GDPR Kapsamında Elektronik Ve Mobil Uygulamalar İle Sağlık Verilerinin İşlenmesi
Sorularınız için, lütfen bizimle iletişime geçin, ekibimiz tüm sorularınızı cevaplamaya hazır.
Avrupa Konseyi, 108 sayılı Sözleşmenin uygun güvencelerin sağlanması için gerekli 6. maddesinde öngörülen koşulların karşılanması koşuluyla hassas verilerin işlenmesi sırasında kişisel verilerin korunması hususunda alınacak tedbirleri ulusal hukuka bırakmaktadır. AB hukukunda ise Genel Veri Koruma Tüzüğü’nün(GDPR) 9. Maddesi hassas veriler olarak da adlandırılan özel verilerin işlenmesi için geçerli detaylı bir rejim ortaya koymaktadır. Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyelik ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik veriler, sağlık ile ilgili veriler[1]veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin veriler özel nitelikli veriler olarak değerlendirilmekte ve bahse konu verilerin kendilerine özgü özelliklerinden kaynaklanan hassas konumları nedeniyle prensip olarak işlenmeleri yasaktır.[2]
Bununla birlikte GDPR’ın 9(2). Maddesinde sıralanan ve hassas verilerin işlenmesine meşruiyet kazandıran sınırlı sayıdaki istisnai durumlarda sağlık verilerinin işlenmesine izin verilmektedir. Söz konusu istisnalar aşağıda sıralanmıştır:
- Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi;
- Birlik veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;
- Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;
- İşleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;
- İşleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması;
- Yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;
- Gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;
- Koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve 3. Paragrafta atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;
- Özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi;
- Gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, 89(1) maddesi uyarınca kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.
Görüldüğü üzere özel nitelikli verilerin işlenmesi için profesyonel bir sağlık görevlisi ile akdedilen ve mesleki sır yükümlülüklerine tabi sözleşmeler hariç veri süjesi ile kurulacak sözleşme ilişkisi sağlık verileri gibi hassas nitelikli verilerin işlenmesi bakımından meşru bir yasal zemin teşkil etmemektedir.[3]Kişilerin sağlık durumuna ilişkin veriler GDPR’ın 9(1). Maddesi ve Modernize edilmiş 108 sayılı Avrupa Konseyi Sözleşmesinin 6. Maddesine göre hassas nitelikli veri olarak kabul edilmektedir. Buna bağlı olarak da hassas nitelikli verilere nazaran sağlık durumuna ilişkin veriler daha katı bir veri işleme rejimine tabi tutulmaktadır. GDPR genetik ve biyometrik verilerin yanı sıra kişinin geçmiş, güncel ya da gelecekteki fiziki ya da akıl sağlığı durumuna ilişkin bilgileri açığa vuracak tüm veriler[4] olarak tanımlanan sağlığa ilişkin kişisel verilerin işlenmesini 9(2). Maddede açıkça sayılan haller dışında yasaklamaktadır.
Z v. Finlandiya[5] kararında başvurucunun HIV virüsü kapmış eski eşi bazı cinsel içerikli suçlar işlemiştir. Daha sonra bilinçli bir şekilde mağdur ettiği kişileri HIV enfeksiyonu riskine maruz bıraktığı için taksirle adam öldürme suçundan hüküm giymiştir. Yerel mahkeme başvurucunun daha fazla süre ile gizlilik kararı alınması yönündeki talebine rağmen yargı hükmü ve dava dosyalarının 10 yıl süre ile gizli tutulmasını kararlaştırmıştır. İstinaf mahkemesi ise başvuruyu reddederek açıkladığı kararında başvurucu ve eski eşinin isim bilgilerini de açıklamıştır. AİHM, özel hayatın gizliliğine yapılan müdahalenin demokratik bir toplumda gerekli bir tedbir olmadığına hükmetmiştir. Zira tıbbi verilerin korunması özel ve aile hayatının gizliliğine saygı hakkının kullanılabilmesi için hayati bir öneme sahiptir özellikle de pek çok toplumda bu duruma atfedilen yafta göz nünde bulundurulduğunda HIV enfeksiyonu hakkındaki bilgiler söz konusu ise. Bu nedenle AİHM, hüküm açıklandıktan 10 sene sonra başvurucunun kimliği ve tıbbi durumuna ilişkin verilerin ifşa edilmesinin AİHS’nin 8. Maddesini ihlal edeceği sonucuna varmıştır.
Y v Türkiye kararında ise başvurucu HIV pozitifti. Hastaneye ulaştığı zaman bilinci kapalı olduğu için ambulans görevlileri kendisinin AIDS hastası olduğunu hastane görevlilerine bildirmişlerdi. Davacı hastalığına dair bilginin paylaşımının özel hayatının gizliliğini ihlal ettiğini iddia etmiştir. Ancak, AİHM, hastane görevlilerinin sağlık durumu için önleyici tedbirler alınması için gerekli olduğundan bahisle sağlık durumu bilgisinin paylaşımında herhangi bir ihlal bulmamıştır.
