel veri, “belirli veya kimliği belirlenebilir bir kişiye ilişkin bütün bilgiler” şeklinde tanımlanmıştır. Bu tasarının gerekçesinde ise söz konusu kavram “Kişisel veri, bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yeni verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir gerçek taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir” şeklinde tanımlanmaktadır.

6.2.2004 tarih ve 25365 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik” ise bu alandaki bir başka düzenlemedir. Yönetmeliğin 3. maddesinde kişisel bilgiler/veriler, “tanımlanmış ya da doğrudan veya dolaylı olarak, bir kimlik numarası ya da fiziksel, psikolojik, zihinsel, ekonomik, kültürel ya da sosyal kimliğinin, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel kişilere ilişkin herhangi bir bilgi” olarak tanımlanmıştır.

Bu açıklamalar sonucunda uluslararası düzenlemelerde ve yasa tasarısında yer alan tanımın aslında doğru bir seçim olduğu görülmektedir. Buna göre kişisel veri, “belirli veya kimliği belirlenebilir kişiye ilişkin tüm veriler” olarak tanımlanabilir. Buna göre kişisel veriden söz edilebilmesi için verinin bir kişiye ilişkin ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekir[20].

1. Hassas Kişisel Veri

Veri koruma mevzuatına sahip birçok ülkede ve uluslararası düzenlemelerde, özel bir veri türü olduğu kabul edilmiştir. Bu tür hassasiyet gösterilmesi gereken veri türünün özel olarak ayrı bir korumaya tabi tutulması öngörülerek bu yönde düzenlemeler yapılmıştır. Veri koruma düzenlemelerinde kişinin “ırksal veya etnik kökeni, siyasi görüşü, dinsel veya felsefi inancı, sendika üyeliği, sağlık ve cinsel yaşamı ve her türlü mahkûmiyetleri” hassas veri olarak nitelendirilerek kural olarak bu verilerin işlenmesinin yasak olduğu düzenlenmiştir.

Bu doğrultuda, Veri Koruma Yönergesi’nin 8. maddesinde “verilerin özel işleme kategorileri” başlığı ile 108 nolu Avrupa Konseyi Sözleşmesi’nin 6. maddesinde “özellikli veri kategorileri” başlığı ile uluslararası düzenlemelere paralel olarak ülkemizde henüz tasarı halinde bulunan “Kişisel Verilerin Korunması Kanun Tasarısı”nın ise 7. maddesinde “özelliği olan kişisel veriler” başlığı ile hassas veriler özel bir korumaya tabi tutulmuştur.

Hassas verilerin daha nitelikli korunması ilkesi, ilgili kişi açısından “hassas” sayılan bazı veri türlerinin işlenmesini diğerlerine göre daha sıkı bir denetim altına alma düşüncesine dayanır. Hassas kişisel verilerin bazı ek güvencelerle korunmasındaki temel mantık, bu tür bilgilerin ayrımcılık başta olmak üzere diğer verilere göre ilgili kişi bakımından daha ciddi zararlar ortaya çıkarabilmesidir.

Hassas verilerin korunmasına ilişkin sorunlar özellikle internet kullanımının artması ve çevrimiçi bilgi paylaşımının çoğalmasıyla daha büyük önem kazanmıştır. İçinde bulunduğumuz bilgi çağında pek çok alanda verilere gereksinim duyulduğu açıktır. O halde verilerin işlenmesinden doğacak zarar ile yarar arasında bir denge kurulması gerekir. Kişisel verilerin korunması hukukunun temelinde de bu düşünce yatar. Dengenin sağlanabilmesi, yararın derecesi ve tehlikenin şiddetini de dikkate almayı gerektirdiğinden, bazı verilerin diğerlerine göre daha yüksek oranda korunmasını yadırgamamak gerekir. Hassas kişisel veri ayrımı yapılan metinlerde hassas veriler sınırlı sayıda tutulmuştur. Diğer bir deyişle hassas kişisel veri kategorilerini genişletmek mümkün değildir. Bu kategoriler, kişinin ırksal veya etnik kökeni, siyasal görüşü, dinsel veya felsefi inancı, idari ve adli kayıtları ve sağlık bilgileri gibi bilgilerini kapsamaktadır[21].

Özel yaşamın korunması söz konusu olduğunda genellikle akıllara gelen, bireylerin başkalarınca kınanma, damgalanma gibi gerekçelerle saklamayı arzu edebilecekleri bilgiler olmaktadır. Bununla birlikte, gerçekte sağlanacak korunmayı yalnızca bunlarla sınırlı olarak düşünmek doğru değildir. Zira kişilerin özel olarak gizli tutmaları gerekmeyecek bazı hususları da sırf “başkalarını ilgilendirmemesi” sebebiyle diğer insanlarla paylaşmama hakları vardır. Bu doğrultuda özel yaşamın gizliliğinin sadece kişinin menfaatlerine halel gelmesinden veya utanmaktan çekinmesi ile izah edilemeyecek daha kapsamlı bir kavram olduğu ileri sürülmektedir. Buna göre, özel yaşamın gizliliği toplumsal yaşamın doğasında olan farklı konumlardaki bireylerle, o konumun gerektirdiği şekilde ilişkilenme olgusunu olanaklı kılmaktadır. Dolayısıyla, “saklayacak bir şeyin yoksa korkacak bir şeyin de yoktur” gibi bir gerekçelendirme ile özel yaşama müdahale edilmesi savunulamaz[22].

1. Kişisel ve Hassas Kişisel Verinin İşlenmesi

Kişisel verilerin korunmasından bahsedebilmek için, öncelikle yukarıda tanımı verilen kişisel verilerin bir takım işlemlere tabi tutulması ve kullanılabilir, belli bir kişiyi tanımlayabilir hale gelmesi gerekmektedir. Dolayısıyla kişisel verilerin işlenmesinin ne olduğunun da tanımlanması gerekir. Yukarıda andığımız sözleşmelerde ve düzenlemelerde kişisel verilerin işlenmesi de tanımlanmıştır[23].

Avrupa Konseyi’nin 108 nolu Sözleşmesi’nde kişisel verilerin işlenmesi şu şekilde tanımlanmaktadır: “Otomatik işleme, bir bütün veya parçalar halinde otomatik araçlarla gerçekleştirilmesi halinde aşağıdaki işlemleri içerir; verileri saklama, bu veriler üzerinde mantıksal ve/veya aritmetik işlemlerin gerçekleştirilmesi, verilerin değiştirilmesi, silinmesi, verilerin saklama yerlerinden geri alınarak/kurtarılarak yeniden kullanılması veya yayınlanması.”

Kişisel verilerin işlenmesi Veri Koruma Yönergesi’nin 2. maddesinde, “silme veya tahrip etme, engelleme, birleştirme veya sıralama, sağlama ya da dağıtma, iletmeyle açıklama, toplama, kaydetme, organizasyon, depolama, adaptasyon veya değiştirme, kurtarma, danışma gibi otomatik ya da otomatik olmayan araçlarla kişisel veriler üzerinde yapılan herhangi bir faaliyet veya faaliyet dizisi” şekline tanımlanmıştır.

Kişisel Verilerin Korunması Kanun Tasarısı’nın 3. maddesinde kişisel verilerin işlenmesi “Kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, silinmesi, yok edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi veya üçüncü kişilere aktarılması gibi veriler üzerinde gerçekleştirilen her türlü işlemi” şeklinde tanımlanmıştır.

Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmeliğin 3. maddesinde ise kişisel bilgilerin işlenmesi, “otomatik olsun olmasın, toplama, kaydetme, hazırlama, yükleme, uyarlama, değiştirme, geri çağırma, danışma, kullanma, aktarma yoluyla açığa vurma, yayma ya da bunların dışında erişilebilir hale getirme, düzenleme, birleştirme, engelleme, silme gibi yollardan, kişisel bilgiler üzerinden yürütülmekte olan herhangi bir işlem ya da işlemler bütünü” olarak tanımlanmıştır.

Kişisel verilerin toplanması, elde edilmesi, kaydedilmesi, organize edilmesi, saklanması, değiştirilmesi, uyarlanması, birleştirilmesi, düzenlenmesi, okunması, sorulması, kullanılması, açıklanması, erişilebilir hale getirilmesi, transfer yoluyla başkalarına verilmesi, yayılması ya da hazır bulundurulması için yapılan işlemlerin yanı sıra verilerin kombinasyonu ya da ilişkilendirilmesi ve hatta bloke edilmesi, silinmesi ya da yok edilmesi suretiyle gerçekleştirilen her türlü işlem ya da işlemler bütünü kişisel verilerin işlenmesi tanımı kapsamında değerlendirilebilir. İşleme, otomatik ya da otomatik olmayan prosedür yoluyla geçekleştirilen kişisel verilerle ilintili olabilecek her türlü süreci içerebilir. Otomatik işlemeden kasıt, verilerin otomasyon sistemlerinin kullanıldığı yöntemlerle, örneğin bilgisayar eliyle işlenmesidir. Bu sayede verilerin toplanmasından başlayarak geçtiği tüm aşamaları kapsayan bütün işlem türleri koruma altına alınmaktadır.

Tanımdan da anlaşıldığı üzere, verilerin işlenmesi otomatik bir prosedüre bağlı değildir. Örneğin; sorumlunun kişisel verileri ister yazılı belge üzerinden ister bilgisayar monitörü üzerinden okuması işlem tanımı içinde yer alır. Kişinin kendisi için tuttuğu özel kayıtlar ise kişisel verilerin işlenmesi olarak nitelendirilemeyecektir. Örneğin kişinin bilgisayarında tuttuğu adres defterleri vb. kişisel ya da ailevi nitelikteki ilişkiler sonucu tutulan kayıtlar bu kapsamda ele alınmayacaktır. Tabii ki bu bilgiler mesleki ve ticari faaliyetler dâhilinde işlenen kişisel verilerden ayrı olarak değerlendirilmeli ve bu tür verilerin belirsiz sayıda kişinin erişimine açık tutulması hali de hariç tutularak kişisel veri olarak düşünülmelidir.

1. Hassas Verilerin ve Bunun Bir Türü Olan Sağlık Verilerinin İşlenmesinde Kural ve İstisnaları

Anonim veriler üzerinde işlem yapılması kişisel verilerin işlenmesi olarak kabul edilmemektedir. Zira verinin sahibi ile veri arasındaki illiyet bağı kopmuş olduğundan, bu tür veriler üzerinde yapılan herhangi bir işlem kişi hak ve hürriyetlerinin ihlali sonucunu da doğurmayacaktır[24].

Önceden de bahsettiğimiz üzere, hassas verilerin işlenmesi kural olarak yasaktır. Dolayısıyla hassas veriler ancak istisnai durumlarda işlenebilir. Bu durumda veri koruma hukukunda geçerli olan hassaslık ilkesi, hassas verilerin işlenmesinin “sıradan” olarak nitelendirebileceğimiz kişisel verilerin işlenmesinden daha katı denetime tabi tutulması anlamına gelmektedir. Veri koruma hukukunda “minimumluk ilkesi” şeklinde adlandırılan bir ilke geçerlidir. Bu ilke hassas verilerin işlenmesinde dikkate alınması gereken bir sınırlama sebebidir. Çünkü minimumluk ilkesi, toplanan kişisel veri miktarının, verilerin toplanması ve daha sonra işlenmesi amaçlarını başarmak için zorunlu olan miktarla sınırlı kılınmasını gerekli kılar[25].

Makalemizin konusu olan sağlık verileri de açıklandığı üzere hassas veri olarak değerlendirilmektedir. Yukarıda da belirttiğimiz üzere uluslararası düzenlemelerle hassas verilerin kural olarak işlenmesinin yasak olduğu ve ancak bazı istisnalar halinde işlenebilecekleri düzenlenmektedir. Dolayısıyla bakış açımız bu düzenlemelere uyumlu olmak durumundadır.

