Kişisel Sağlık Verileri Nedir? KVKK ve GDPR Kapsamında İşlenmesi ve Korunması
Kişisel sağlık verileri, bir bireyin fiziksel ve ruhsal sağlık durumu ile ilgili her türlü bilgiyi içeren veri setleridir. Kişinin sağlık geçmişi, rahatsızlıkları, tıbbi tedavileri, kullandığı ilaçlar ve aldığı sağlık hizmetleri gibi pek çok bilgiyi kapsar.
Bu veriler, bireyin sağlık durumu ve tıbbi geçmişi hakkında son derece hassas bilgiler barındırdığı için KVKK ve GDPR gibi düzenlemelerde özel nitelikli kişisel veri olarak kabul edilir. Dolayısıyla işlenmeleri, diğer verilere kıyasla daha sıkı gizlilik ve güvenlik tedbirleri gerektirir.
Bu rehberde, kişisel sağlık verilerinin kapsamını, kimler tarafından hangi amaçlarla işlendiğini, hangi hukuki çerçeveye tabi olduklarını ve gizlilik–güvenlik boyutlarını sade bir dille ele alıyoruz.
Kişisel sağlık verileri = Özel nitelikli kişisel veri.
Yanlış veya izinsiz işlenmesi; bireyin mahremiyetini, itibarını ve temel haklarını doğrudan
etkileyebilir.
Bu nedenle; işleme sürecinde gizlilik, güvenlik, açık rıza ve yasal uygunluk ilkeleri birlikte değerlendirilmelidir.
1. Kişisel Sağlık Verileri Nedir?
Kişisel sağlık verileri, bir bireyin fiziksel ve ruhsal sağlık durumu ile ilgili her türlü bilgiyi içeren, doğrudan veya dolaylı olarak o kişiyi belirlenebilir kılan verilerdir.
Bu kapsamda örneğin:
- Sağlık geçmişi ve önceki hastalıklar,
- Tanılar, tıbbi teşhisler ve muayene bulguları,
- Laboratuvar ve görüntüleme sonuçları,
- Ameliyat ve müdahale kayıtları,
- Reçete edilen ilaçlar ve tedavi planları,
- Engellilik durumu, kronik hastalıklar,
- Psikolojik/psikiyatrik değerlendirmelere ilişkin bilgiler
gibi veriler kişisel sağlık verisi olarak değerlendirilir. Bu veriler, bireyin sağlık durumu hakkında çok ayrıntılı bir tablo sunduğu için, hukuken en yüksek koruma düzeyine tabi tutulmaları gerekir.
2. Kişisel Sağlık Verilerini Kimler Toplar ve Hangi Amaçlarla Kullanır?
Kişisel sağlık verileri, ağırlıklı olarak sağlık hizmeti sunan kişi ve kuruluşlar tarafından toplanır ve işlenir.
Örneğin:
- Hastaneler, klinikler ve tıp merkezleri,
- Aile hekimleri, uzman hekimler ve diğer sağlık profesyonelleri,
- Laboratuvarlar, görüntüleme merkezleri, eczaneler,
- Sigorta şirketleri ve tamamlayıcı sağlık sigortası sağlayıcıları,
- Sağlık turizmi kuruluşları, işyeri hekimleri, iş sağlığı ve güvenliği birimleri.
Bu veriler başlıca şu amaçlarla işlenir:
- Doğru teşhis koymak ve etkin tedavi planlamak,
- Hastanın tedavi sürecini izlemek ve klinik takibini yapmak,
- Randevu, faturalama ve geri ödeme süreçlerini yürütmek,
- Sağlık hizmetinin kalitesini ve hasta güvenliğini artırmak,
- İstatistiksel analizler ve kamu sağlığı planlamaları yapmak (yasal sınırlar içinde).
3. Verilerin Doğru ve Güvenli İşlenmesinin Önemi
Kişisel sağlık verileri, yanlış işlendiğinde veya yetkisiz kişilerle paylaşıldığında, bireyin hem özel hayatının gizliliği hem de toplumsal itibarı üzerinde ciddi olumsuz etkilere yol açabilir.
Bu nedenle, sağlık verilerinin işlenmesi sırasında aşağıdaki ilkelere titizlikle uyulmalıdır:
- Doğruluk ve güncellik: Veriler mümkün olduğunca doğru, eksiksiz ve güncel tutulmalıdır.
- Gizlilik: Verilere sadece yetkili ve görevli sağlık personeli erişebilmelidir.
- Güvenlik: Veriler, teknik (şifreleme, erişim kontrolü vb.) ve idari tedbirlerle korunmalıdır.
- Sınırlılık: Amacı aşan, gereğinden fazla veri toplanmamalı ve gereğinden uzun süre saklanmamalıdır.
Kişisel sağlık verilerinin doğru işlenmesi, bireylerin sağlık hizmetine duyduğu güveni artırırken, aynı zamanda sağlık sisteminin etkinliğine ve tıbbi araştırmaların sağlıklı yürütülmesine katkı sağlar.
4. KVKK ve GDPR Kapsamında Hukuki Çerçeve
KVKK ve GDPR gibi veri koruma düzenlemeleri, kişisel sağlık verilerini özel nitelikli kişisel veri kategorisinde değerlendirir. Bu nedenle, diğer kişisel verilere göre daha sıkı kurallara tabidir.
