Ölen kişinin sağlık verileri KVKK kapsamında “ilgili kişi” başvurusu ile istenebilir mi?

KVKK’daki “ilgili kişi” tanımı kişisel verileri işlenen gerçek kişiyi ifade eder. Kişilik ölümle sona erdiğinden, mirasçının Kuruma yaptığı başvurunun KVKK kapsamında ilgili kişi başvurusu olarak değerlendirilmemesi mümkündür. Buna karşılık mirasçılar, Kişisel Sağlık Verileri Hakkında Yönetmelik m.11 çerçevesinde veraset ilamı ibraz ederek ölenin sağlık verilerine erişim talebinde bulunabilir.

Mirasçı, ölenin sağlık verilerini hangi belgeyle talep edebilir?

Yasal mirasçılar, veraset ilamı (mirasçılık belgesi) ibraz ederek murisin sağlık verilerini münferit olarak talep edebilir.

Kurum “ancak mahkeme isterse veririm” diyebilir mi?

KVKK Kurulu’nun 2020/507 sayılı kararında, Yönetmelik m.11 hükmü uyarınca yasal mirasçıların veraset ilamı ile talep edebileceği değerlendirilmiş; somut olayda başvurunun Kanun kapsamında ‘ilgili kişi’ başvurusu sayılamayacağı belirtilmiştir. Uygulamada veri sorumlusu kurumun iç mevzuat ve süreçlerine göre yargı talebi istenebildiği görülse de, talebin Yönetmelik kapsamındaki dayanağı açıkça ortaya konulmalıdır.

Ölen Kişinin Sağlık Verisi Mirasçı Tarafından Talep Edilebilir mi? KVKK Kurulu 2020/507 Karar Özeti

KVKK Kurul Kararları · Sağlık Verisi · Mirasçılık (Veraset) · Kamu Kurumu Uygulamaları

Ölenin Sağlık Verisi Yasal Mirasçı Tarafından Talep Edilebilir mi?

Sağlık verileri, KVKK kapsamında özel nitelikli kişisel veri niteliğindedir ve erişim/aktarım süreçleri hem hukuki hem de operasyonel olarak yüksek hassasiyetle yönetilmelidir. Uygulamada en çok tartışılan konulardan biri; vefat eden kişinin sağlık verilerinin, yasal mirasçıları tarafından talep edilip edilemeyeceğidir.

Bu içerik; Kişisel Verileri Koruma Kurulu’nun 30/06/2020 tarihli ve 2020/507 sayılı kararı üzerinden, mirasçıların talep hakkını, KVKK’daki “ilgili kişi” kavramının sınırını ve Kişisel Sağlık Verileri Hakkında Yönetmelik m.11 çerçevesindeki erişim rejimini pratik adımlarla birlikte açıklamaktadır.

Kararın Özeti Talep Süreci Nasıl Yönetilir?

İçindekiler 1. Kararın Konusu ve Başvurunun Arka Planı 2. Veri Sorumlusunun Red Gerekçeleri 3. Kurulun Hukuki Değerlendirmesi (KVKK–TMK–Yönetmelik) 4. Kararın Sonucu ve Pratik Etkileri 5. Mirasçı İçin Uygulama Adımları ve Kontrol Listesi 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar No: 2020/507 (30/06/2020)
Kritik tespit: Mirasçı, veraset ilamı ile Yönetmelik m.11 kapsamında talep edebilir; ancak başvuru KVKK “ilgili kişi” başvurusu olarak değerlendirilmeyebilir.
Temel dayanaklar: KVKK m.3 tanımlar, TMK m.28 kişiliğin sona ermesi, Kişisel Sağlık Verileri Hakkında Yönetmelik m.11.

Uyum perspektifi: Kamu kurumları ve sağlık veri ekosistemi, talep süreçlerini “mevzuat + prosedür + ispat” üçgeninde yönetmelidir.