Sağlık verileri, 108 sayılı Sözleşme ve Veri Koruma Yönergesinde “tıbbi veri” olarak nitelendirilmiş ve hassas veri olarak kabul edilen tıbbi verilerin ancak üye devletlerin iç hukukunda gerekli güvenceleri sağlamaları koşuluyla işlenebileceği düzenlenmiştir. Avrupa Konseyi Bakanlar Komitesi’nin 1997 yılında yayınlamış olduğu Tıbbi Verilerin Korunmasına İlişkin Tavsiye Kararı’nda, “tıbbi veri”nin, bireyin sağlığıyla ilgili olan bütün kişisel verileri ve genetik verilerle açık ve yakın bağlantısı olan verileri de ifade ettiği belirtilmiştir. Avrupa Konseyi’nin tıbbi veriler açısından koruma sağlayan diğer bir düzenlemesi de “Biyoloji ve Tıbbın Uygulanması Bakımından İnsan Hakları ve İnsan Hassasiyetinin Korunması Sözleşmesi”nin 10. maddesinde yer almaktadır. Maddeye göre, herkes, kendi sağlığıyla ilgili bilgiler bakımından, özel yaşamına saygı gösterilmesini isteme hakkına sahiptir. Herkes, kendi sağlığı hakkında toplanmış herhangi bir bilgiyi öğrenme hakkına sahiptir. Ancak, bireylerin bilgilendirilmeme istekleri de dikkate alınacaktır. Kendi geleceğini “ümitsiz” gördüğü bir vakada kişinin genetik veriler de dâhil olmak üzere bilgilenme hakkını kullanmamak hususunda irade beyanında bulunması mümkündür[26].

Veri Koruma Yönergesi’nde hassas verilerin işlenmesinin istisnaları olarak ise şunlara yer verilmiştir:

• Veri sahibinin açık muvafakati. Açık muvafakat, iradenin gönüllü, özgür, iradi ve bilinçli bir şekilde açıklanması ile ortaya çıkabilir. Bu durumda açık muvafakat için veri sahibinin işleme hakkında yeterli ölçüde bilgilendirilmesi gerekmektedir[27].
• İstihdam alanında, denetleyicinin yükümlülüklerini ve özel haklarını yerine getirme amacı için gerekli olması halinde verilerin işlenebileceği düzenlenmiştir. Burada önemli olan ulusal hukuk tarafından yeterli güvencelerin sağlanmış olması ve ulusal hukukun yetki vermesidir. Dolayısıyla söz konusu istisnanın uygulanması için ulusal mevzuatın veri işleme konusunda işverenler üzerine açık bir yükümlülük getirmesi halinde uygulanabilir[28]. Örneğin, İngiltere’de mevzuat uyarınca özürlü ayrımcılığının önlenmesi için işverenlerin istihdam ettiği özürlü çalışanları, cinsel ayrımcılığın önlenmesi için “gay” ve “lezbiyen” çalışanların bilgilerini kaydetme yükümlülüğü bulunmaktadır[29].
• Veri sahibinin fiziksel veya yasal olarak rızasını vermeyeceği durumlarda veri sahibinin veya bir kişinin hayati çıkarını korumak maksadıyla hassas verilerin işlenmesi mümkündür. Fiziksel nedenlere bir trafik kazası neticesinde bilinci kapalı bir kişiye kan nakli yapılmasına gerek duyulan durumlar; yasal nedenlere ise bir küçüğün veya akli melekeleri yerinde olmayan bir kişi örnek gösterilebilir. Aynı şekilde bulaşıcı ve ölümcül bir hastalık taşıyan kişinin sağlık bilgisi topluma tehdit oluşturacağından veri sahibinin açık rızası olmaksızın kişinin verileri işlenebilir[30].
• Hassas veriler, uygun güvencelerle, siyasi, felsefi, dini veya sendikal amaç taşıyan bir vakfın, derneğin ve benzeri diğer kar amacı gütmeyen kuruluşların meşru faaliyetleri sırasında işlenebilir. Ancak bu durumda veri işlemenin sadece bu kuruluşlarla düzenli irtibat halinde olan kişiler hakkında olması ve verilerin, veri sahiplerinin muvafakati olmaksızın üçüncü kişilere açıklanmaması şartı aranır. Yönerge’de bu kuruluşların hassas veri işlemelerinde kilit noktanın “kamu yararı” olduğu belirtilmiştir[31].
• Veri sahibi tarafından açık şekilde kamuya açıklanan hassas veriler işlenebilir. Buna, bir veri sahibinin televizyon programında HIV virüsü taşıyıcısı olduğu olduğunu söylemesi örnek gösterilebilir. Bu istisna açısından “açık şekilde” ve “kamuya açıklama” ifadelerinin ne anlama geldiğinin tespiti önemlidir. Zira bir kişinin arkadaş ortamında bir hastalığı olduğunu söylemesi ile yanındaki kişilere sinirlerine hâkim olamayarak hassas verilerini söylemesi aynı şekilde değerlendirilemeyebilir. Bu nedenle bu konuda her somut olayın ayrı değerlendirilmesi gerekmektedir.
• Hassas veriler, hukuki iddiaları tesis etme, uygulama ve savunma için gerekliyse işlenebilir. Avukatların müvekkillerinin talimatlarını yerine getirirken gerçekleştirdiği birçok faaliyet bu kapsamda değerlendirilebilir[32].
• Sağlık hizmetlerinin yönetimi veya bakım veya tedavinin sağlanması, tıbbi teşhis, önleyici tıp amaçları için veri işlemenin zorunlu olması halinde hassas veriler işlenebilir. Ancak bu durumda mesleki gizlilik yükümlülüğü için ulusal yetkili kuruluşlar tarafından veya eşdeğer gizlilik yükümlülüğüne tabi diğer bir kişi tarafından saptanan ulusal kanun kapsamında sağlık görevlileri tarafından bu verilerin işlenmesi mümkündür.
• Suçlar, mahkûmiyetler ve güvenlik tedbirlerine ilişkin veriler ancak resmi bir makam tarafından işlenebilir. Yönerge, belirli güvenceler dâhilinde üye devletlerin bu kurala istisna getirmelerini mümkün kılmıştır. Örneğin, mahkûmiyetler hakkındaki bilgilerin banka ve sigorta şirketleri gibi potansiyel sahtekârlıkları ortaya çıkarma amaçlı kurumlar tarafından işlenebilir[33].
• Yönerge’de ulusal kimlik numarası ile diğer tanıtıcı işaretlerin işlenme şartlarını belirleme konusunda üye ülkelere yetki vermiştir[34].

1. Avrupa İnsan Hakları Mahkemesi Kararları Çerçevesinde Tıbbi Verilerin Açıklanması

Kişilerin sağlık bilgileri, gelişen teknolojiyle birlikte hekimlerin kişisel notlarından çıkarak elektronik ortamlarda saklanmaya başlanmıştır. Pek çok sağlık kuruluşunda hastaların randevuları, sağlık geçmişine ilişkin bilgiler, tahlil sonuçları, kendilerine konulan tanılar, tedavileri ve bunların süreleri dijital ortamda yer almaktadır[35]. Hastaların geçmişteki tanı ve tedavilerine hekimlerin ulaşabilmesi yeni tanıların doğru bir şekilde konulmasını, müdahalenin daha çabuk ve daha az riskli gerçekleştirilmesini sağlayabilir. Sağlık alanında yapılan araştırmalarda da hasta bilgilerinin ulaşılabilir olması önemli yarar sağlar. Ancak diğer yandan kişinin sağlık durumuna ilişkin bilgiler bir hayli kişiseldir. Bu tür hassas veriler için konuya ilişkin hukuksal metinlerde yüksek düzeyde koruma öngörülmektedir. Kişiler bu tür verilerinin gizli tutulmasını isteyebilirler. Zira bu bilgiler dolayısıyla kişiler tehdide maruz kalabilirler, sevdikleri tarafından terk edilebilirler, işlerinden kovulabilirler, sosyal ayrımcılığa uğrayabilirler, sigorta hizmetine erişimde sorun yaşayabilirler. Böyle bir korku yaşayan kişi yalnızca özel yaşamın gizliliğinin ihlal edilmesi tehdidiyle karşı karşıya kalmaz; bununla birlikte korkan kişinin, sağlık hizmeti almaktan kaçınması halinde, beden bütünlüğüne ve yaşamına yönelen bir tehlike de söz konusu olur[36].

Avrupa İnsan Hakları Mahkemesi de tıbbi verilerin korunmasına önem vermiştir. Mahkeme’nin önemli kararlarından biri, Z v. Finlandiya kararıdır. Davaya konu olan olayda başvurucu, HIV virüsü taşımaktadır. Başvurucunun boşandığı eşine karşı hem tecavüz suçundan hem de kasıtlı olarak HIV virüsü bulaştırmak suçundan dava açılmıştır. Bu davada, delil olarak kullanmak amacıyla, başvurucunun sağlık durumuna ilişkin doktorlarından bilgi istenmiştir. Başvurucu, tıbbî bilgilerin bir ceza davası kapsamında açıklanmasından dolayı 8. madde kapsamında özel hayatına saygı gösterilmesi hakkının ihlal edildiği gerekçesiyle şikâyetçi olmuştur. Mahkeme, bir kişinin HIV virüsü taşıdığına ilişkin verilerin gizliliğinin korunmasının özellikle önem taşıdığını, bu tür bir verinin açıklanması onun özel ve aile yaşamını, iş ve sosyal ilişkilerini ciddi bir şekilde etkileyebileceğini[37], ancak aynı zamanda, suçların soruşturulması ve cezalandırılması ile yargılamanın açık olmasının sağlayacağı yararın, bir hastanın ve toplumun tıbbi verilerin korunmasından sağlayacağı yarardan daha fazla olacağını kabul ederek tıbbî kayıtlarının ifşasının, 8. maddenin 2. fıkrası anlamında Sözleşmeye aykırı olmadığına karar vermiştir.

Mahkeme’nin bu konudaki bir diğer önemli kararı, M.S. v İsveç kararıdır. Başvurucu işyerinde geçirdiği biz kaza neticesinde sırtı yaralanmış ve sonrasında ciddi bel ağrıları oluştuğu gerekçesiyle şirkete tazminat davası açmıştır. Sosyal Sigortalar Kurumu başvurucunun tedavi olduğu klinikten başvurucunun tıbbi kayıtlarını istemiştir. Kliniğin göndermiş olduğu raporda, başvurucunun bel ağrılarının kazadan önce geçirmiş olduğu bir rahatsızlıktan kaynaklandığı ve bu nedenle kürtaj olmak zorunda olduğu açıklanmıştır[38]. Başvurucu kürtaj hakkında bilgi içeren tıbbi kayıtların Sosyal Güvenlik Kurumuna iletilmesinin tıbbi verilerin gizliliğine yönelik bir müdahale oluşturduğunu ileri sürmüştür. Mahkeme, iş kazası yüzünden tazminat ödenmesinin koşullarının olup olmadığının anlaşılması için tıbbi kayıtların gönderildiğini, rahatsızlığın iş kazasından kaynaklandığının tespiti halinde kamusal kaynaklar kullanılarak tazminat ödeneceğini, bu konuda ekonomik refahın korunmasının gözetilmesi gerektiğini belirterek söz konusu müdahalenin yasaya uygun olduğunu ve meşru bir amacın olduğu yönünde karar vermiştir.

Mahkeme, I v. Finlandiya kararında, tıbbi verilerin gizliliği konusunu ele almıştır. Başvurucu bir devlet hastanesinde hemşire olarak görev yapmaktadır. Aynı hastanede yaptığı tetkiklerde HIV pozitif olduğu ortaya çıkmıştır. Başvurucu, hastalığına ilişkin tıbbi bilgilerin yer aldığı kayıtlara, ilgili bölümde çalışan personel dışında hastane dışında çalışan personelin de rahatlıkla ulaşabileceğinden şikâyetçi olmuştur. Şikâyet üzerine hastane gerekli önlemleri almış ve hastanın sahte isim ve sosyal güvenlik numarasıyla kaydı yapılmış ayrıca tedaviyi yapan personel dışında diğer personelin bu kayıtlara ulaşması yasaklanmıştır. Mahkeme, söz konusu hastanenin devlet hastanesi olması nedeniyle fiillerinden devletin sorumlu olduğunu ve tıbbi kayıtların gizliliğinin hastane personeline karşı korunmasında gerekli önlemlerin yapılan şikâyet üzerine gerçekleştirilmesinden dolayı bu önlemlerin alınmasında başvurucu açsısından geç kalındığı belirtilerek, başvurucunun özel yaşam hakkına saygının güvence altına alınabilmesi için Sözleşme’nin 8. maddesinin yüklemiş olduğu pozitif yükümlülüğü devletin yerine getirmediği yönünde karar vermiştir[39].

