Değerli meslektaşlarımız,
Son günlerde İl Sağlık Müdürlükleri tarafından dişhekimlerine “e-Nabız Projesi Hakkında” başlığıyla yazıların gönderildiği bilgisi üzerine Türk Dişhekimleri Birliği tarafından konuya ilişkin bir bilgilendirme yapılmıştır.
TDB Hukuk Müşavirlerinin değerlendirmelerinin paylaşıldığı bilgilendirmede; Türk Dişhekimleri Birliği ve Türk Tabipleri Birliği’nin birlikte açtıkları dava vurgulanarak, kişisel verilerin yasal dayanağı olmayan bir genelge ile toplanamayacağı ifade edilmekte, Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün e-Nabız Projesi hakkında 2015/5 sayılı Genelgesi’nin yürütmesinin durdurulduğu, Bakanlığın mevcut karara itirazının da Danıştay İdari Dava Daireleri Kurulu tarafından reddedildiği hatırlatılmaktadır.
Meslektaşlarımıza duyurulur.
İstanbul Dişhekimleri Odası
Yönetim Kurulu
TDB Hukuk Müşavirlerinin Değerlendirmesi:
Bilindiği gibi uzunca bir süredir hasta bilgilerine erişebilmek, pek çok başka kurum ve kuruluşla birlikte, Sağlık Bakanlığı’nın da özellikle üzerinde durduğu bir konu.
663 sayılı KHK’ya konulan ve kişisel verilerin toplanıp paylaşılmasında Sağlık Bakanlığı’na olağanüstü geniş yetki tanımlayan düzenleme Anayasa Mahkemesi tarafından iptal edilmiş, yeni bir kanunla KHK hükmü yenilenmiş, o da iptal edilmiş; bu arada çıkartılan genelgeler de yasal dayanakları olmadığı için Danıştay tarafından önce yürütmesi durdurulmuş, sonra da iptal edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, pek çok sorun barındırmakla birlikte geçtiğimiz yıl yürürlüğe girmiştir. Kanun’a göre, “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Ancak Kanun’daki bu genel hüküm getirilen geniş istisna ile neredeyse anlamsızlaştırılmıştır: “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
6698 sayılı Kanun’la, Sağlık Hizmetleri Temel Kanunu ve 663 sayılı KHK’ya da kişisel sağlık verilerinin işlenmesine olanak sağlayan kurallar getirilmiştir.
Diğer yandan, Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme de 6698 sayılı Kanun’la aynı dönemde kanunlaşarak yürürlüğe girmiştir. Temel haklara ilişkin olan ve artık iç hukuk kuralı olarak uygulanacak olan bu Sözleşme’de sağlıkla ilgili kişisel veriler özellikli veri kategorileri arasında sayılarak otomatik işleme tabi tutulmaları yasaklanmıştır. Bu yasağın istisnası, Devlet güvenliğinin korunması, kamu güvenliği, Devletin mali menfaatleri veya suçların önlenmesi ile ilgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu bir önlem teşkil etmesi halleriyle sınırlı olarak yasayla düzenlenebilir. Anılan istisnalar arasında, 6698 sayılı Yasa’da belirtilen, sağlık hizmetlerinin finansmanının planlanması ve yönetimi gibi ölçütlerin bulunmadığı açıktır!
Bu arada, kişisel verilerin korunması ile ilgili kuralların arka arkaya yürürlüğe girmesine karşın bu kurallarda belirtilen kurum ve kurulların oluşumu ile bunların belirleyeceği güvenlik önlemlerinin ortaya konulmasıyla ilgili süreç halen de tamamlanabilmiş değildir.
Söz konusu süreç tamamlanmadan sağlık verilerinin güvenli biçimde toplandığının denetlenebilmesi mümkün olmamakla birlikte, Sağlık Bakanlığı 20.10.2016 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’i yürürlüğe sokarak sağlık hizmetine erişmek isteyen herkesin kişisel verilerini merkezi elektronik bir sisteme aktarılmasının sağlanmasını hedeflemiştir.