Sağlık Verisi Veraset İlamı KVKK Kurul Kararı

Not: İçerik, karar özetine dayalı genel bilgilendirme niteliğindedir. Somut olayın özelliklerine göre (kurum türü, veri seti, saklama rejimi, süreçler) ayrıca hukuki değerlendirme yapılması önerilir.

1. Kararın Konusu ve Başvurunun Arka Planı

Kuruma intikal eden şikâyette başvurucu; vefat eden babasının yasal mirasçısı olduğunu gösteren veraset ilamı ile, Kişisel Sağlık Verileri Hakkında Yönetmelik (m.11) uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini, ilgili kamu kurumundan talep etmiştir.

Başvurucu; talebin KVKK m.8 ve 5502 sayılı Kanun m.35/5 gibi hükümler gerekçe gösterilerek reddedildiğini, ayrıca TMK’daki bazı hakların (intifa, sükna, nafaka) mirasçılara geçmediği yönündeki açıklamaların talep ile ilgisiz olduğunu ileri sürmüştür. Özetle idare tarafından “emsal yoluyla sınırlama” getirildiği, açık mevzuat olmadığı gerekçesiyle erişimin engellenmesinin hukuka aykırı olduğu iddia edilmiştir.

Başvurunun Kritik Noktası

Talep edilen veri: Ölen kişinin sağlık verileri (özel nitelikli veri)
Talep eden: Yasal mirasçı (veraset ilamı ibrazı)
Tartışma ekseni: KVKK kapsamındaki “ilgili kişi” başvurusu mı, yoksa özel düzenleme olan Yönetmelik m.11 kapsamında erişim mi?

2. Veri Sorumlusunun Red Gerekçeleri

Veri sorumlusu kamu kurumu tarafından verilen yanıtta; özellikle 5502 sayılı Sosyal Güvenlik Kurumu Kanunu m.35/5 hükmüne atıf yapıldığı, kişisel verilerin veri sahibinin noter onaylı muvafakati veya e-devlet üzerinden kimlik teyidi ile izin olmaksızın üçüncü kişilerle paylaşılamayacağı yönünde bir değerlendirme yapıldığı görülmüştür.

Red Gerekçesi Olarak İleri Sürülen Başlıklar

KVKK m.8 kapsamında üçüncü kişilere aktarım sınırlaması (kurumun yorumuyla)
5502 sayılı Kanun m.35/5 çerçevesinde muvafakat/izin şartı vurgusu
Hukuk müşavirliği görüşünde; intifa/sükna/nafaka gibi hakların mirasçılara geçmediği analojisiyle verinin devrine mesafeli yaklaşım
Yönetmeliğin normlar hiyerarşisi bakımından yalnızca Sağlık Bakanlığını bağladığı iddiası
Sonuç olarak: Verilerin ancak yargı makamları tarafından istenmesi halinde verilebileceği yaklaşımı

Operasyonel risk notu: Kamu kurumlarında “yanlış kişiye veri açıklama” riski nedeniyle ihtiyatlı yaklaşım görülebilir. Ancak bu ihtiyatın, açık düzenleme olan Yönetmelik m.11’in uygulanmasına engel olacak şekilde kurgulanması ayrıca değerlendirme gerektirir.

3. Kurulun Hukuki Değerlendirmesi (KVKK–TMK–Yönetmelik)

Kurul, öncelikle KVKK’nın m.3 tanımlar bölümüne atıfla kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olduğunu; kişisel verilerin işlenmesinin de veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığını belirtmektedir.

Bununla birlikte TMK m.28 uyarınca kişiliğin ölümle sona erdiği hükmü hatırlatılarak, “ilgili kişi” tanımının KVKK bağlamında kişisel verileri işlenen gerçek kişiyi işaret ettiği vurgulanmaktadır.

Kişisel Sağlık Verileri Hakkında Yönetmelik m.11

Kurul değerlendirmesinde kritik dayanak; 21/06/2019 tarihli Yönetmelik’in “Ölenin sağlık verilerine erişim” başlıklı m.11/1 hükmüdür. Bu hüküm; veraset ilamı ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak ölenin sağlık verilerini almaya yetkili olduğunu düzenler.