8. ve Marper v. Birleşik Krallık kararında, başvuruculardan S, 19 Ocak 2001 tarihinde (henüz 11 yaşındayken) hırsızlığa teşebbüs suçundan yakalanmış ve yürütülecek olan ceza davası için parmak izleri ve DNA örnekleri alınmıştır. Daha sonrasında S, ceza davasından beraat etmiştir. Marper ise, 13 Mart 2001 tarihinde partnerine tecavüz suçundan yakalanmış, parmak izi ile DNA örnekleri alınmış ve yargılama sonucunda Marper’ın partneri ile uzlaşması neticesinde dava düşmüştür. Başvurucular yakalandıkları dönemde kendilerinden alınan parmak izi, hücre örnekleri ve DNA profillerinin devletin veri tabanında bulunmasının Sözleşme’nin 8. maddesine aykırı olduğunu ileri sürerek şikâyetçi olmuşlardır. Mahkeme, kişinin sağlığı ile ilgili bilgiler barındırmakla birlikte, DNA profillerinin çok hassas bilgiler içerdiğini belirterek kişinin özel hayatına saygı hakkının ihlal edildiği yönünde karar vermiştir[40].

Görüldüğü üzere, Mahkeme kararlarında, “gereklilik” ve “orantılılık” ölçüsünü ön plana çıkmaktadır[41]. Dolayısıyla ilk olarak verilerin açıklanmasının gerekli olup olmadığı ve 108 sayılı Sözleşme’nin 8. maddesinin 2. fıkrasında belirtilen istisna hallerine girip girmediği değerlendirilip, son olarak açıklanacak verilerin yalnızca ihtiyaç kadarının açıklanması gerektiği başka bir deyişle, minimumluk ilkesi çerçevesinde değerlendirilmektedir.

1. Sır Saklama Yükümlülüğü ile Hasta Mahremiyeti ve Korunması İlişkisi

Sağlık hukukunda kişisel verilerin korunması, özellikle hasta mahremiyeti ve hekimin sır saklama yükümlülüğü bağlamında önem kazanmaktadır. Hassas kişisel veri olan kişilerin sağlık bilgilerinin istisnai durumlar haricinde kimseyle paylaşılmaması, saklanması ve işlenmemesi söz konusu olduğunda, bu konuya sıkı sıkıya bağlı olan hekimin sır saklama yükümlülüğü hususu da akla gelmektedir. Sır saklama yükümlülüğü, sağlık çalışanının sadakat yükümlülüğünden kaynaklanan bir alt yükümlülüktür. Bilindiği gibi, hastanın bilgilerini saklama yükümlülüğü çerçevesinde sır, gizli tutulmasında hastanın menfaati bulunan her şeyi içermektedir. Sır kavramından anlaşılması gereken, hekim bakımından sadece belirli ve sınırlandırılabilir kişi grubu tarafından bilinen ve bunun açıklanmamasında hasta bakımından anlaşılabilir, dolayısıyla korunmaya layık bir yarar bulunan durumdur.

Sır saklama yükümlülüğü, temel olarak hekimin hastanın sağlık durumu ya da onun hakkında edindiği kişisel bilgileri üçüncü kişilere aktarmamasıdır. Hekimin sır tutması meslek ahlakının çekirdeği olması ve 1982 tarihli Anayasanın 20. maddesiyle düzenlemesiyle anayasal koruma altında bulunması dolayısıyla “sır” kavramı geniş yorumlanmalıdır. Bu kavram sadece hastalığın türü, gelişimi, teşhis, tedavi tedbirleri, prognoz, psikolojik bozukluklar, maddi ve ruhsal bozukluklar veya özel durumlar, hasta dosyası, röntgen sonuçları, muayene materyali, muayene sonuçlarını değil, ayrıca bütün kişisel, ailevi, mesleki, ekonomik ve mali durumları da kapsamaktadır[42].

Hasta tedavi süreci içerisinde gerek hekime gerekse sağlık kurumuna kendisiyle ilgili pek çok bilgi vermek durumunda kalmaktadır. Ayrıca yine aynı bağlamda yapılan operasyon ve tetkikler aracılığıyla elde edilen veriler de hekimin ve kurumun kontrolüne geçmektedir. Hekimin hastasına ilişkin bilgileri gizli tutması, mesleki değer ve etik bir görevi olarak kabul edilmesine rağmen, gelişen teknoloji ve tıbbın etkisiyle “sır saklama” yerine getirilmesi zor bir yükümlülük haline gelmiştir. Günümüzde artık hastalara ait tıbbi kayıtlar sadece hekimlerin elinde değildir. Sağlık hizmetlerinin sağlık kuruluşlarında sağlık ekibiyle verilmeye başlanması, hastalara ait kayıtlarının bilgisayar ortamına yüklenmesini gerekli kılmıştır[43]. Tıpta gizliliği korumanın en önemli yöntemi hasta mahremiyeti ve gizliliğini bir hasta hakkı olarak benimseyen sağlık çalışanlarının varlığıdır. Her düzeydeki sağlık çalışanı bu konuda yükümlülük taşımaktadır[44]. Hastayla ilgili tıbbi kayıtları ancak doğrudan ilgili kişiler görebilir; diğer sağlık personel dâhil başka birisinin görmesi bu bilgilere ulaşması mümkün olmamalıdır. Nitekim Hasta Hakları Yönetmeliği’nin 16. maddesi bu şekilde düzenlenmiştir: “Hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları, doğrudan veya vekili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir.”

Hekimin sır saklama yükümlülüğü hususunda karşılaştırmalı hukukta uzlaşma sağlanmıştır. Hukukumuzda da Tıbbi Deontoloji Nizamnamesi’nin 4. maddesi şu şekildedir:

“Tabip ve diş tabibi, meslek ve sanatının icrası vesilesiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça, ifşa edemez. Tıbbi toplantılarda takdim edilen veya yayınlarda bahis konusu olan vakalarda, hastanın hüviyeti açıklanamaz.”

Hasta Hakları Yönetmeliği’nin 21. maddesi ise şu şekildir:

“Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın mahremiyetine saygı gösterilmek suretiyle icra edilir. Mahremiyete saygı gösterilmesi ve bunu istemek hakkı; a) Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini, b) Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini, c) Tıbben sakınca olmayan hallerde yanında bir yakınının bulunmasına izin verilmesini, d) Tedavisi ile doğrudan ilgili olmayan kimselerin, tıbbi müdahale sırasında bulunmamasını, e) Hastalığın mahiyeti gerektirmedikçe hastanın şahsi ve ailevi hayatına müdahale edilmemesini, f) Sağlık harcamalarının kaynağının gizli tutulmasını, kapsar. Ölüm olayı, mahremiyetin bozulması hakkını vermez. Eğitim verilen sağlık kurum ve kuruluşlarında, hastanın tedavisi ile doğrudan ilgili olmayanların tıbbi müdahale sırasında bulunması gerekli ise; önceden veya tedavi sırasında bunun için hastanın ayrıca rızası alınır.”

Türk Tabipleri Birliği Hekimlik Meslek Etiği Kuralları’nın 9. maddesi şöyledir:

“Hekim, hastasından mesleğini uygularken öğrendiği sırları açıklayamaz. Hastanın ölmesi ya da o hekimle ilişkisinin sona ermesi, hekimin bu yükümlülüğünü ortadan kaldırmaz. Hastanın onam vermesi ya da sırrın saklanmasının hasta ya da öteki insanların yaşamını tehlikeye sokması durumunda, hastanın kişilik haklarının zedelenmemesi koşuluyla, hekim bu sırrı saklamakla yükümlü değildir. Yasal zorunluluk durumlarında hekimin rapor düzenlemesi de, meslek sırrının açıklanması anlamına gelmez. Hekim, tanık ya da bilirkişi olarak mahkemeye çağrıldığında olayın meslek sırrı olduğunu ileri sürerek bu görevlerinden çekilebilir.” şeklinde, 31. maddesi, “Hasta dosyalarındaki bilgilerin geniş bir özeti ile bilgi ve belgelerin örnekleri, isteği durumunda hastaya verilir. Hekim, yasal zorunluluk olmadıkça, bu bilgileri başkasına veremez. Hekim, hastanın kimlik bilgilerini saklı tutmak koşuluyla, bu bilgileri dosya üzerinden yapacağı araştırmalarda kullanabilir.”

Söz konusu kurallar, mevzuatımızda sağlık mesleği mensuplarının sır saklama yükümlülüğünü genel olarak düzenlemektedir[45].

Hekimlerin meslek kurallarında yer alan sır tutma yükümlülüğü TCK’nın 136. maddesinde düzenlenen “kişisel verilerin açıklanması suçunu” oluşturabilir. Ancak bu suçun oluşmadığı hallerde dahi meslek kurallarına aykırılık bir disiplin suçu oluşturabilir ve tazminat sorumluluğuna neden olabilir. Ayrıca hekimin sır saklama yükümlülüğü ancak onun hekim olması dolayısıyla açıklanmış olan bilgileri kapsar bunun dışında hekimin mesleği dışında özel bir birey olarak açıklanan sırlar bakımından saklama yükümlülüğü bulunmamaktadır; ancak yine de özel yaşama ilişkin kişisel verilere ilişkin düzenlemelere bakılmalıdır (örneğin TCK m.135 ve 136 gibi). Hekimin hastasıyla olan ilişkisi başka bir deyişle tedavi sürecinin sona ermesiyle birlikte hekimin sır tutma yükümlülüğü sona ermez. Bu yükümlülük sürmeye devam eder. Bunun bir sonucu olarak hastaya ait kayıt ve belgelerin başkalarına devri de mümkün değildir[46].

Yargıtay Hukuk Genel Kurulu’nun 4.4.2011 tarihli 2011/4-333 E., 2011/335 K. sayılı kararında, devlet hastanesinde AIDS şüphesiyle test yaptırmak isteyen bir hastanın durumu hakkında hastane görevlileri tarafından basının hastaneye çağrıldığı, basının başhekimliğe geldiği, başhekimin bazı doktorları çağırarak basına bilgiler verdiği, basının hastanın odasına kadar çıkıp fotoğraflarını çekmesi ve ertesi gün sonuçlanan testlerden böyle bir hastalığı bulunmadığı anlaşılmasının bildirilmesine rağmen hastanın isim ve resimlerinin belirtilerek hastanın AİDS olduğuna ait haberlerin yayınlanması sebebiyle hastanın Sağlık Bakanlığı aleyhine açmış olduğu maddi manevi tazminat davasını kazanması üzerine, ödenen tazminatın hastanenin başhekimine rücuen açılan tazminat talebine ilişkindir. Kararda, “Davalı başhekimin basın elemanlarına henüz AİDS teşhisinin doğrulanmadığını bildirmiş olması, ertesi tarih sonuçlanan testlerden böyle bir hastalığı bulunmadığı anlaşılan hastanın isim ve resimlerinin belirtilerek AİDS olduğu yönündeki haberler, basında yer alan davalı resimleri ve belirtilen inceleme raporundaki olgular itibariyle davalının, kimliği gizli tutulması gereken bir hastalık şüphesi taşıyan hastanın basına afişe edilmesiyle sonuçlanan bu süreçte kusurlu davrandığını göstermektedir. Basın elemanlarının kendilerine verilen bilgilerden fazlasını yazmış olmaları davalının bu sorumluluğunu ortadan kaldırmaz” şeklinde saptamada bulunulmuştur[47].

Hekimin hâkime veya savcıya karşı sır saklama yükümlülüğü bulunmadığı, hatta hâkim veya savcı tarafından istenen belgeler gönderilmek zorunda olduğu da belirtilmelidir. Bunun gibi hukuka uygunluk nedenlerinin bulunması halinde hekimin sır saklama yükümlülüğü ortadan kalkar. Bunlar, hastanın rızası, zorunluluk hali, yetkili merciin emrinin veya kanun hükmünün yerine getirildiği haller olarak ifade edilebilir[48].

