Her birey hayatında sağlık sorunları nedeniyle hastaneye başvuruda bulunur. Hastane kayıtları ve KVKK ile ilişkisi denildiğinde bu süreçte hastaneye adım atar atmaz bireylerin ön bilgi olarak kimlik bilgileri, iletişim numaraları ve adresleri hastane tarafından alınır ve sonrasında tedavi süreci için yönlendirme yapılır.
Peki tüm kişisel bilgilerimizi paylaştığımız hastane kayıtları, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında nasıl değerlendirilir?
Hastanedeki tedavi sürecinin işleyebilmesi için verilen kişisel bilgiler ya da tedavi sürecinin bir parçası olan kan grubu bilgilerinin muhafaza edilmesi ve 3. Şahıs veya kurumlara aktarılması konusunun istisnai durumları var mıdır?
Genel Kapsamıyla KVKK
KVKK (Kişisel Verileri Koruma Kanunu) 7.4.2016 tarihinde yürürlüğe giren, gerçek ve tüzel kişilerin kişisel verilerinin korunmasını sağlayan kanundur.
Bu kanun kapsamında
- Başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin koruma altına alınması amaçlanmıştır.
- İlgili kişinin açık rızası olmadan kişisel verilerinin işlenmesi kanunla suç sayılmış ve çeşitli yaptırımlarla kanunun desteklenmesi amaçlanmıştır.
- Bu kanunla kimliği belirli bir kişi ya da belirlenebilir olan gerçek bir kişiye dair her türlü bilgi kişisel veri olarak kabul edilmiş ve bu verilerin kaydedilmesi, depolanması, değiştirilmesi ya da 3. kişilerin ulaşımına açık hale getirilmesi engellenmeye çalışılmıştır.
KVKK Kapsamına Giren Veriler Nelerdir?
KVKK (Kişisel Verileri Koruma Kanunu) kapsamında yer alan veriler 2 başlıkta incelenir. Bu başlıklardan biri kişisel veri, diğeri ise özel nitelikli kişisel verilerdir.
Kişisel veri, gerçek kişi için elde edilebilir olan her türlü bilgi olarak tanımlanırken; özel nitelikli veri ise kişiye ait din, mezhep, siyasi düşünce, kılık-kıyafet, dernek ve vakıf üyelikleri, biyometrik ve genetik bilgileri ile sağlık verileri olarak yer alır.
Her iki verinin de işlenmesi 6698 nolu kanun ile açık hale getirilmiştir.
Bu kanuna göre her iki verinin de kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Ancak kanun istisnai durumlardan da bahseder ve bu istisnai durumlarla birlikte kişisel verilerin işlenmesi mümkündür.
Kişisel Verilerin İşlenmesi Konusunun İstisnai Durumları Nelerdir?
6698 sayılı kanunda belirtilen yaptırımların uygulanmasını gerektirmeyen durumlar istisnai durumlar olarak bilinirler. İstisnai durumların genel kapsamında ise kamu güvenliği ve kamu yararı ele alınmıştır.
Kanunun 7. Maddesinde yer alan istisnalar başlığı altında açıklanan bu düzenlemeler, milli savunma ve milli güvenlik, kamu düzenini sağlama gibi konularda işlenebilir hale getirilmiştir.
Peki hastane kayıtları ya da kan grubu bilgilerinin KVKK kapsamında işlenmesi hangi başlıkta incelenebilir ve 6698 açısından nasıl değerlendirilmelidir?
Sağlık Bakanlığı ve Bağlı Kuruluşların Kişisel Sağlık Verilerinin İşlenmesi Yönetmeliği
Genel ilkeler itibariyle Sağlık Bakanlığı Yönetmeliğindeki bu konu ile ilgili açıklamalar şu şekilde;
- Hiç kimse sağlık hizmeti sunumu için gerekli olan haller dışında sağlık bilgilerini açıklamak zorunda değildir.
- Hasta kayıt işlemi sırasında hasta bilgileri alınırken 3. kişilerin bilgileri öğrenmesini engelleyecek tedbirler alınacaktır.
- Tahlil ve tetkik sonuçlarının 3.kişilerin eline geçmesi halinde kişisel verilerin ortaya çıkarılmasını zorlaştıracak önlemler alınacaktır.
Bu ifadelere ek olarak kişinin sağlık verilerinin gizlenmesi, düzeltilmesi, aktarılması ve imha edilmesi gibi konularda hastanın, hasta yakınlarının, çocukların ve vefat edenlerin sağlık verileri ile ilgili kişisel veriler düzenlenmeye çalışılmıştır.
Sağlık Bilgileri, Kan Grubu ve Hastane Kayıtlarının KVKK Kapsamında Değerlendirilmesi
Hastane kayıtlarının tutulması ve kan grubu bilgilerinin paylaşılması gibi konularda KVKK düzenlemelerini inceleyecek olursak öncelikle hastanelerin bu durumlar için kişilere imzalatmış oldukları açık rıza metinlerinin bulunduğunu bilmelisiniz.
Genellikle özel hastanelerde dikkat edilen ve hasta kayıt sırasında imzalanması beklenen kişisel veri formu ile ilgili kişinin açık rızasının alınmasını sağlamaya çalışırlar. Bu sayede, başta sağlık verileri olmak üzere kişisel ve özel nitelikli kişisel verilerin işlenmesi konusunda gerekli idari tedbirler alınmış olur.
Hastane yönetimi ile ilgili olan KVKK maddelerinin kapsamına bakacak olursak, öncelikle kişisel verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin devam edebilmesi için paylaşılabilmesi konusuna açıklık getirildiğini görebiliriz.
Sağlık hizmetlerinin gelişmesi için analiz yapılması, yeni doğan bebeklerin bildirimi, bazı tetkikler için hastane dışından alınan tıbbi cihaz sonuçlarına erişim gibi işlemlerde kişisel verilerin işlenebilmesi durumu hem hastanenin kurumsal kimliği hem de kişinin temel hak ve özgürlükleri kapsamında zarar görmemesi açısından onay alınarak kaydedilir.
Hastane politikalarındaki maddelerde değişkenlik görülse de, kişinin ad, soyad, iletişim bilgileri, ödeme bilgileri, fatura bilgileri, tıbbi tanı, teşhis ve tedavi için elde edilen bilgilerin, KVKK idari ve teknik tedbirler uygulanarak işlenmesi gerekir.
Sağlık durumuna veya tedavi sürecine ilişkin bilgilerin akrabalara veya hastaya yakın diğer kişilere aktarılmasına genellikle izin verilmez, kişisel veri olarak değerlendirilir. Hastanın açıklamaya rıza göstermesi veya sağlık nedenleriyle onay verememesi durumunda istisnalar göz önünde bulundurulur.