Özel hastaneler yönetmeliğindeki değişikliğin KVKK incelemesi

Av. Öykü Duğles Baz, Yeni Asır okurları için yazdı.

ÖZEL Hastaneler Yönetmeliği'nde yapılan değişiklik ile muayenehane hekimlerinin bazı bilgileri özel hastane ile özel hastanelere ise bazı bilgileri Sağlık Bakanlığı ile paylaşma zorunluluğu getirilmiştir.
6 Ekim 2022 tarihinde yapılan değişikliğin kişisel verileri ilgilendiren üç adet ibare bulunmaktadır. Bu ibareler "Muayenehane hekimiyle yapılan sözleşmenin taraflarca imzalanmış nüshası, özel hastane tarafından SKYS'ye eklenir ve müdürlüğe gönderilir.", "...hastanın bilgileri tedavi olacağı özel hastaneye, Muayene Bilgi Yönetim Sistemi (MBYS) üzerinden Bakanlıkça belirlenen form ile gönderilir." ve "Bu hekimlere hizmet sunan özel hastanenin mesul müdürü her ay sonu itibarıyla tedavi edilen hasta sayısı ve hekim ismini müdürlüğe bildirir" ibareleridir.
Hekim ile özel hastane arasında yapılan sözleşmenin Sağlık Bakanlığı bünyesindeki Özel Sağlık Kuruluşları Yönetim Sistemi'ne yüklenme zorunluluğu Özel hastaneler ile muayene hekimi arasında konuk hekimliğe ilişkin yapılan sözleşmenin bir nüshasının Sağlık Bakanlığı sistemine yüklenmesi zorunluluğu getirilmiştir.
Öncelikle KVKK açısından bu hükmü değerlendirebilmek için, özel hastane ile muayene hekimi arasındaki sözleşmenin ne tür veriler içerebileceği ve hangilerinin kişisel veri olarak sayıldığı irdelenmelidir.
Bu sözleşme genel olarak, kişisel veri olarak muayene hekiminin adını, vergi numarasını, iletişim bilgilerini, adres bilgilerini, TC kimlik numarasını ve imzasını içerir. Bunlar dışındaki bilgiler; tarafların hak ve yükümlülükleri, ücret bilgisi, varsa rekabet yasağı, sözleşme şartlarının yerine getirilmemesinin müeyyideleri ve cezai şartlar gibi bilgiler olabilir.
Bu bilgiler ancak ticari bilgidir, kişisel veri olarak kabul edilmez. Kişisel veri, Kişisel Verilerin Korunması Kanunu'nun tanımlar kısmında "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmıştır. Görüldüğü üzere, kanun kişisel verilerin tanımını yaparken, hukuku koruma altına aldığı ve kişisel veri saydığı verilerin sadece gerçek kişilere ait olabileceğini belirtmiş ve tüzel kişilere ait veriler kişisel veri sayılmamıştır.

AÇIK RIZASIYLA AKTARILABİLİR
Kanun ayrıca bir verinin kişisel veri sayılabilmesi için kişiyi belirli ya da belirlenebilir kılan bir veri olması gerekliliği yüklemiştir. Kişisel veri bir kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar. Görüldüğü üzere, hekimin adı, soyadı, iletişim bilgileri, adres bilgileri, TC kimlik numarası ve imzası muayene hekiminin kişisel verilerini oluşturmaktadır.
Peki, bu bilgilerin Sağlık Bakanlığı ile paylaşılmasının zorunlu olması Kişisel Verileri Koruma Kanunu'na aykırı mıdır? Bu soruya cevap vermek için kişisel verilerin niteliğini ve KVKK( Kişisel Verileri Koruma Kanunu) uyarınca veri aktarım şartlarını incelemek gerekmektedir.
Öncelikle iş bu kişisel verilerin özel nitelikli olmayan kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğu tespit edilmelidir. Kanun'un tanımlar kısmında her ne kadar kişisel veri ve özel nitelikli kişisel veri ayrımı yapılmamış ise de, 5. ve 6. maddelerinde bu ayrım yapılmıştır. Kişisel Verileri Koruma Kanunu'nun 6. maddesine göre; "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir".
İş bu tanımdan da anlaşılacağı üzere, yukarıda bahsedilen sözleşmede yer alacak hekime ait kişisel veriler özel nitelikli kişisel verilerden değildir. İkinci olarak, kişisel verilerin aktarılması hususunu incelemek gerekirse, genel olarak kişisel veriler ancak veri sahibinin açık rızası alınarak aktarılabilir.

YENİ UYGULAMA KVKK'YA UYGUN
Fakat Kanun kişisel verilerin ilgili kişinin açık rızası olmadan işlenebileceği istisnai haller de getirmiştir. Kanun' un 8. maddesinin ikinci fıkrası kanunun 5. maddenin ikinci fıkrasında belirtilen veya yeterli önlemler alınmak kaydıyla kanunun 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceğini düzenlemiştir.
Sonuç olarak, kişisel veri işlemenin "kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" şartlarından birinin varlığı halinde kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği öngörülmüştür.
Somut olayda, muayene hekiminin özel hastane ile yaptığı anlaşmanın Sağlık Bakanlığı'na gönderilmesinde kanaatimce Kişisel Verileri Koruma Kanunu'na bir aykırılık bulunmamaktadır.
İlgili verilerin işlenmesi ve Sağlık Bakanlığı'na aktarılması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olmakla birlikte, veri sorumlusu özel hastanenin hukuki yükümlülüklerini yerine getirebilmesi adına zorunludur. Ayrıca, şunu da belirtmekte fayda var ki, değişiklik öncesi yapılan uygulamada, zaten konuk hekimlerin adı, soyadı, TC Kimlik Numarası, hekimin uzmanlığı ve hatta hangi hastaya ne işlem yaptıkları bilgisini içeren hastalara ait özel hasta onam formunun Sağlık Bakanlığı'na bağlı İl Sağlık Müdürlüklerine gönderilmesi talep edilmekteydi.
Önceki uygulamaya göre yeni düzenlemenin daha az veri içerdiğini ve yeni uygulamanın KVKK'ya uygun olduğu kanaatindeyim.

X
Sitelerimizde reklam ve pazarlama faaliyetlerinin yürütülmesi amaçları ile çerezler kullanılmaktadır.

Bu çerezler, kullanıcıların tarayıcı ve cihazlarını tanımlayarak çalışır.

İnternet sitemizin düzgün çalışması, kişiselleştirilmiş reklam deneyimi, internet sitemizi optimize edebilmemiz, ziyaret tercihlerinizi hatırlayabilmemiz için veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız.

Bu çerezlere izin vermeniz halinde sizlere özel kişiselleştirilmiş reklamlar sunabilir, sayfalarımızda sizlere daha iyi reklam deneyimi yaşatabiliriz. Bunu yaparken amacımızın size daha iyi reklam bir deneyimi sunmak olduğunu ve sizlere en iyi içerikleri sunabilmek adına elimizden gelen çabayı gösterdiğimizi ve bu noktada, reklamların maliyetlerimizi karşılamak noktasında tek gelir kalemimiz olduğunu sizlere hatırlatmak isteriz.