Hasta haklarının korunması insan onurunun esasıdır ve bu nedenle genel kişilik haklarına dâhildir. Bu itibarla kişisel verilerin başkasına verilmesinin yasaklanmasının arkasında yatan neden anayasal bir hak olan kişilik hakkının korunmasıdır. Hasta olup da hekime hastalığı ile ilgili bilgileri aktaran herkes, bu bilgilerin gizli kalacağı ve ilgisiz kişilere aktarılmayacağına güvenmelidir. Ancak bu suretle hasta ile hekim arasında bir güven ilişkisi oluşturulabilir[49]. Temel insan haklarından olan insanın özel yaşamına ve mahremiyetine saygı göstermek gerekir. Dünya Tabipler Birliği Helsinki Bildirgesi’nin 24. maddesi insanlar üzerinde tıbbi araştırma yürütülürken hastayla ilgili bilgilerinin gizliliğine saygı gösterilmesi gerektiği “Araştırmalarda kullanılan kişilerin özel yaşamını ve kişisel bilgilerinin gizliliğini korumak için her tür önlem alınmalıdır.” şeklinde ifade edilmiştir[50].

Hasta Haklarına İlişkin Avrupa Statüsü’nün 6. maddesi uyarınca:

“Her birey kişisel bilgilerinin, sağlık durumu, yapılan teşhis ve tedavi konularında bilginin yanı sıra teşhis ve tedavi yapılırken veya özel ziyaretlerinin gizliliğinin muhafazası hususunda gizli tutulmasını talep etme hakkına sahiptir. Bir bireyin sağlık durumuna veya ona uygulanan tıbbi/cerrahi tedaviye ilişkin bilgi ve veriler gizli olmalı ve öyle muhafaza edilmelidir. Tıbbi/cerrahi müdahale sırasında bile kişisel gizliliğe saygı gösterilmeli, yani uygun ortamda yapılmalı ve gerçekten orada bulunması gerekli olan kişiler (hastanın onayı veya özel bir talebi olması durumları hariç) nezdinde yapılmalıdır.”

Amsterdam Bildirgesi m.4.1 gereğince:

“Hastanın sağlık durumu, tanısı, prognozu, tedavisi hakkındaki ve kişiye özel diğer tüm bilgiler ölümden sonra bile gizli olarak korunmalıdır” ve m.4.6’ya göre, “Hastanın tanı, tedavi ve bakım için gerekli olmadıkça ve ek olarak hasta izin vermedikçe, hastanın özel ve aile hayatına girilemez.”

1981 tarihli Lizbon Bildirgesi m.4 uyarınca:

“Hasta, hekimden, tüm tıbbi ve özel hayatına ilişkin bilgilerin gizliliğine saygı duyulmasını bekleme hakkına sahiptir”.

Aynı bildirge m.8-a gereğince:

“Sadece hastanın çocukları ve torunları, sağlıklarını tehdit eden riskleri öğrenmek için bu bilgileri alabilirler.“”

AB’de AB Sağlık Hukuku adı altında ayrı bir dal olmadığı gibi başlı başına sağlık verilerinin gizliliğini düzenleyen herhangi bir direktif de bulunmamaktadır. Bununla birlikte, AB hukukunun bazı genel hükümleri, sağlık alanında kişisel verilerin korunması üzerinde pek çok sonuç doğurmaktadır. Bu doğrultuda özellikle üye devletlerin bu alandaki düzenlemelerinin birbirleriyle uyumlaştırılması bakımından Verilerin Koruması Yönergesi (95/46/EC) ön plana çıkmaktadır. Ayrıca önceden de belirttiğimiz üzere, mahremiyete ilişkin haklar AB’nin Temel Haklar ve Özgürlükler Şartı’nda da yer almaktadır[51].

Sağlık bilgilerinin gizliliğinin önemi, bu konuda öğretide daha yakın tarihte başlayan tartışmaların çok öncesinde sağlık mesleğinin etik kodlarında sağlık hizmeti bağlamındaki gizlilik esasının bir sonucu olarak vurgulanmıştır. “Sağlık bilgilerinin mahremiyeti” (health informational privacy) ve “gizlilik” (confidentiality) birbiriyle ilintili kavramlar olmakla birlikte, yine de bunları birbirinden ayıran bazı niteliklerin bulunduğunun unutulmaması gerekir[52]. Bu çerçevede sağlık bilgilerinin mahremiyeti “Bir bireyin kişisel sağlık bilgilerinin toplandığı, kullanıldığı, depolandığı ve aktarıldığı haller üzerindeki denetim yetkisi”, gizliliği ise “Hekim – hasta ilişkisi gibi tipik olarak yakın bir ilişki içerisinde olan iki birey arasındaki güvenin korunmasına odaklanan, sağlık bilgilerinin mahremiyetinin bir görünümü” olarak tanımlamaktadır[53]. Her iki kavram arasında belirli farklar bulunsa da bilgi mahremiyetini gizliliğin yerini alan değil, onu tamamlayan bir kavram olarak değerlendirmek daha yerinde olur[54].

Hekim – hasta ilişkisindeki gizlilik, iki temel sebebe dayanmaktadır. Bunlardan ilki, hastanın, özellikle toplumca bilinmesini istemediği HIV / AIDS gibi bir rahatsızlıktan muzdarip ise, gizlilik temin edilmedikçe tedavi için başvurmaya yanaşmayacak olması gibi daha uygulamaya dönük bir endişedir. İkinci olarak sağlıktaki mesleki gizlilik, mahremiyet hakkı dâhil olmak üzere birtakım deontolojik gerekçelerle temellendirilmektedir. Böylesi etik ilkelerin ihlali, AB ülkeleri genelinde hem mesleki disiplin yaptırımları hem de medeni ve adli davalarla sonuçlanmaktadır. Söz gelimi Hollanda’da tıbbi gizliliğin ihlali ceza kanununda suç olarak, medeni hukuk bakımından ise 1995 tarihli Tıbbi Tedavi Sözleşmeleri Yasası’nın 457. maddesinde düzenlenmiştir. Birleşik Krallık’ta ise hekim – hasta arasındaki gizliliğin ihlali, ortak hukuk bakımından güvenin ihlali (breach of confidence), hastanın gizliliğinin korunmasıysa hastanın mahremiyet hakkının doğal bir parçası olarak kabul görmektedir[55].

Böylelikle, AB’de sağlık bilgilerinin mahremiyeti açıkça koruma görürken, gizliliği ilgilendiren ulusal yasaların uygulanması yoluyla sağlık bilgilerine örtülü koruma da sağlanmaktadır. Bununla birlikte, mahremiyet ve gizliliğe yönelik evrensel düzeyde kabul gören bir ihtiyaç bulunsa da uygulamada bu pek çok sınırlamaya tabidir. Söz gelimi sağlık personelinin etik kuralları, “kamu yararı”, bir ceza soruşturmasından kaynaklanan ihtiyaçlar, bunun hastanın kendi iyiliğine olduğunun varsayılması gibi pek çok durumda gizliliğin ihlaline cevaz vermektedir. Kamu sağlığı, belirli hastalıklar söz konusu olduğunda bilgi verilmesi bakımından pek çok ülkede geçerli bir sebep olarak öne sürülmektedir. Öte yandan, Yunanistan örneğindeki gibi kimi ülkelerde ise buna ek olarak bir suç işlendiği şüphesi halinde de kamu yetkililerini bilgilendirmeye yönelik yasal bir yükümlülük vardır[56].

VII.   Kişisel Verilerin Korunmasına Yönelik Türk Ceza Kanunu’nda Düzenlenen Suçlar

TCK’da kişisel verilerin hukuka aykırı olarak oluşturulması, kullanılması ya da açıklanması ve verilerin yok edilmemesi eylemleri ayrı maddeler halinde düzenlenmiştir. Böylelikle ülkemiz ceza hukuku düzeni açısından önemli bir boşluk giderilmeye çalışılmıştır. Kişisel verilerin korunmasına ilişkin suç tipleri 5237 sayılı TCK’nın özel hükümlerin yani suç tiplerinin düzenlendiği ikinci kitabının “kişilere karşı suçlar” başlıklı ikinci kısmının “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı dokuzuncu bölümünde yer almaktadır. TCK’nın 135. maddesinde “kişisel verilerin kaydedilmesi suçu”, 136. maddesinde “verileri hukuka aykırı olarak verme veya ele geçirme suçu”, 137. maddede bu suçların nitelikli halleri, 138. maddede “verilerin yok edilmemesi suçu” 140. maddede ise bu suçlara ilişkin olarak tüzel kişiler hakkında uygulanacak güvenlik tedbirleri düzenlenmiştir.

TCK’nın 135. maddesinde düzenlenen “kişisel verilerin kaydedilmesi suçu” ve 136. maddesinde “verileri hukuka aykırı olarak verme veya ele geçirme suçu” ile ortak hukuksal değerler korunmaktadır. Yasanın sistematiğinden anlaşılacağı üzere bu suç tipleriyle genel olarak kişilerin özel hayatı ve hayatın gizli alanı, özel olarak ise kişisel veriler korunmaktadır[57].

Günümüzde hastaneler, adli tıp kurumu, sendikalar vb. pek çok kurum tarafından kişilerin sağlık durumları, cinsel yaşamları, DNA örnekleri ya da siyasal düşünceleri gibi özellikle gizli kalmasını isteyeceği bilgiler veri halinde kaydedilmekte ve arşivlerde bulunmaktadır. İşte bu bilgilerin yasadan ya da kişinin verdiği izinden kaynaklanmayan bir şekilde hukuka aykırı olarak bilişim sistemine kaydedilmesi TCK m.135 ile suç haline getirilmektedir. Böylelikle ister bireyler olsun isterse de kurumlar olsun, kişiler hakkındaki bilgileri sanal ortamda ya da yazılı ortamda kayda girerken ya da arşivlerken daha dikkatli davranmak zorundadırlar[58].

Herkese değil de, ancak belirli ve sınırlı kişilere verilen ve gizli tutulmasında hastanın anlaşılır, makul bir nedenini ve dolayısıyla korunmaya layık bir yararının bulunduğu her türlü veri, tıp hukuku anlamında kişisel veri olarak kabul edilir. Hastanın özel yaşam ve gizli alanına ilişkin verileri kişisel veri olarak kabul etmek gerekir. Hekimin sır saklama yükümlülüğünün önemi karşısında kişisel veri kavramının geniş yorumlanması gerekir. Hastalığın türü, hastanın öyküsü, teşhis, tedavi, psikolojik belirtiler, bedeni eksiklikler ve özellikler, hasta dosyası, röntgen filmleri, muayene sonuçları ile kişisel, ailevi, mesleki, ekonomik durumuna ilişkin bütün veriler kişisel veri olarak değerlendirilmelidir. Hastanın adresi ve hastaneye geldiği hususu dahi sır saklama yükümlülüğü kapsamındadır. Hastanın resmi de kişisel veri kapsamındadır. Nitekim bir plastik cerrahın, hastanın operasyon öncesi ve sonrası fotoğraflarını izinsiz olarak yayınlaması hukuka aykırı bulunmuştur. Hekimin bilirkişi olarak edindiği bilgiler de bu kapsamdadır ve bu bilgilerin yetkisiz kişilere aktarılmaması gerekir. Hekimin kişisel verileri açıklamama yükümlülüğü, kendi ailesi açısından da geçerlidir. Önemle vurgulamak gerekir ki, hekimin özel hayatında elde ettiği bilgiler TCK m.135 ve 136’nın koruma alanı içinde değildir[59].

TCK’nın 137. maddesinde “nitelikli haller” başlığı altında özel hayata ve hayatın gizli alanına karşı suçlar bölümünde yer alan suçlar için failin sıfatından kaynaklanan cezayı artırıcı nitelikli haller öngörülmüştür. 137. maddenin “a” bendine göre 135. ve 136. maddelerde düzenlenen suçların bir kamu görevlisi tarafından ve görevinin verdiği yetkinin kötüye kullanılması suretiyle işlenmesi halinde failin cezası artırılarak verilecektir. TCK açısından kamu görevlisinin tanımı 6. maddenin “c” bendinde verilmiştir. Buna göre “kamu görevlisi deyiminden; kamusal faaliyetin yürütülmesine atama veya seçilme yoluyla ya da herhangi bir surette sürekli, süreli ya da geçici olarak katılan kişi” anlaşılacaktır. Bu bağlamda örneğin sağlık personeli açısından hemen bütün olaylarda bu nitelikli halin gerçekleşmesi söz konusu olabilecektir[60].