Emsal Karar: 2019/273

Kurul; benzer nitelikteki 18/09/2019 tarihli ve 2019/273 sayılı kararındaki yaklaşımı referans almış; ölümle kişiliğin sona ermesi nedeniyle, mirasçının talebinin KVKK anlamında “ilgili kişi başvurusu” kapsamında değerlendirilemeyeceğini, buna karşın Yönetmelik m.11 kapsamında talep edilebileceğini ifade etmiştir.

Hukuki çerçeve özeti: Kurul, KVKK kapsamındaki “ilgili kişi” mekanizması ile Yönetmelik m.11 kapsamındaki “mirasçı erişimi”ni birbirinden ayırarak yorumlamaktadır. Bu ayrım, talebin hangi prosedür ve dayanakla ileri sürüleceğini doğrudan belirler.

4. Kararın Sonucu ve Pratik Etkileri

KVKK Kurulu’nun 30/06/2020 tarihli ve 2020/507 sayılı kararıyla; ilgili kişinin, vefat eden babasının yasal mirasçısı olarak söz konusu sağlık verilerini Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine; ancak Kuruma yapılan başvurunun KVKK kapsamında (ilgili kişi başvurusu olarak) değerlendirilemeyeceğine karar verilmiştir.

Kararın Uygulamadaki Yansıması

Mirasçıların talebinin dayanağı, pratikte Yönetmelik m.11 + veraset ilamı eksenine oturur.
KVKK “ilgili kişi hakları” prosedürü her durumda doğru kanal olmayabilir; bu nedenle başvuru dili ve dayanağı doğru kurgulanmalıdır.
Kamu kurumlarının “mahkeme kararı olmadan veremem” yaklaşımı, somut kurumun mevzuat/işleyişi ile birlikte ayrıca değerlendirilmelidir.
Talep süreçlerinde kimlik doğrulama, kapsam belirleme, kayıt altına alma ve güvenli iletim kanalı kritik kontrol noktalarıdır.

Uyum notu: Veri sorumlusu tarafında, “yetkili kişiye açıklama” ile “yetkisiz açıklama” arasındaki çizgi çok incedir. Bu nedenle mirasçıya erişim süreçleri, standartlaştırılmış kontrol listeleri ve kayıt yönetimi ile yürütülmelidir.

5. Mirasçı İçin Uygulama Adımları ve Kontrol Listesi

Mirasçıların ölen kişinin sağlık verilerine erişiminde, süreci hızlandıran unsur; başvurunun “doğru hukuki dayanakla” ve “tam belge setiyle” yapılmasıdır. Aşağıdaki adımlar, pratikte en az ihtilafla ilerleyen yaklaşımı temsil eder.

1) Talep Dayanağını Doğru Kurun

Başvuruyu Kişisel Sağlık Verileri Hakkında Yönetmelik m.11 kapsamında yaptığınızı açıkça belirtin.
KVKK “ilgili kişi” başvurusu terminolojisini kullanıyorsanız, ölüm nedeniyle kapsam tartışması doğabileceğini dikkate alın.

2) Belge Setini Tamamlayın

Veraset ilamı (mirasçılık belgesi)
Kimlik fotokopisi / e-Devlet doğrulama çıktısı (kurum prosedürüne göre)
Talep kapsamı (hangi dönem/hangi kayıtlar) ve iletişim/tebligat adresi

3) Kapsamı Netleştirin (Veri Minimizasyonu Yaklaşımı)

“Kayıtlı her türlü sağlık verisi” ifadesi, kurum açısından kapsamı geniş yorumlanabilir. Süreci hızlandırmak için:

Talebin amacını (ör. miras/borç-alacak, sigorta, dava hazırlığı vb.) belirtmek,
Yıl aralığı, işlem türü, sağlık hizmeti sunucusu gibi filtrelerle kapsam daraltmak,
Kurumun sunabileceği formatı (rapor/çıktı/elektronik teslim) önceden sormak

4) Güvenli İletim ve Kayıt Yönetimi

Teslimin güvenli kanal ile yapılmasını (kapalı zarf, kayıtlı teslim, şifreli dosya/portal) talep edin.
Kurumdan talebin alındığına ve işlendiğine dair kayıt/evrak numarası isteyin.