Genel çerçeve şu şekilde özetlenebilir:
- Özel nitelikli veri statüsü: Sağlık verileri, bireyin hassas bilgilerinin ifşasına yol açabileceği için yüksek korunma düzeyine sahiptir.
- Açık rıza şartı: Pek çok durumda, sağlık verilerinin işlenmesi için ilgili kişinin açık rızası aranır. Ancak kanunların açıkça yetki verdiği hallerde (örneğin kamu sağlığının korunması) istisnalar söz konusu olabilir.
- Güvenlik ve gizlilik: Veri sorumluları, sağlık verilerini işlerken uygun teknik ve idari tedbirleri almakla yükümlüdür.
- İhlal bildirimi: Veri ihlali durumunda, ilgili kişiler ve gerektiğinde yetkili otoriteler en kısa sürede bilgilendirilmelidir.
Özellikle Avrupa Birliği’nde GDPR, sağlık verilerinin işlenmesine ilişkin detaylı bir çerçeve sunar; KVKK ise Türkiye’de benzer şekilde özel nitelikli kişisel verilerin işlenme şartlarını ayrıntılı biçimde düzenler.
5. Kişisel Sağlık Verilerinin Kullanım Alanları
Kişisel sağlık verilerinin kullanım alanı, sadece bireysel tedavi süreçleriyle sınırlı değildir. Uygun hukuki şartlar sağlandığında, bu veriler:
- Tıbbi araştırmalar ve klinik çalışmalar,
- Sağlık politikalarının ve kamu sağlığı programlarının planlanması,
- Epidemiyolojik analizler ve hastalık yayılımının izlenmesi,
- Sağlık hizmeti altyapısının kaynak planlaması,
- Kalite ve akreditasyon süreçlerinde hizmet kalitesinin izlenmesi
gibi alanlarda da önemli rol oynar. Ancak bu kullanımlar, her zaman anonimleştirme, minimizasyon ve gizlilik ilkeleri gözetilerek gerçekleştirilmelidir.
6. Sonuç Olarak
Kişisel sağlık verileri, bireylerin en hassas bilgilerini içeren veri kategorisidir ve bu nedenle hem KVKK hem de GDPR kapsamında özel nitelikli kişisel veriler arasında sayılır.
Bu verilerin toplanması, işlenmesi ve paylaşımı sırasında:
- Gizlilik ve güvenlik ilkelerine titizlikle uyulmalı,
- Yasal düzenlemelerde öngörülen işleme şartları ve açık rıza gereklilikleri dikkate alınmalı,
- Veri minimizasyonu, amaçla sınırlılık ve saklama süresi ilkeleri uygulanmalı,
- İlgili kişilerin bilgilendirilmesi ve haklarını kullanabilmeleri için şeffaf mekanizmalar kurulmalıdır.
Sağlık verilerinin doğru ve etik biçimde işlenmesi; hem bireylerin mahremiyetini korur, hem de toplumun sağlık hizmetlerinden en iyi şekilde faydalanmasını sağlayan temel bir prensip olarak öne çıkar.
7. Sık Sorulan Sorular (SSS)
7.1 Kişisel sağlık verileri neden “özel nitelikli” sayılıyor?
Çünkü sağlık verileri, bir kişinin hastalıkları, engellilik durumu, psikolojik yapısı gibi son derece hassas bilgileri içerir ve yanlış kullanımı bireyin mahremiyeti ve hakları üzerinde ağır sonuçlar doğurabilir.
7.2 Her sağlık verisi işleme faaliyeti için açık rıza şart mı?
Pek çok durumda açık rıza aranır; ancak kanunun açıkça izin verdiği bazı hallerde (örneğin kamu sağlığının korunması, zorunlu bildirimler gibi) açık rıza dışı işleme imkânı tanınabilir. Bu istisnalar dar yorumlanmalıdır.
7.3 Sağlık verilerim kimlerle paylaşılabilir?
Kural olarak, sağlık verileriniz sadece ilgili sağlık profesyonelleri ve yetkili kurumlarla paylaşılmalıdır. Üçüncü kişilerle paylaşım, ancak yasal dayanak veya geçerli bir açık rıza varsa mümkündür.
7.4 Sağlık verilerimi görmek ve düzelttirmek istiyorum, mümkün mü?
Evet. KVKK ve benzeri düzenlemeler, ilgili kişiye kendi verilerine erişim, düzeltme, silme ve işleme kısıtlama gibi haklar tanır. Bu hakların kullanımı için veri sorumlusuna başvurabilirsiniz.
7.5 Sağlık verilerim ihlal edilirse ne olur?
Veri sorumlusu, ihlali fark ettiğinde gerekli teknik–idari önlemleri almak ve yasal şartlar oluşmuşsa ilgili kişi ve yetkili otoriteyi bilgilendirmekle yükümlüdür. Ayrıca, tazminat ve idari yaptırım süreçleri gündeme gelebilir.
7.6 Araştırma için sağlık verisi kullanılırken nelere dikkat edilmeli?
Mümkün olduğunca anonimleştirilmiş veya takma isimli veri setleri kullanılmalı; veri işleme amacı net olmalı, veri minimizasyonu ve saklama süresi ilkelerine uyulmalıdır. Gerekli hallerde etik kurul ve açık rıza süreçleri işletilmelidir.