TCK’nın 138. maddesinde ise yasal süresi dolmasına rağmen kişisel verileri sistem içinden yok etmekle görevli olan kişilerin bu görevlerini yerine getirmemeleri durumu suç haline getirilmiştir[61]. Bu suç ile sistemde bulunana kişisel verilerin sürekli olarak bu sistemlerde bulunması ve böylelikle her an ulaşılabilirliğinin sağlanmasının önüne geçilerek, verileri sistemden çıkarmayanlara yani bu konudaki görevlerini ihmal edenlere yaptırım öngörülmektedir[62]. 138. maddeye 21.2.2014 tarih ve 6526 sayılı Yasa ile eklenen 2. fıkra ile “Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır” hükmü getirilerek suçun cezayı artırıcı nitelikli hali düzenlenmiştir.

İnsanlar doğaları gereği özgür varlıklardır. Bu nedenle sürekli olarak izlenen, haklarında bilgiler toplanan ve fişlenen bireyler olarak yaşamak istemezler. İnsanlarda sürekli izlendikleri duygusunun oluşturulması, içinde bulundukları siyasal sisteme karşı da bir güvensizlik ve nefret duygusu yaratabilir; dolayısıyla insanlar güven içinde ve özgür bir şekilde yaşamak isterler[63].

İşte yaşamlarının belli bir kesitinde hukuka uygun bir biçimde de olsa bazı kişisel bilgileri veri şeklinde çeşitli sistemlere girilen bireylerin bu kişisel bilgilerinin bir zaman sonra bu sistemlerden çıkartılması gerekir. Bu verilerin yok edilmesini bireyler istediği gibi devletler de istemelidir. Çünkü vatandaşları hakkında sürekli bilgi toplayan ve bunları kaydeden kısacası vatandaşlarını fişleyen bir devlet asla çoğulcu, özgürlükçü ve demokratik bir devlet olamaz ve vatandaşlarını da bu çağdaş ilkelere bağlı bir toplum haline getiremez. İşte TCK’nın 138. maddesindeki suç tipiyle bunun önüne geçilmek istenmektedir[64].

Kişisel verilerin açıklanması suçu bakımından ortaya çıkan sorunlardan biri de hekimin reşit olmayan çocuklara ilişkin bilgileri ebeveynden saklamak zorunda olup olmadığıdır. Bu sorunun önemi, ebeveynin çoğu kez çocukları ile ilgili olarak rıza verme hakkına sahip olmasından kaynaklanmaktadır. Ebeveynin terbiye amacı ve bundan kaynaklanan bilgilenme hakkı, çocuğun karar verme yeteneği arttıkça azalmak durumundadır. Bu sebeple çocuk kendisine çok yakın olanları dahi bilgilenme hakkına sahip olanlardan çıkarılabilir. Örneğin, tek başına bir kadın doğum uzmanına giden genç bir kız, henüz rıza verme hakkına sahip olmasa bile, kural olarak sır saklama yükümlülüğünden sınırsız olarak faydalanma hakkına sahiptir. Elbette somut olayın şartlarına göre karar vermek her zaman daha doğru olacaktır. Çocuğun saklama yararı üstün ise, ebeveynin bilgilenme hakkının bulunmadığını; ebeveynin bilgilenme yararı üstün ise, hekimin sır saklama yükümlülüğünün bulunmadığını kabul etmek gerekir[65].

Üzerinde durulması gereken bir diğer önemli konu da, hekimin bir başka hekime hastaya ilişkin verileri açıklamasının suç oluşturup oluşturmayacağıdır. Bu konuda kural olarak hekimin bir başka hekime hastanın kişisel bilgilerini vermesinin, sır saklama yükümlülüğünün ihlal niteliğinde olduğu söylenebilir. Kişisel verilerin bizzat sır saklama yükümlülüğü altında olan bir başka kimseye aktarılması da aynı şekilde suç oluşturur. Bununla beraber, günümüzde tıp bilimindeki gelişmeler, çoğu tıbbi müdahalenin bir ekip çalışması içinde ekipte yer alan sağlık personelinin hastaya ilişkin kişisel verileri bilmesi doğal bir sonuç olarak ortaya çıkmaktadır. Bu nedenle bilgi alma yetkisine sahip kişiler dairesine dâhil kimselere aktarılan bilgiler dolayısıyla kişisel verilerin aktarılması suçu oluşmaz. Konu daha çok “zımni rıza” çerçevesinde değerlendirilebilir. Bilgi alma yetkisine sahip kişiler dairesine dâhil olmayan diğer tüm sağlık personeline verilerin aktarılması, kişisel verilerin verilmesi suçunu oluşturur[66].

137. maddenin “b” bendine göre ise belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçun işlenmesi halinde faile cezası yine artırılarak verilecektir. Burada geçen “belli bir meslek ve sanat” kavramından bilişim sektörüyle ve bu sektörün teknik kısmıyla ilgili bir iş kolu anlaşılmalıdır. Aynı şekilde özel sektörde çalışan sağlık personelinin kamu görevlisi kabul edilmemesi halinde dahi (bize göre kurumun kamu ya da özel olduğuna bakılmaksızın kamu görevi yapmaktadırlar) bu bende göre suçun nitelikli hali kapsamına girmektedirler. Buna göre söz konusu nitelikli hallerden herhangi birisinin gerçekleşmesi halinde faile verilecek ceza yarı oranında artırılacaktır.

Burada değinilmesi ve eleştirilmesi gereken bir konu da 135. maddenin 2. fıkrasında suçun konusuna ilişkin olarak belirtilen “nitelikli (hassas) kişisel verilerin” düzenlenmesidir. Bu fıkrada “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” denilmektedir.

Meclis alt komisyonu tarafından kabul edilen ceza yasası tasarısında nitelikli (hassas) kişisel verilerin suçun konusunu oluşturması hali cezayı artırıcı nitelikli hal olarak öngörülmüştü. Ancak Adalet Komisyonu tarafından genel kurula gönderilen ve genel kurulda kabul edilerek yasalaşan metinde nitelikli kişisel verilerin suçun konusunu oluşturması cezayı artıran nitelikli hal olarak öngörülmemiştir. Bu durumda söz konusu verilerin ayrıca belirtilmesinin de yasa yapma tekniği açısından bir anlamı kalmamıştır. Oysaki alt komisyonda kabul edilen metinde olduğu gibi bu verilerin suçun konusunu oluşturması halinin cezayı artıran nitelikli hal olarak öngörülmesi daha yerinde bir düzenleme olacaktı[67].

135. maddenin 2. fıkrasının gerekçesinde özellikle suçla mücadele bağlamında kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kaydedilmesinin yasayla hukuka uygunluk nedeni olarak düzenlenebileceği ifade edilmektedir[68]. Buna göre kişilerin siyasi, felsefi veya dini görüşlerine ve ırki kökenlerine ilişkin bilgilerin kayda alınması her ne suretle olursa olsun bir hukuka uygunluk nedeni olarak kabul edilmeyecektir[69].

Bu bağlamda belirtmeliyiz ki; hekimler, diş hekimleri, eczacılar, ebeler ve bunların yardımcıları ile diğer tüm tıp meslek veya sanatları mensuplarının, bu sıfatları dolayısıyla hastaları ve bunların yakınları hakkında öğrendikleri bilgiler dolayısıyla CMK’nın 46/1-b maddesi gereğince tanıklıktan çekinme hakları bulunmaktadır. Ancak çekinme sebebi olmasına ve hastanın da tanıklığa ilişkin rızasının bulunmamasına rağmen hekimin tanıklık yapması durumunda hekim, kişisel verilerin açıklanması suçunu işlemiş olacaktır[70]. Nitekim tıp mesleği mensuplarına sıfatları dolayısıyla ilişkide oldukları hastaları ve bunların yakınlarına ilişkin ceza soruşturması ve kovuşturmasında bilirkişilikten çekinme hakkı tanınmıştır (CMK m.70/1). Türk Tabipleri Birliği Hekimlik Meslek Etiği Kuralları m.9/4’de de hekimin, tanık ya da bilirkişi olarak mahkemeye çağrıldığında olayın meslek sırrı olduğunu ileri sürerek bu görevlerinden çekilebileceği öngörülmüştür[71].

Ayrıca belirtelim ki sağlık verilerin bilişim sistemlerine yüklenebilmesi için hukuka uygunluk sebeplerinden birinin mutlaka bulunması gerekir. Burada en sık karşılaşılan nedenler ise ilgilinin rızası ve kanun hükmünü yerine getirmedir.

VIII.  Tıbbi Kişisel Verilerin Türkiye’deki Hukuki Rejimi ve Tıbbi Kayıtların Tutulması-Saklanması

Ülkemizde kişisel verilerin korunması ile ilgili bir yasanın hazırlanması için girişimlere 1995 yılında başlanmış olmakla birlikte aradan geçen oldukça uzun süreye rağmen halen bu konuda bir yasa bulunmamaktadır. Bu dönemde konuya ilişkin temel düzenlemeler, Anayasadaki özel yaşamın gizliliği hakkını ve bunu esas alan yasa maddeleri olagelmiştir[72]. Bununla birlikte, 2010’da referandumda kabul edilerek yürürlüğe giren anayasa değişikliği paketi ile Anayasanın özel yaşamı gizliliği hakkını düzenleyen 20. maddesine şu fıkra eklenmiştir:

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Her ne kadar fıkrada atıfta bulunulan yasa halen yürürlüğe girmemiş olsa da, bu değişiklik kişisel verilerin doğrudan Anayasal teminata bağlanmış olması açısından olumlu bir adımdır. Söz konusu Anayasa maddesi dışında Anayasanın kişinin dokunulmazlığı, maddi ve manevi varlığı, kişi hürriyeti ve güvenliği ile ilgili maddeleri de kişisel verilerin korunmasını ilgilendiren diğer düzenlemelerdir. Bunlara ek olarak, temel hak ve özgürlüklere ilişkin tarafı bulunduğumuz uluslararası sözleşmelere atıfta bulunan Anayasanın 90. maddesi de bu bağlamda göz ardı edilmemesi gereken bir diğer düzenlemedir[73].

Türkiye’de sağlık bilgilerinin saklanmasına ve gizliliğine ilişkin çeşitli seviyelerde önemli düzenlemeler yürürlüktedir. 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3/f hükmüne göre “Herkesin sağlık durumunu takip edebilmek için gerekli kayıt ve bildirim sistemi kurulur”. Bu düzenleme önemli bir hukuksal dayanak oluşturur. Bununla birlikte hekimlerin ve diğer sağlık personelinin sorumluluğuna ilişkin hükümler adı geçen kanunda yer almamaktadır. Bu konuya ilişkin düzenlemeleri daha çok ilgili yönetmeliklerde ve etik kuralların düzenlendiği belgelerde bulmak olanaklıdır[74]. Konuyla ilgili hukukumuzda bazı önemli yasal düzenlemelere örnek olarak şunlar verilebilir: Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun m.72; Radyoloji, Radiyom ve Elektrikle Tedavi ve Diğer Fizyoterapi Müesseseleri Hakkında Kanun m.5; Sağlık Hizmetlerinin Sosyalleştirilmesi Hakkında Kanun m.10/II; Aile Hekimliği Pilot Uygulaması Hakkında Kanun m.5/III; Özel Hastaneler Tüzüğü m.29; Aile Hekimliği Uygulama Yönetmeliği m.26, m.27; Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik m.17, m.27; Acil Sağlık Hizmetleri Yönetmeliği m.8/c, m.33, m.34; Yataklı Tedavi Kurumları İşletme Yönetmeliği m.12/IV; Özel Hastaneler Yönetmeliği’nin “Tıbbi Kayıt ve Arşiv, Faturalandırma ve Hastaya Verilecek Belgeler” başlığı altındaki düzenlemeler olan m. 48, m.49, m.50 gibi[75].

