Değerli meslektaşımız,

Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğünce; fert ve toplum sağlığının korunması, iyileştirilmesi ve geliştirilmesi için kişisel sağlık kayıtlarını gizlilik, güvenlik, bütünlük ve mahremiyeti korunarak kişilerin kendileri tarafından kendi dijital sağlık kayıtlarına erişebilmesini sağlayacak olan “e-nabız” adı verilen “sağlık.net online sisteminin” kurulduğu ve 01 Mart 2015 tarihine kadar bu sisteme entegre olunarak veri gönderilmesi gerektiğine ilişkin yazılar İlçe Sağlık Müdürlüklerince meslektaşlarımıza gönderilmektedir.

Konu hakkında hukuk büromuzun değerlendirmesi aşağıdaki gibidir.

İstanbul Dişhekimleri Odası

Yönetim Kurulu

DEĞERLENDİRME:

Sağlık Bakanlığı'nın (e-nabız) projesi ile ilgili talebi önceki benzer bir Genelgesinin bir başka yöntemle uygulanma isteğinin tekrarıdır.  

Danıştay 15. Dairesi tarafından karara bağlanan 12.06.2014 tarihli 2013/2084 sayılı yürütmenin durdurulması hakkındaki kararının konusu da Sağlık Bakanlığı Bilgi Sistemleri Genel Müdürlüğünce yayımlanan “Sağlık Net 2 Veri Gönderimi” hakkındaki benzer bir Genelgedir. Danıştay, Anayasa Mahkemesi'nin 14.02.2013 tarih ve E. 2011/150, k. 2013/30 sayılı kararı ile 663 sayılı Kanun Hükmünde Kararname'nin 47 inci maddesinde yapılan değişikliklerin iptali kararına atıfla yürütmeyi durdurma kararı vererek bu uygulama ve Genelgeyi hukuka aykırı bulmuştur. Bu gelişmelerin ardından yeniden kanuni düzenleme yapılmıştır.

Bu kez 12.07.2013 kabul tarihli 6495 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanunla 663 sayılı Sağlık Bakanlığı Ve Bağlı Kuruluşlarının Teşkilat Ve Görevleri Hakkında Kanun Hükmünde Kararname’nin “Bilgi toplama, işleme ve paylaşma yetkisi” başlıklı 47. maddesinin (1), (2) ve (3) fıkraları yeniden değiştirilmiştir.^[1]

Bu değişikliğe göre Sağlık Bakanlığı ve bağlı kuruluşları, e-devlet uygulamalarını yerine getirebilmek amacıyla bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye, paylaşmaya ve istemeye yetkili hale getirilmiştir. Ayrıca ilgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlü kılınmıştır.  

Ancak Anayasa Mahkemesi 4.12.2014 tarihli ve E.: 2013/114, K.: 2014/184 sayılı Kararı ile 6495 sayılı Kanunla 663 sayılı Kanun Hükmünde Kararnamenin 47 inci maddesinde yapılan bu son değişikliği de iptal etmiştir.^[2]  

Anayasa'nın “Özel hayatın gizliliği ve korunması” hakkındaki 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (12.9.2010 -5982 sayılı Kanun 2 md.)

Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; özgeçmiş, resim, görüntü ve genetik bilgiler, dâhil etkileşimde bulunan kişiler, aile bilgileri gibi kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır.

Anayasa Mahkemesi kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasların belirlenmesiyle ilgili bir kuruma yönetmelik çıkarma ve düzenleme yetkisi veren 5.11.2008 kabul tarihli Elektronik Haberleşme Kanunu’nun 51. maddesini kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenlenmesi hakkındaki Anayasanın 20. maddesine aykırı görerekiptal etmiştir (AYM. Esas Sayısı: 2013/122, Karar Sayısı 2014/74, Tarih 09.04.2014).

Anayasa Mahkemesi kararlarına göre, yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan doğruya ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceği kabul edilmektedir. Dolayısıyla kişisel verinin işleyişi ile ilgili olarak, genel hatlarıyla da olsa, usul ve esasların kanunla belirlenmesi Anayasal bir zorunluluktur (Danıştay 15. Dairesi 2014/4562 Esas sayılı ve 11.09.2014 tarihli kararı).

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasa'nın 20. maddesinin üçüncü fıkrasının son cümlesine göre "Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir".

Kanunla düzenlenmesi gereken konu yönetmelikle veya genelgeyle düzenlenemez.

Yasama yetkisi Yürütme organına devredilemez. Yürütme organının kanuni düzenleme bulunmayan bir konuda düzenleme yapma yetkisi yoktur. Kişisel verilerin korunması ve gizliliğinin sağlanması hakkındaki usul ve esaslar için kanun yapılması Anayasal zorunluluktur.

Bakanlar Kurulu tarafından kabul edilerek 26.12.2014 tarihinde TBMM sevk edilmiş bulunan “Kişisel Verilerin Korunması Kanun Tasarısı” henüz kanunlaşmamıştır.

Sonuç olarak kişisel verilerin korunması ve gizliliğinin sağlanması hakkında “kanun” yoktur.Diğer kanunlarda yer alan düzenlemeler ise Anayasa Mahkemesi ve Danıştay kararları ile hukuka aykırı bulunmaktadır.

Dolayısıyla Sağlık Bakanlığının (e-Nabız Projesi) adı altında hastaların kişisel verilerinin toplanması ve işlenmesi hakkındaki talepleri ve yerine getirilmesi kanuna ve hukuka aykırıdır.

Hasta sırlarının hastanın izni olmaksızın açıklanamayacağı kişilerin güvencesi ve meslek ilkesidir.

Kişisel verilerin korunması hakkında kanuni düzenleme ve koruma bulunmadan, hukuki koruma ve güvence sağlanmadan bir başka kurum veya kişiye verilmesi, kişisel verilerin transferi, toplanması ve işlenmesi Anayasanın 20. maddesine ve Türk Ceza Kanunu hükümlerine aykırı olacağı gibi kişisel veriler hakkında kanuni bir düzenleme bulunmadığından hasta haklarının ihlaline neden olacaktır. 

Bilgilerinize sunarım.

Saygılarımla,

Av. Fikret İLKİZ