Anayasamıza göre kişisel verilerin korunması hakkı bireylerin temel hakları arasındadır. Dolayısıyla bu hakkın sınırlandırılmasına ilişkin yapılacak bütün düzenlemelerin Anayasa’nın 13. maddesindeki “Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” şeklindeki kurala uygun olması zorunludur. Bir başka ifadeyle, kişisel verilerin toplanması, paylaşılması gibi her türlü işlemeye ilişkin kuralın yasa ile yapılması gerekli olduğu gibi söz konusu yasanın da demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine uygun olması gereklidir.
Bu çerçevede yapılan değerlendirme sonucunda, Kişisel Verilerin Korunması Kanununun kişisel verilerin sınırsız ve ölçüsüz paylaşılmasına olanak sağlayan maddelerinin iptali için Anayasa Mahkemesinde dava açılmıştır.
Diğer yandan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’le ilgilinin rızası aranmadan toplanacak olan kişisel verilerle ilgili yapılan düzenlemelerin, toplanması istenen verilerle ilgili hiçbir sınır getirilmediği, ilgili Yasa gereği oluşturulması gereken Veri Sorumlusu Sicilinin henüz oluşturulmadığı, Kişisel Verileri Koruma Kurulunun kurulup sağlık verilerinin toplanmasında alınması gereken güvenlik önlemlerini saptamadığı, Sağlık Bakanlığı’nın bu Yönetmeliği Kişisel Verileri Koruma Kurulundan görüş almadan çıkarttığı gibi sebeplerle hukuka aykırı olduğu vurgulanarak Türk Dişhekimleri Birliği tarafından yürütmesinin durdurulması ve iptali için Danıştay’da dava açılmıştır.
Bütün bu yargısal süreçlerde henüz karar verilmemiş olmakla birlikte hastanın sır niteliğindeki bilgilerinin paylaşılmasında, sağlık kuruluşları ve dişhekimlerinin evrensel normlar ve etik kurallarla oluşmuş değerleri dikkate alarak tutum belirlemeleri gereklidir.
Diğer yandan, İl sağlık müdürlükleri tarafından son günlerde paylaşılan “e-Nabız projesi hakkında” konulu yazılarla Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün e-Nabız Projesi hakkında 2015/5 sayılı Genelgesi uyarınca hasta bilgilerinin Sağlık Bakanlığı tarafından oluşturulan merkezi bilgisayar sistemine kaydedilmesi istenmekte; aksi takdirde ilgili yönetmelik maddeleri ifade edilerek yaptırım uygulanacağı hatırlatılmaktadır. Türk Dişhekimleri Birliği ve Türk Tabipleri Birliği’nin birlikte açtıkları davada, kişisel verilerin yasal dayanağı olmayan genelge ile toplanamayacağı vurgulanarak,Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün e-Nabız Projesi hakkında 2015/5 sayılı Genelgesinin yürütmesi durdurulmuştur. Sağlık Bakanlığı’nın bu karara itirazı da Danıştay İdari Dava Daireleri Kurulu tarafından reddedilmiştir. Bu durumda, yürütmesi durdurulmuş Genelge’ye dayanılarak veri toplanamayacağı gibi buna dayalı olarak herhangi bir yaptırım uygulanması da söz konusu olamaz.
Kaldı ki, Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin sağlık verilerinin paylaşılmasına ilişkin düzenlemeyi içeren 24. maddesi uyarınca sağlık kuruluşlarının Bakanlık ile paylaşacağı veriler kişisel veri değil sadece istatistiki veri olarak belirlenmiştir.
Sonuç olarak; yürütmesi durdurulan bir genelgeye dayanılarak veri toplanması hukuka aykırı olmakla birlikte hasta verilerinin kişisel verilerden arındırılarak istatistiki veri olarak Sağlık Bakanlığı ile paylaşılması mümkündür.