Uygulamada ve öğretide kabul edildiği üzere hekimin kayıt tutması, mesleki yükümlülüğünün bir parçasıdır. Bu yükümlülük, hekimlik sözleşmesinden veya hastaneye kabul sözleşmesinden doğan yan yükümlülük olup aynı zamanda hekimin özenli tedavi yükümlülüğünün de bir parçasını oluşturur. Kayıt tutma yükümlülüğünün amacı, hastanın tedavisinin güvenli şekilde yapılması ve sürdürülmesinin sağlanması, ileride doğabilecek ihtilaflar bakımından delillerin güvence altına alınması ve gereğinde hesap sorabilme imkânının oluşturulması olarak özetlenebilir. Bununla birlikte birincil amaç, kaydın delil değerine yönelik değil; hastanın tedavi sürecine ilişkin bilgilerin garanti altına alınmasına yöneliktir[76].

Uygulamada sıkça yaşanan tıbbi kayıtlara erişim problemine çözüm olarak, Avrupa Hasta Haklarının Geliştirilmesi Bildirgesi’nin 2.9. maddesinde olduğu gibi, “hastaların sağlık kurumlarından taburcu edildiklerinde, tanıları, tedavileri ve bakımları ile ilgili bir yazılı özet alma ve isteme hakkına sahip olduğu” kuralının ülkemizde de uygulanmasını sağlama amaçlı yasal düzenleme yapılmasının yerinde olacağını düşünmekteyiz[77].

Türkiye’de sağlık verilerinin gizliliğine ilişkin temel kaynak Hasta Hakları Yönetmeliği’dir. Yasa ile izin verilen durumlar ve tıbbi zorunluluklar dışında hastanın özel ve aile yaşamının gizliliğine dokunulamayacağı hasta haklarına ilişkin ilkeler kapsamında yer almıştır. Bu yönetmeliğin ilgili hükümleriyle kişisel verilerin korunmasının temel ilkeleri büyük oranda karşılanmaktadır. Hastanın mahremiyetine saygı gösterilmesi esastır. Bu kayıtlar sadece hastanın tedavisiyle doğrudan ilgili olanlar tarafından görülebilir. Hastaya ilişkin olarak sağlık hizmetinin verilmesiyle edinilen bilgiler, yasayla izin verilen haller dışında hiçbir şekilde açıklanamaz[78].

Kişinin rızasına dayansa bile kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bir bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir. Araştırma ve eğitim amacıyla yapılan faaliyetlerde de hastanın kimlik bilgileri rızası olmaksızın açıklanamaz. Bu konuda çeşitli hukuki metinlerde düzenlemeler bulunmaktadır[79].

Elektronik sağlık kayıtlarının; tıbbi hataların azaltılması, verilere hızlı ulaşım sağlanması, daha iyi kalitede veriler elde edilmesi ve bu verilerin çok yönlü olarak sunulması, sağlık bakımının sonuçlarının ölçülebilmesi ve değerlendirilebilmesi, gerektiği yer ve zamanda kanıta dayalı kayıtlardaki işlevlerin yanında sağlık kurumunun birimleri arasında iletişimi ve bilgi alışverişini kolaylaştırma, hasta verilerine çabuk ulaşabilme, verimliliği artırma ve kayıtların okunaklılığına ilişkin avantajı dâhil olmak üzere pek çok faydalı işlevi vardır. Ayrıca hastaların ve harcamaların etkin şekilde izlenmesi, daha iyi dokümantasyon ve hastayla çok fazla zaman harcanmasının önüne geçilmesi, arşiv olarak kullanılacak alandan büyük ölçüde kazanç sağlanması, hasta kayıtları kurum içinde fiziksel olarak dolaşmayacağı için kaybolma riskinin ortadan kalması ek faydalar olarak sıralanabilir. Kısaca elektronik hasta kayıtları, sağlık bakım kalitesini artırır; maliyeti azaltır; böylelikle verimlilikte artış sağlar, güvenlidir, günceldir ve hasta merkezlidir. Temel amacıysa hasta bakımını desteklemektir. Özellikle hastanın bilincinin kapalı olduğu acil durumlarda hastaya ait hayati bilgilere ulaşılması son derece önemlidir. Veriler bir kez girilir, ihtiyaç duyulduğu her zaman ve farklı amaçlar için kullanılabilir[80].

Türkiye’de yakın dönemde yaşanan kimi gelişmeler hastaların kişisel verilerinin güvenliği ile ilgili bazı kaygıların su yüzüne çıkmasına yol açmıştır. Bu çerçevede özellikle Sağlıkta Dönüşüm Projesi başlığı altında sağlık hizmetlerinde gözlemlenen özelleştirmeye dönük eğilim ve kişisel verilerin Sağlık Bakanlığı, Sosyal Güvenlik Kurumu (SGK) ve özel sağlık sigortaları eliyle toplanması, kişisel verilerin metalaştırılması riskini beraberinde getirmektedir[81].

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün açıklamalarına göre, Ulusal Sağlık Bilgi Sistemi (USBS), “sağlıkta dönüşüm projesi kapsamında uygulamaya koyulan reformların en önemli aşamalarından biri”dir. Sözü edilen belgelerde USBS, “tüm vatandaşları kapsayan, bireyin doğumundan önce başlayıp tüm yaşamı boyunca sağlığıyla ilgili verilerden oluşan işlevsel bir veri tabanının, yüksek bant genişlikli ve tüm ülkeyi kapsayan bir iletişim omurgasında paylaşılması ve tele-tıp uygulamalarına varan teknolojilerin mesleki pratikte kullanılmasını temel alan elektronik kayıt sistemidir. Bu sistem ayrıca sağlık hizmeti sunan tüm kurum ve kuruluşların insan gücü, taşınır, taşınmaz, idari ve mali verilerini de kayıt altına alacak şekilde tasarlanmıştır.” şeklinde ifade edilmiştir. Sağlık.NET ise, “sağlık kurumlarında elektronik ortamda üretilen verileri, doğrudan üretildikleri yerden, standartlara uygun şekilde toplamayı, toplanan verilerden tüm paydaşlar için uygun bilgiler üreterek birinci, ikinci ve üçüncü basamak sağlık hizmetlerinde verim ve kaliteyi arttırmayı hedefleyen, entegre, güvenli, hızlı ve genişleyebilen bir bilgi ve iletişim platformudur.” şeklinde açıklanmıştır[82].

Bilindiği üzere, Sağlık Bakanlığı 17 Kasım 2012 tarihinde “Sağlık net 2 veri gönderimi” başlıklı bir Genelge yayınlayarak, kamu-özel sağlık kuruluşu ayrımı olmaksızın sağlık hizmeti veren tüm sağlık kurum ve kuruluşlarının Ulusal Sağlık Veri Sözlüğü (USVS)[83]2.0. kapsamında yer alan hastaların sağlık verilerini, Sağlık Net 2 sistemine göndermesi zorunlu kılınmıştır. Türk Tabipler Birliği, söz konusu Genelge’nin iptali ve yürütmesinin durdurulması için Danıştay’a başvurmuştur. Bunun üzerine Danıştay 15. Dairesi 12.6.2014 tarih ve 2013/2084 Esas sayısı ile Genelge’nin yürütülmesinin durdurulmasına karar vermiştir[84].

Daire kararının gerekçesi şu şekildedir:

“… Genelgenin dayanağı olduğu ileri sürülen hükümler incelendiğinde, 3359 sayılı Kanununun 3. maddesi (f) bendinin genel bir düzenleme olup, kayıt ve bildirim sisteminin internet üzerinden bir yazılım yoluyla yapılacağı ve kişisel sağlık verisi kapsamındaki verilenin bu sisteme aktarılacağına (dair) bir düzenleme içermediği, 5258 sayılı Kanunun ise aile hekimlerine ilişkin olduğu, 663 sayılı Kanun Hükmünde Kararnamenin 8. maddesinin 1. fıkrasının Sağlık Hizmetleri Genel Müdürlüğü’nün, 11. maddesinin Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün görevlerine ilişkin olduğu, dava konusu Genelgenin dayanağı olarak değerlendirilebilecek tek hükmün 663 sayılı Kanun Hükmünde Kararname’nin 47. maddesi olduğu sonucuna ulaşılmıştır.

663 sayılı Kanun Hükmünde Kararnamenin 47. maddesinin 1. ve 3. fıkraları Anayasa Mahkemesinin 14.02,2013 tarih ve E:2011/150, K:2013/130 sayılı kararı ile iptal edilmiştir.

İptal hükmünde “Anayasa’nın 91. maddesinin birinci fıkrasında “Sıkıyönetim ve olağanüstü haller saklı kalmak üzere, Anayasa’nın ikinci kısmının birinci bölümünde yer alan “temel haklar, kişi hakları ve ödevleri ile siyasi haklar ve ödevler”in kanun hükmünde kararnamelerle düzenlenemeyeceği belirtilmiştir. Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesinin birinci fıkrası “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmüne yer verilmiş, üçüncü fıkrasında ise “Herkes, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” denilmiştir. Buna göre, Anayasa’nın 20. maddesinde düzenlenen ve “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan özel hayatın gizliliği ve kişisel verilerin korunması hakkına ilişkin olarak kanun hükmünde kararname ile düzenleme yapılması mümkün değildir.” gerekçesine yer verilmiştir. Bu nedenle, yasal dayanak Anayasa Mahkemesi tarafından iptal edilen Genelge’de hukuka uyarlık bulunmamaktadır.

Her ne kadar, 12.07.2013 tarihinde kabul edilen ve 02.08.2013 tarih ve 28726 sayılı Resmi Gazetede yayımlanan 6495 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun’un 73/h-3. maddesi ile 663 sayılı Kanun Hükmünde Kararnamenin Anayasa Mahkemesi’nce iptal edilen hükümleri yeniden düzenlenmişse de sonradan yürürlüğe giren yasal düzenlemenin önceden yürürlüğe konulan Genelge’nin dayanağını oluşturmayacağı açıktır. Kaldı ki, hassas veri kabul edilen kişisel sağlık verilerinin toplanması ve işlenmesinin kapsamı, koşulları ve bu verilerin korunmasına ilişkin usul ve esaslar belirlenmeksizin ve kişisel sağlık verilerine ilişkin bir sınırlama konulmaksızın, sağlık hizmeti alanların kişisel bilgileri ve bu kişilere verilen hizmete ilişkin bilgilerin toplanması, işlenmesi ve paylaşılmasını öngören 663 sayılı Kanun Hükmünde Kararnamenin 47. maddesindeki 12.07.2013 tarihinde getirilen düzenlemenin sağlık verilerinin kayıt altına alınmasını sağlayan ve bir veri tabanı sistemi şeklinde kurulan Sağlık Net 2 Veri Gönderimi Sisteminin işleyişine ilişkin tüm ayrıntıları kapsayan bir yasal düzenleme olarak kabulü de mümkün değildir.

Açıklanan nedenlerle, 2577 sayılı Yasa’nın 27 nci maddesi uyarınca, davacının yürütmenin durdurulması isteminin kabulü ile T.C. Sağlık Bakanlığı Bilgi Sistemleri Genel Müdürlüğü’nce yayımlanan 17.11.2012 tarih ve B.10.0.S8S.0.77.00.00/700/3872 sayılı “Sağlık Net 2 Veri Gönderimi” başlıklı Genelge’nin yürütülmesinin durdurulmasına… oybirliği ile karar verildi.”

Kararda görüldüğü üzere Danıştay, Anayasal koruma altında olan özel hayatın gizliliği ve kişisel verilerin korunması hakkına ilişkin kanun hükmünde kararname ile düzenleme yapılmasının mümkün olmadığına dair karar veren Anayasa Mahkemesi’nin 14.2.2014 tarihli kararına atıfta bulunarak, sağlık verilerinin hassas veri olduğunu ve bunların toplanmasının, işlenmesinin, kapsamının koşullarının ve bu verilerin korunmasına ilişkin usul ve esasların mutlaka Kanun’la düzenlenmesi gerektiğini vurgulamıştır.

Bahsi geçen Anayasa Mahkemesi’nin 2011/150 E., 2013/30 K. sayılı kararı, Danıştay Kararı’nın gerekçesinde de belirtildiği üzere 663 sayılı KHK’nın 47. maddesi ile Sağlık Bakanlığı’nın sağlık kuruluşlarına başvuran hastaların sağlık bilgilerini merkezi olarak toplamasına ilişkin hükmün iptaline ilişkindir.

