T.C. SAĞLIK BAKANLIĞI Sağlık Hizmetleri Genel Müdürlüğü
Sayı : 64706799 Konu : Muayene Bilgi Yönetim Sistemi (MBYS) (DAĞITIM YERLERİNE) İlgi : 07.07.2020 tarih ve 1157 sayılı yazımız.
Bilindiği üzere, 1 Temmuz 2020 tarihi itibari ile İllerde hizmet veren özel muayenehaneler, özel diş muayenehaneleri, özel ağız diş sağlığı poliklinikleri ve özel ağız diş sağlığı merkezlerinden MBYS sistemine entegre olanların sisteme devamı ve yaptıkları iş ve işlemlere ait sağlıklı veri gönderilmesinin sağlanması, sisteme entegre olmayanların 1 Eylül 2020 tarihine kadar MBYS’ye entegre olmaları ve sağlıklı veri gönderilmesinin sağlanması hususunda ilgide kayıtlı yazımız ile İl Sağlık Müdürlüklerine talimat verilmiştir.
Konu ile ilgili olarak Bakanlığımıza intikal eden muhtelif başvurularda özetle;
-Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27/8 maddesinin yürütmesinin Danıştay 15. Dairesinin 15.01.2019 tarih ve 2018/530 sayılı kararı ile durdurulduğundan buna
dayalı sağlık kuruluşlarına yükümlülük getirilemeyeceği,
- Hekim ve hasta arasındaki güven ilişkisi ile hasta mahremiyetine aykırı olduğu,
- Kişisel Bilgilerin/Verilerin Korunması Kanununa aykırı olduğu,
- Kanunlar ve hukuk kuralları kapsamında hasta bilgilerinin ve hastalara ait tıbbi verilerin gönderilmesinin hekimler açısından mağduriyet yaratacağı, iddia edilmekte,
Hastalara ait kişisel verilerin paylaşılmasının Avrupa İnsan Hakları Sözleşmesinin 8. maddesine, TC Anayasasının 20. maddesine ve Kişisel verilerin Korunması Kanununun 4. ve 6. madesine aykırı olduğu belirtilerek bu bilgilerin paylaşılmasının Türk Ceza Kanunun 134. Maddesi bakımından özel hayatın gizliliğini ihlal etme ve 136. Maddesi bakımından kişisel verileri hukuka aykırı olarak verme suçu teşkil edeceğinden hekimlerin mağduriyetine neden olacağı belirtilerek, MBYS sistemi kapsamında;
- Teşhis ve tedavilerini özel sağlık kuruluşunda yürüttükleri hastalara ilişkin bilgilerin açıkça hangi amaçla talep edildiği,
- Talep edilen verilerin amacın gerçekleşmesini ne şekilde sağlayacağı,
-Söz konusu bilgilerin anonimleştirilerek, hastaların kimlik bilgisi olmaksızın verilmesinin amacı
sağlamak için yeterli olup olmadığı ve yeterli değilse nedeni,
-Veri işleme sürecinin öngörülebilir olabilmesi açısından bir bütün olarak nasıl yürütüleceği, Sorulmaktadır.
Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27 nci maddesinin sekizinci fıkrasının yürütmesinin Danıştay 15. Dairesinin 15.01.2019 tarihli ve 2018/530 sayılı kararı ile durdurulmasından dolayı, sağlık kuruluşlarına yükümlülük getirilemeyeceğine ilişkin,
Danıştay 15. Dairesinin 15.01.2019 tarihli ve 2018/530 Esas sayılı kararında özetle, 07.04.2016
tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun çerçeve niteliğinde bir yasal düzenleme olduğu, Kanun’un genel gerekçesinde Kişisel Verileri Koruma Kurumunun kişisel verilerin işlenmesi sürecini kontrol eden ve denetleyen kurum
olarak belirtildiği, aynı Kanun’un 22 nci maddesinin birinci fıkrasının (h) bendinde “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek” hükmüne yer verildiği, anılan hüküm kapsamında dava konusu yönetmelik oluşturulurken Kişisel Verileri Koruma Kurulundan görüş alınması gerektiği ifade edilmiş, Kurul kararı olmadığı için Bakanlığımızca hazırlanan dava konusu yönetmeliğin Esasına girilmeden Usul yönünden incelenerek
yürütmesi durdurulmuştur.
Yine aynı kararda; Danıştay 15. Dairesi’nin 06.07.2017 tarihli kararı ile Kurul’a görüş sorulmaması sebebiyle 20.10.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik”in yürütmesinin durdurulmasına karar verildiği belirtilmiştir.
Nitekim anılan idari düzenlemelerin hazırlandığı tarihte Kurul henüz toplanmamış olduğu için olmayan bir Kurul’a görüş sorulamamıştı.
Kurul oluşturulduktan sonra görüş alınarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik
21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Anılan yönetmelik aleyhine Türk Tabipler Birliği, Türk Eczacılar Birliği, Türkiye Barolar Birliği ve bazı avukatlar ile doktorlar tarafından yürütmenin durdurulması istemiyle açılan bütün davalar Danıştay 10. Dairesi tarafından reddedilmiştir.