Hızlı Kontrol Tablosu

Kontrol	Neden Önemli?	Minimum Beklenti
Veraset ilamı	Yetki ispatı	Güncel ve okunaklı ibraz
Dayanak (Yön. m.11)	Doğru prosedür	Başvuruda açıkça belirtilmeli
Kapsam netliği	Süreç hızlanır	Dönem/kurum/format belirtilmeli
Güvenli teslim	İhlal riskini azaltır	Şifreli/kapalı zarf/kayıtlı teslim
Kayıt/evrak no	İspat ve takip	Başvuru ve cevap kayıt altına alınmalı

KVKK 2020/507 ölenin sağlık verisi veraset ilamı Kişisel Sağlık Verileri Yönetmeliği 11 kamu kurumu İstanbul

Pratik uyarı: Kurumun “yalnız mahkeme ile” yaklaşımıyla karşılaşırsanız; yazılı ret gerekçesini, dayandığı mevzuatı ve iç prosedürü talep edip, ardından başvuruyu Yönetmelik m.11 dayanağıyla yeniden yapılandırmak çoğu senaryoda süreci netleştirir.

6. Sık Sorulan Sorular (SSS)

Bu karar mirasçıya “otomatik” veri verilmesi anlamına mı gelir?

Hayır. Karar; mirasçının talebinin KVKK’daki ilgili kişi mekanizmasıyla değil, Yönetmelik m.11 kapsamında değerlendirilmesi gerektiği yönünde bir çerçeve çizer. Uygulamada kurum, kimlik doğrulama ve yetki ispatı süreçlerini tamamlamadan teslim yapmamalıdır.

Mirasçıların her biri tek başına başvurabilir mi?

Yönetmelik m.11/1 çerçevesinde yasal mirasçılar münferit olarak yetkilidir. Bu nedenle her bir mirasçı, veraset ilamını ibraz ederek talepte bulunabilir.

KVKK “ilgili kişi” başvurusu neden kabul edilmiyor?

KVKK’da ilgili kişi “kişisel verileri işlenen gerçek kişi” olarak tanımlanır. TMK m.28 uyarınca kişilik ölümle sona erdiğinden, mirasçı başvurusu çoğu durumda KVKK’daki ilgili kişi hakları prosedürü kapsamında ele alınmayabilir.

Veri sorumlusu “Yönetmelik bizi bağlamaz” diyebilir mi?

Karar özetinde, bu yaklaşımın tartışma konusu olduğu görülmektedir. Kurul; Yönetmelik m.11’deki düzenlemeyi mirasçının talep hakkı açısından esas almıştır. Uygulamada her kurumun işleyişi değişebileceğinden, yazılı gerekçe ve dayanakların netleştirilmesi önemlidir.

Talep edilen veriler hangi kapsamda teslim edilir?

Kurumun kayıt sistemine ve saklama rejimine göre değişebilir. Süreçte veri minimizasyonu yaklaşımıyla kapsamın (dönem, hizmet sunucusu, belge türü) netleştirilmesi hem hız hem de doğruluk sağlar.

Ret halinde hangi yolu izlemeliyim?

Öncelikle yazılı ret gerekçesi ve dayanak mevzuat istenmeli; başvuru Yönetmelik m.11 dayanağıyla ve belge setiyle yeniden yapılandırılmalıdır. Kurumsal süreçler sonuç vermezse yargı yolu ve diğer başvuru mekanizmaları somut olaya göre değerlendirilir.

Kapanış: KVKK Kurulu 2020/507 kararı, mirasçının erişim talebini “KVKK ilgili kişi hakları” yerine “Kişisel Sağlık Verileri Hakkında Yönetmelik m.11” ekseninde konumlandırır. Başvuru stratejisinin doğru belirlenmesi, sürecin en kritik aşamasıdır.