663 sayılı KHK’nın 47 nci maddesinin 1. fıkrası, “Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.” şeklinde düzenlenmiştir.

Bu karardan sonra Sağlık Bakanlığı tarafından aynı hüküm 2.8.2013 tarihinde Resmi Gazete’de yayınlanan 6495 sayılı “Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun”un 73 üncü maddesinin (h) fıkrasının (3) numaralı bendiyle tekrar yasalaştırılmıştır. Söz konusu hükmün Anayasa’nın 20. maddesine ve Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesine aykırı olması nedeniyle iptali için Anaya Mahkemesi’ne başvurulmuştur.

Bir diğer uygulama MEDULA sistemi olarak adlandırılan 2007 tarihinden bu yana kullanılan, Genel Sağlık Sigortası ile sağlık tesisleri arasında, sağlık tesislerinin iç süreçlerine müdahale etmeksizin fatura bilgisini elektronik olarak toplamak ve hizmetlerin ödemesini gerçekleştirmek için oluşturulmuş sistem yer almaktadır[85]. Sosyal Güvenlik Kurumu’nun MEDULA çerçevesinde gerçekleştirmiş olduğu çalışmalarda, kaliteli veri üretebilmesi, geleceğe yönelik sağlık harcaması tahminleri yapılabilmesi, istatistikî bilgi elde edilmesi, risk analizlerinin yapılabilmesi, harcama kalemlerinde değişikliklerin takip edilebilmesi, sağlık politikalarına yön verecek bilgi dayanakları sağlamasının amaçlandığı ifade edilmiştir[86]. Sistemin amaçlar doğrultusunda işletilmesi halinde faydalı olabileceği tartışmasız bir konu olmakla birlikte toplanan verilerin ne şekilde korunduğu, kimlerle paylaşıldığı ve ne kadar süreyle tutulduğu bilinmemekle birlikte elde bu konuda yasal mevzuatın olmaması kişilerin kaygılarını arttırmaktadır.

Genel Sağlık Sigortası MEDULA Web Servisleri Kullanım Kılavuzu’nda yapılan değişiklik ile 1.12.2013 tarihinde özel ve üniversite hastanelerinde Avuç İçi Damar İzi (Biyometrik Kimlik Doğrulama) uygulamaya başlanmış ve tedavi görecek hastaların sigortalılara her muayene, konsültasyon, kontrol muayenesi, diyaliz, fizik tedavi, radyoterapi, kemoterapi, hiperbarik oksijen tedavisi gibi işlemlerin her seansında kimlik doğrulaması yaptırmak zorunluluğu getirilmiştir. Türk Tabipler Birliği, Kılavuz hükümlerinin iptali ve yürütmesinin durdurulması istemiyle Danıştay’da dava açmıştır[87].

Parmak izi tartışmasız kişisel veridir. Yasal mevzuatımızda parmak izi alınması sınırlı şartların varlığı halinde 2559 sayılı Polis Vazife ve Salahiyet Kanunu (PVSK) ile kolluk kuvvetine verilmiştir. İç hukuk dikkate alındığında Anayasa’nın 17. maddesi ile düzenlenen “kişinin dokunulmazlığı, maddi ve manevi varlığı” hükmüne, 20. maddesi ile düzenlenen “herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı” ve 13. maddede düzenlenen “temel hak ve hürriyetler özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir.” hükümlerine aykırı bir uygulama olduğu açıktır.

Danıştay 12. Daire Başkanlığı’nın 15.5.2006 tarihli 2005/6811 E., 2006/1959 K. sayılı kararı, Ankara Büyükşehir Belediye Başkanlığı’nda görev yapan memur, işçi ve sözleşmeli personelin parmak izlerinin önceden kayıt altına alınmak suretiyle işe giriş ve çıkışlarında parmak izi yöntemiyle mesaiye devamlarının kontrol edilmesi amacını taşıdığı anlaşılan “Personel Devam ve Kontrol Sistemi Uygulaması Projesi” kapsamında, projeyi üstlenen firma tarafından personelin parmak izlerinin alınması işleminin iptali konusunda davacı sendika üyelerinin başvurusuna ilişkindir. Bu kararda görüşü belirten Danıştay Tetkik Hâkimi tarafından, “Anayasa’nın ve uluslararası sözleşmelerle ilgili yapılan değerlendirmelerden sonra, kişisel veri olan “parmak izinin” kamusal alanda da olsa “özel hayatın gizliliği” hakkı kapsamında bulunduğu anlaşılmaktadır. Bireyin izni olmadan parmak izinin alınması, uygulamanın yasal dayanağının bulunmaması, dosyadan anlaşıldığı kadarıyla bu uygulamanın idare ajanları yerine bu işi yüklenen firma çalışanlarınca yapılacak olması, toplanan verilerin ileri de başka bir şekilde kullanılmayacağına dair bir güvencenin bulunmaması göz önüne alındığında, davacı sendika üyelerinin ve diğer çalışanların hukukunu etkileyen kesin ve yürütülmesi zorunlu bir işlem olduğu kanaatine varılmaktadır.” şeklinde saptamalarda bulunulmuştur. Ayrıca kararda Avrupa İnsan Hakları Mahkemesi’nin içtihatlarında, “Özel hayatın gizliliği” hakkının sınırlanabilmesi için “yasallık” ilkesi şart olduğu, bu ilke ile birlikte, sınırlama meşru bir amaç için yapılmalı, müdahalenin demokratik toplumda gerekli olması, orantılı olması, müdahaleyi gerekli kılmak için gösterilen gerekçenin uygun ve elverişli olmasını da şart olarak arandığı belirtilmiştir[88]. Ancak söz konusu uygulamada anılan sınırlama sebeplerinin bulunmadığı görülmektedir.

Adından söz ettiren bir başka uygulama Gebe-Bebek Takip Sistemidir (GEBESİS). 2008 yılında Aile Hekimliği’ne geçilmesi ile Aile Hekimlerine yardımcı olmak adına GEBESİS kurulmuştur. Sağlık Bakanlığı’nın amacı anne ve bebek sağlığını gözetim altında tutmaktır. Gebelik testi yaptıran tüm kişilerin sonuçları GEBESİS’e aktarılıyor ve TC Kimlik numaraları hangi aile hekimine bağlı ise gebelik durumu o aile hekimine de bildiriliyor. Aile Hekimi sistemde kayıtlı numaraya mesaj göndererek kişiyi gebelik kontrolleri için aile merkezine davet ediyor. Bu uygulamaya geçildiği sıralarda gebelik testi pozitif çıkan bir kişinin babasının cep telefonuna durumla ilgili bilgi mesajı atıldığı haberi yankı uyandırmıştır[89]. Bunun üzerine, Sağlık Bakanlığı tarafından, sistemin açıklarını düzelteceklerini buna ilişkin tedbir aldıkları yönünde açıklamalarda bulunulmuştur. Sistemin amacına ulaşması için, gebelik testi gerçekleştiren kişi sistemle ilgili bilgilendirilerek açık rızası alındıktan sonra bilgilerinin GEBESİS’e aktarılması şeklinde bir uygulamanın gerektiğini düşünüyoruz. Aksi takdirde uygulama açıkça hukuka aykırıdır.

Söz konusu sistemlerin dışında uygulamada yaşanılan bir takım eksikliklerden de bahsetmek gerekmektedir. Örneğin ülkemizde hastaların muayeneleri sırasında yakınının veya bir üçüncü kişinin odada bulunmaması, hatta hastanın araştırma hastanelerinde stajyer veya öğrencilerin bulunmamasını isteme hakkına sahip olmasına rağmen uygulamada bu hususun pek fazla dikkate alınmadığı görülmektedir. Kişinin ameliyatta olması durumunda olay daha da vahim hale gelmektedir. Zira ameliyathane dışında bulunan ve kimliği bilinmeyen kişilere doktorlar tarafından bilgi vermektedir. Bu durum açıkça hastanın mahremiyet hakkını, özel hayatının gizliliğini ve doktorun hastasına karşı sır saklama yükümlülüğünün ihlali anlamına gelmektedir. Bu şekilde hastanın rızası olmaksızın bilgilerinin basında yer aldığı durumlar da olabilmekte ve hastanın mahremiyet hakkı açıkça çiğnenmektedir. Bu gibi durumlar için özel olarak hastanelerde bir birim kurularak hasta hakkında bilgi almak isteyen kişilerin kimlik kontrolleri yapılmasının ardından bu kişilere bilgi verilmesi daha uygun bir düzenleme olacağı düşüncesindeyiz.

Bir diğer durum, özel sağlık hizmeti veren sigorta şirketlerinin müşterilerin tıbbi verilerine ulaşarak sigorta riskini hesaplamak istemeleridir. Bu durumda da açıkça hastanın özel hayatının gizliliği ve mahremiyet hakkı ihlal edilmektedir. Bunun sıkı bir biçimde düzenlemeye kavuşturulması gerekmektedir.

Sonuç

Sağlık verilerinin korunması ve hasta mahremiyeti, özel yaşamın gizliliği nosyonunun önemli bir unsurunu oluşturmaktadır. Sırlarının ve kişisel verilerinin güvende olacağından emin olamayan hastanın, sağlık kurumlarına başvurmaktan imtina edebileceği göz önünde bulundurulduğunda meselenin yalnızca özel yaşam hakkı bağlamında değil yaşam hakkı bağlamında da önemli olduğu görülmektedir. Ayrıca, kişinin mahremiyeti, kendini özgürce geliştirebilmesi açısından da önem arz etmektedir. Dolayısıyla bu konuda gerek ulusal gerek uluslararası düzeyde pek çok düzenleme yapılmıştır.

Öte yandan, ülkemizde kişisel verilerin korunması alanında özel bir yasanın halen çıkartılmamış olması bu alanda önemli bir eksiklik olarak göze çarpmaktadır. Uygulamada bir tarafta veri işleme idarenin düzenleyici işlemleriyle hukuki zemine oturtulmaya çalışılmakta, diğer tarafta bu konuda Danıştay’ın ve Anayasa Mahkemesi’nin defansif bir rol üstlenerek bu yaklaşımı önlemeye çalıştığı görülmektedir. Her ne kadar Yüksek Mahkemeler ile kişisel verilere ilişkin esas ve usullerin Kanun ile düzenlenmesi gerektiği belirtilse ve bunun aksine olan düzenlemeler iptal edilse veya uygulamanın yürütmesi durdurulsa da bu kararların alınmasına kadar geçen sürelerde birçok verinin işlendiği ve veri sahibinin rızası dışında paylaşılmış olduğu görülmektedir. Verilerin paylaşılmamış olması durumunda dahi hukuka aykırı elde edilen verilerin akıbetinin ne olduğunun bilinmediği aşikârdır.

Bunun dışında, var olan genel düzenlemeler de de hasta mahremiyetine ilişkin belirli güvenceler sağlanmış olsa da uygulamada sık sık bunlara riayet etmeyen örneklere rastlanmaktadır. Bu açıdan gerek münhasıran bu konuyu ele alan düzenlemelerin hızlıca devreye sokulması gerekse uygulayıcıların bu konudaki ilkeler ile yapılmış ve yapılacak olan düzenlemeler ile ilgili daha fazla bilinçlendirilmesi önem taşımaktadır.

Sonuç olarak acilen Kişisel Verilerin Korunması Kanunu çıkarılmalı, TCK’nın 135. maddesinin 2. Fıkrasının cezası artırılarak suçun nitelikli haline getirilmeli ve sağlık hukukundaki kişisel verilerin korunması için bu alana özgü dayanağını yasadan alan yönetmelik ya da yönetmelikler çıkarılmalıdır. Ancak en önemlisi sağlık mesleği mensupları bu konuda eğitilmeli hatta tıp fakültelerine Sağlık Hukuku dersleri konularak, kişisel verilerin korunması gerekliliği ve korunmamasının sonuçları hem hukuki hem de meslek etiği yönünden geleceğin hekimlerine daha ilk aşamada öğretilmelidir.

*      İstanbul Medipol Üniversitesi Hukuk Fakültesi Ceza ve Ceza Muhakemesi Hukuku Öğretim Üyesi.

[1]      Handan Yokuş Sevük, “Tıp Ceza Hukukunda Kişisel Verilerin Açıklanması”, Tıp Ceza Hukukunun Güncel Sorunları, Ankara, Türkiye Barolar Birliği Yayını, 2008, s.782.