Ayrıca 10.07.2018 tarihli ve 30474 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 1 sayılı
Cumhurbaşkanlığı Kararnamesinin “Bilgi Toplama, işleme ve paylaşma yetkisi” başlıklı 378 inci maddesinin birinci fıkrasında “Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.” hükmü ve ikinci fıkrasında “Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir.” hükmü bulunmaktadır.
Yukarıda anılan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 21 inci maddesinin üçüncü fıkrasında “Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.” hükmü bulunmaktadır.
Hasta bilgilerinin ve hastalara ait tıbbi verilerin Bakanlığımıza gönderilmesinin Anayasanın
20 nci maddesine, Kişisel Verilerin Korunması Kanunu’na, hekim ile hasta arasındaki güven ilişkisine ve hasta mahremiyetine aykırı olduğu ayrıca TCK maddeleri gereğince tıbbi verilerin gönderilmesinin hekimler açısından mağduriyet yaratacağına ilişkin,
Anayasanın 20 nci maddesinin üçüncü fıkrasında; “Kişisel veriler ancak kanunda öngörülen
hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına esas ve usuller kanunla düzenlenir.” hükmü bulunmaktadır. Dolayısıyla Anayasa’da konuya ilişkin olarak iki şart öngörülmektedir ve bu şartlardan herhangi birinin sağlandığı durumlarda kişisel verilerin hukuka uygun bir şekilde işlenmiş olarak kabul edileceği hüküm altına alınmaktadır. “Kanunda öngörülmüş olma” hali, kişisel verilerin
hukuka uygun olarak işlenebileceği iki şarttan biri olarak belirlenmiştir.
Mezkûr maddede öngörülen Kanun olan 6698 sayılı Kişisel Verileri Koruma Kanunu’nda kural olarak kişisel sağlık verileri ilgili kişilerin açık rızası olmadan işlenememektedir. Bununla birlikte aynı Kanun’un 6 ncı maddesinin üçüncü fıkrasında bu verilerin, “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yönetimi ve planlanması” amaçlarıyla, ilgili kişilerin açık rızası olmaksızın, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği düzenlenmektedir. Madde hükmünde yer alan “yetkili kurum ve kuruluşlar” ifadesi ile kastedilmek istenen otoritelerin Bakanlığımız ve Sosyal Güvenlik Kurumu olduğu hususu Kanun gerekçesinde de bulunmaktadır.
Bahsi geçen düzenlemeler göz önünde bulundurulduğunda yasal yetki ve görevler çerçevesinde hareket edilmesi sebebiyle, kişisel sağlık verilerini işleyen ve Bakanlığımıza aktaran hekimler açısından
Türk Ceza Kanunu’nun 134 ve 136 ncı maddeleri kapsamında özel hayatın gizliliğini ihlal veya verileri
hukuka aykırı olarak verme veya ele geçirme suçlarının unsurlarının oluşmayacağı düşünülmektedir.
Teşhis ve tedavileri özel sağlık kuruluşunda yürütülen hastalara ilişkin bilgilerin açıkça hangi amaçlarla talep edildiğine ilişkin,
Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, herkesin bedenî, zihnî ve sosyal bakımdan tam bir iyilik hâli içinde hayatını sürdürmesini sağlamak, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi için çalışmalar yapmak, teşhis, tedavi ve rehabilite edici sağlık hizmetlerini yürütmek, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesini önlemek amaçlarıyla Bakanlığımız kişisel verileri toplamaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6 ncı maddesinin üçüncü fıkrasında, sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.
Veri işleme sürecinin nasıl ilerleyeceğine ilişkin 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5 inci maddesinde bu husus düzenlenmiş olup;
MADDE 5 – (1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla
Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri
kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer
almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu
materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak
10/3/2018tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları
Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.”
şeklinde ifade edilmiştir.
Ayrıca yine aynı yönetmeliğin “Veri Güvenliği” başlıklı 6 ncı bölümünde veri güvenliğine ve bilgi güvenliğine ilişkin yükümlülükler düzenlenmektedir. Anılan maddeler gereğince veri işleme sırasında Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınmaktadır.
Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesine aykırılık iddiasına ilişkin,
Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesinin birinci fıkrasında, “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.” hükmü bulunmaktadır. Aynı maddenin ikinci fıkrasında; “Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin
korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.” hükmü bulunmaktadır. Anılan hükümden de anlaşılacağı üzere yasayla öngörülmüş olma hali 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6 ncı maddesinin üçüncü fıkrası ile birlikte incelendiğinde ve kamu sağlığının korunması kapsamında değerlendirildiğinde Bakanlığımızın kişisel sağlık verilerini işlemesinin Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesine aykırılık teşkil etmeyeceği,
Bu çerçevede ilgi yazımız gereğinin yerine getirilmesi, uygulamayanlar hakkında, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 11’inci maddesi hükümleri çerçevesinde işlem yapılması gerektiği hususunda bilgilerinizi ve gereğini rica ederim.
Prof. Dr. Ahmet TEKİN
Bakan a.
Sağlık Hizmetleri Genel Müdürü
Kaynak: Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğü’nün 12.3.2021 tarih ve E.64706799 sayılı yazısı