[2]      Kişisel verilerin korunmasının bir hak olarak tanımı ve niteliği hakkında ayrıntılı açıklamalar için bkz: Elif Küzeci, Kişisel Verilerin Korunması, Ankara, Turhan Kitapevi, 2010, s.60–103.

[3]      Güçlü Akyürek, “Kişisel Veriler ve Özel Hayatın Gizliliği Hakkı”, Suç ve Ceza – Ceza Hukuku Dergisi, Türk Ceza Hukuku Derneği Yayını, S.3, Temmuz – Ağustos – Eylül 2011, s.44.

[4]      Küzeci, s.70.

[5]      Murat Volkan Dülger, Bilişim Suçları ve İnternet İletişim Hukuku, 3. Bası, Ankara, Seçkin Yayıncılık, 2013, s.563, 564.

[6]      YCGK, 17.6.2014, E. 2012/12-1510, K.2014/331.

[7]      M. Cumhur İzgi, “Mahremiyet Kavramı Bağlamında Kişisel Sağlık Verileri”, Türkiye Biyoetik Dergisi, S.1, No.1, 2014, s. 25-29.

[8]      Küzeci, s.112.

[9]      Küzeci, s.112, 113.

[10] OECD Guidelines on theProtection of PrivacyandTransborderFlows of Personal Data, (Çevrimiçi) http://www.oecd.org/ internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm 20.8.2014.

[11]    Murat Uygun, “Avrupa Birliğinin 95/46 sayılı Veri Koruma Yönergesi Işığında Kişisel Verilerin Korunması”, Yayınlanmamış Yüksek Lisans Tezi, Gazi Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı Avrupa Birliği Hukuku, Ankara, 2010, s. 35.

[12]    Söz konusu sözleşme Türkiye tarafından 28.01.1981 tarihinde imzalanmış ancak usulüne uygun olarak onaylanıp Avrupa Konseyi Genel Sekreterliği’ne depo edilmediği için Türkiye açısından yürürlüğe girmemiştir. Sözleşmenin özgün metni ve onaylama tablosu için bkz: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=108&CM=8&DF=11/08/2011& CL=ENG

[13]    Avrupa Birliği’nde yeknesak bir hukuk düzenin yaratılmasında temel kaynak Avrupa Topluluğu’nun yürürlüğe koyduğu yönergelerdir. Bu doğrultuda, yeknesak bir veri koruması hukukunun oluşturulması çabaları 90’lı yıllarda ilk kazanımlarını ortaya çıkarmıştır. Veri Koruması Yönergesi’nin ilk taslağı 1990 tarihine dayanmaktadır. Bu taslak veri korumasının topluluk bazında düzenlenmesinde başlangıç noktasını oluşturmaktadır. Konu hakkında ayrıntılı bilgi için bkz: Nilgün Başalp, Kişisel Verilerin Korunması ve Saklanması, Ankara, Yetkin Yayınları, 2004, s.25–32.

[14]    Başalp, s.33.

[15]    108 nolu Avrupa Konseyi Sözleşmesi’nde, Veri Koruması Yönergesi’nde ve Kişisel Verilerin Korunması Kanun Tasarısı’nda düzenlenen ve koruma altına alınan kişisel veriler, gerçek kişilere ait bilgileri içermektedir. Dolayısıyla tüzel kişilerin kişisel verileri söz konusu düzenlemelerde güvence altına alınmamıştır. Normatif düzenlemeler ile tüzel kişilerin bilgileri ticaret sicil gazetesinde veya internet sitelerinde kamuya açıklandığından, bunun dışındaki ticari sırların ifşasının ise Türk Ceza Kanunu’nun 239. maddede suç olarak düzenlendiğinden kişisel verilerin tüzel kişilerin verilerini kapsamadığı kabul edilmektedir. Ancak söz konusu düzenlemeler göz ardı edildiğinde, hukuk sistemimizde tüzel kişiler de kişi olarak kabul edildiğinden kişisel verilerin tüzel kişilerin bilgilerini de kapsaması gerektiği görüşündeyiz.

[16]    Başalp, s.33, 34.

[17]    Yokuş Sevük, s.797.

[18]    Başalp, s.34.

[19]    Başalp, s.108.

[20]    Küzeci, s.9.

[21]    Küzeci, s.231,232.

[22]    Küzeci, s.78,79.

[23]    Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi, İÜHFM, C. LXIX, S.1-2, s.318.

[24]    Uğur Ersoy, Bir İnsan Hakları Kavramı Olarak Kişisel Verilerin Korunması, Yayınlanmamış Yüksek Lisans Tezi, Gazi Üniversitesi Sosyal Bilimler Enstitüsü Kamu Yönetimi Anabilim Dalı Siyaset ve Sosyal Bilimler Bilim Dalı, Ankara, 2009, s.16.

[25]    Kaya, s.324.

[26]    Songül Atak, Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBBD, S.87, 2010, s. 25.

[27]    Kaya, s.325.

[28]    Kaya, s.325.

[29]    Kaya, s.326.

[30]    Kaya, s.326, 327.

[31]    Kaya, s.328, 329.

[32]    Kaya, s.330.

[33]    Kaya, s. 331.

[34]    Kaya, s. 331, 332.

[35]    Küzeci, s.337.

[36]    Küzeci, s.337, 338.

[37]    Atak, s.26.

[38]    Atak, s.27.

[39]    Atak, s.28.

[40]    Grand Chamber Judgments and Marper v. The Unıted Kingdom, file:///C:/Users/gozde/Downloads/Grand%20Chamber%20judgment%20S.%20and%20Marper%20v.%20United%20Kingdom%2004.12.08%20(1).pdf, (Çevrimiçi), 14.10.2014

[41]    Atak, s.29.

[42]    Hakan Hakeri, Tıp Hukuku, 4. Bası, Seçkin Yayıncılık, Ankara, 2012, s.467, 468.

[43]    Nesrin Çobanoğlu, “Tıp Etiği Açısından Tıbbi Bilgilerin Mahremiyeti”, Ankara Barosu III. Sağlık Hukuku Kurultayı, 7-8 Mayıs 2010, Ankara, s.515.

[44]    Çobanoğlu, s.520.

[45]    Hakeri, s.468, 469.

[46]    Hakeri, s.470.

[47]    YHGK, 4.4.2001, E.2011/4-333, K. 2011/335

[48]    Hakeri, s.471.

[49]    Hakeri, s.468.

[50]    Çobanoğlu, s.520.

[51]    Tamara K. Hervey/Jean V. McHale, Health Law and the European Union, Cambridge, Cambridge University Press, 2004, s.159, 160.

[52]    Hervey/McHale, s. 160.

[53]    Lawrence O. Gostin, Public Health Law: Power, Duty, Restraint, 2nd Edition, Berkeley, University of California Press, 2008, s.317.

[54]    Hervey/McHale, s.161.

[55]    Hervey/McHale, s.162.

[56]    Hervey/McHale, s.162, 163.

[57]    Dülger, s.602.

[58]    Dülger, s.578.

[59]    Hakeri, s.728-730.

[60]    Hakan Hakeri, “Verileri Hukuka Aykırı Olarak Verme (Sır Saklama Yükümlülüğünün İhlali) Suçu”, Tıbbi Müdahaleden Kaynaklanan Hukuki Sorumluluk Sempozyumu, 16-17 Ocak 2009, Mersin Barosu, 2009, s.131.

[61]    Olgun Değirmenci, Bilişim Suçları, Yayınlanmamış Yüksek Lisans Tezi, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Hukuk Anabilim Dalı Kamu Hukuku Bilim Dalı, İstanbul, 2002, s.157.

[62]    Dülger, s.609.

[63]    İnsanların sürekli olarak izlendikleri ve fişlendikleri ütopik bir dünyayı ve bu dünyadaki insan davranışları göstermesi açısından bkz: George Orwell, Bin Dokuz Yüz Seksen Dört, Çev: Nuran Akgören, İstanbul, Can Yayınları, 1999.

[64]    Dülger, s.609, 610.

[65]    Hakeri, s.731, 732.

[66]    Hakeri, s.734.

[67]    Dülger, s.579.

[68]    “Maddenin ikinci fıkrasında, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kayda almak, suç olarak tanımlanmıştır. Ancak, bunlardan kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebilir. Bu durumlarda söz konusu suç oluşmayacaktır.”

[69]    Dülger, s.598.

[70]    Hakeri, “Verileri Hukuka Aykırı Olarak Verme (Sır Saklama Yükümlülüğünün İhlali) Suçu”, s.127.

[71]    Yokuş Sevük, s.791.

[72]    İzgi, s.32.

[73]    İzgi, s.32.

[74]    Küzeci, s.338.

[75]    Pervin Somer, “Tıbbi Kayıtlar”” Ankara Barosu III. Sağlık Hukuku Kurultayı, 7-8 Mayıs 2010 Ankara, s.529-536.

[76]    Somer, s.529.

[77]    Somer, s.546.

[78]    Küzeci, s.340, 341.

[79]    Hakeri, s.118, 119.

[80]    Somer, s.549.

[81]    İzgi, s.33.

[82]    http://www.e-saglik.gov.tr/belge/1-33811/sagliknet-hakkinda.html, (Çevrimiçi), 15.10.2014

[83]    USVS, hastane bilgi sistemlerinin referans olarak kullanacağı bir sözlük çalışmasıdır. Sözlük, farklı kategorilerde veri kümelerinin olduğu hiyerarşik terimler arası ilişkilerden oluşmaktadır. Bununla birlikte USVS, bir veri sözlüğü niteliği taşımayan; ancak Sağlık Kodlama Referans Sunucusu (SKRS) bünyesinde yer alacak ve yine ülke çapında referans olarak kullanılacak olan kodlama ve sınıflandırma sistemlerinin tanımlarını da barındırmaktadır. Ulusal Sağlık Veri Sözlüğü (USVS)’nün ilk sürümü, Sağlık Bakanlığı Bilgi İşlem Daire Başkanlığı tarafından 2007 yılında oluşturulmuştur. Ulusal Sağlık Veri Sözlüğü’ nün 1.1 sürümü, Sağlık Veri Standartları Geliştirme Komisyonu tarafından hazırlanmış ve 2008 yılının Ocak ayında sağlık alanında tüm paydaşların kullanımına sunulmuştur. USVS 2.0 versiyonu 14 Mart 2012 tarihinde yayınlanmıştır. USVS 1.1 versiyonunda yer alan veriler kamu ve özel 2. ve 3. basamak sağlık kurumlarında toplanırken USVS 2.0; Aile Hekimliğini kapsayacak şekilde hazırlanmıştır. Bu amaçla tüm sağlık kurum ve kuruluşlarında toplanması gereken elektronik sağlık kayıtlarının içeriği belirlenmiştir ve ayrıca birimlerin ihtiyaç duyduğu verilerde en üst düzeyde fayda sağlayabilecekleri sağlam, sistematik bir yapı kurulmuştur. USVS 2.2 şu anda kullanılan güncel sürümüdür. Ayrıntılı bilgi için bkz: (Çevrimiçi)http://www.e-saglik.gov.tr/belge/1-33805/usvs.html, 15.10.2014.

[84]    Danıştay Kararı için bkz: (Çevrimiçi) http://www.ttb.org.tr/images/stories/file/2014/ydkabul.pdf, 15.10.2014

[85]    Kişisel Sağlık Verileri Çalışma Grubu, (Çevrimiçi) http://www.kisiselsaglikverileri.org/hakkinda.php?id=32, 20.10.2014.

[86]    (Çevrimiçi) http://www.tusiad.org/__rsc/shared/file/YadigarGokalp-03072012.pdf, 17.10.2014.

[87]    (Çevrimiçi) http://www.ttb.org.tr/index.php/Haberler/biyometrik-4743.html, 30.10.2014

[88]    (Çevrimiçi) http://www.kararevi.com/karars/805368_danistay-e-2005-6811-k-2006-1959#.VES3r2d_t8E, 20.10.2014.

[89]    (Çevrimiçi) http://ekonomi.haberturk.com/makro-ekonomi/haber/753536-tebrikler-kiziniz-hamile, 20.10.2014.