AB hukuku kapsamında GDPR’ın 9(2)(h) maddesi sağlık verilerinin önleyici tıp, tıbbi teşhis, bakım ve tedavi hizmetlerinin sunulması ya da sağlık hizmetlerinin idaresi amaçları ile işlenmesine imkân sağlamaktadır. Bununla birlikte veri işlemesi mesleki gizlilik yükümlülüğüne tabi bir sağlık profesyoneli ya da muadil bir sır saklama yükümlülüğüne tabi olan kişilerce yerine getirilmelidir.[6]
Avrupa Konseyinin 1997 tarihli Tıbbi Verilere İlişkin Tavsiye Kararı, 108 sayılı Sözleşmenin hükümlerinin tıbbi alanda daha detaylı bir şekilde uygulamayı amaçlamaktadır. Tavsiye Kararında öne sürülen kurallar özellikle tıbbi verilerin meşru olarak işlenme amaçları, sağlık verilerini işleyecek kişiler için gerekli mesleki gizlilik kuralları ve ilgili kişilerin şeffaflık ve bilgi edinme, yanlış bilgilerin düzeltilmesini ve silinmesini isteme hakları açısından GDPR ile paralel hükümlere yer vermektedir. Bunlara ek olarak sağlık hizmetleri alanında çalışan profesyonellerce meşru olarak işlenen sağlık verilerinin kanun uygulama birimlerine AİHS’nin 8. Maddesinde güvence altına alınan özel ve aile hayatının gizliliği hakkının ihlali sonucunu doğuracak bir şekilde ifşa edilmeyeceğine dair yeterli güvenceler sunulmadıkça aktarılmamasını öngörmektedir.[7]Buna ek olarak ulusal hukuk keyfi muamelelere karşı yeterli düzeyde hukuki koruma sağlamalı ve açık bir şekilde formüle edilmelidir.[8]
Tıbbi Verilere İlişkin Tavsiye Kararı ayrıca doğmamış çocuklar ve medeni ehliyetini kaybetmiş insanlara ilişkin tıbbi veriler ile genetik verilerin işlenmesi konularında hususi hükümlere yer vermektedir. İhtiyaç olandan daha fazla süre ile verilerin saklanabilmesi için bilimsel araştırma açık bir şekilde zikredilmekle birlikte genellikle kişisel verilerin anonim hale getirilmesi şartı getirilmektedir. Tıbbi Verilere İlişkin Tavsiye Kararı’nın 12. Maddesi araştırmacıların kişisel verilere ihtiyaç duyması ve anonimleştirilmiş verilerin yetersiz kalacağı durumlar için geçerli ayrıntılı düzenlemelere yer vermektedir. Bu bağlamda takma ad kullanılması bilimsel gerekliliklerin karşılanması ve hastaların çıkarlarının korunması bakımından uygun bir yöntem olarak düşünülebilir.
Avrupa Konseyi’nin 2016 tarihli Genetik Testler sonucu elde edilen verilere ilişkin tavsiye kararı da tıbbi alanda yapılacak veri işlemelerine uygulanabilir. Bahse konu tavsiye kararı bilgi ve iletişim teknolojilerinin tıbbi bakım hizmetlerinin sunumunu kolaylaştırmak amacıyla kullanıldığı eSağlık uygulamaları bakımından büyük öneme sahip olan bir belgedir. Bu noktada verilebilecek bir örnek hastanın ebeveyn testi bilgilerinin bir sağlık hizmeti sağlayıcısından diğerine aktarılmasıdır. Bahse konu tavsiye kararı kişinin sağlık, fiziki bütünlük ya da ölüm gibi durumlardan kaynaklı risklere karşı korunması amaçlarıyla kişisel verilerinin işlenmesi ile ilgili olarak kişilerin haklarının korunmasını amaçlamaktadır. Sigorta şirketleri sağlığa ilişkin verilerin işlenebilmesi için meşru nedenler ortaya koymalı ve ele alınan riskin önem düzeyi ve tabiatı ile orantılı bir şekilde veri işlenmesi ön görülmektedir. Bu tür verilerin işlenmesi ilgili kişinin rızasına bağlı olup sigorta hizmeti verenler ayrıca sağlık verilerinin depolanması için yeterli güvencelere de sahip olmalıdırlar.
Belgelendirilmiş araştırma ortamlarında yeni ilaçların hastalar üzerinde etkilerini değerlendiren klinik deneylerin de kişisel verilerin korunması bakımından önemli etkileri bulunmaktadır. İnsanların kullanımına sunulacak tıbbi ürünler için gerçekleştirilen klinik deneyler 2001/20/EC sayılı klinik deneylerin düzenlenmesi hakkındaki AB direktifini ilga eden 536/2014 sayılı ve 16 Nisan 2014 tarihli AB Tüzüğü tarafından düzenlenmiştir. Klinik deneylere İlişkin tüzüğün ana unsurları aşağıdaki gibi sıralanabilir[9]:
- AB portalı üzerinden işleyen hızlı başvuru prosedürü;
- Klinik deneylere ilişkin başvuruların değerlendirilmesi için geçerli vade süreleri;
- Üye devletlerin ulusal hukuklarına uygun olarak belirlenecek etik komitelerin başvuruların değerlendirilmesine iştirak etmesi ve;
- Klinik deneyleri ve bunların sonuçlarına ilişkin şeffaflığın geliştirilmesi.
GDPR, klinik deney faaliyetleri kapsamında bilimsel araştırmalara katılmak için gerekli rıza alınması noktasında 536/2014 sayılı Tüzük hükümlerinin uygulanacağını belirtmektedir.
Elektronik Sağlık Kayıtları:
Elektronik Sağlık Kayıtları bireyin geçmiş ve güncel fiziki ve akli sağlığına ilişkin kapsamlı tıbbi kayıtlar ya da benzeri belgelendirmelerin elektronik ortamda saklanması ve tıbbi müdahale ya da diğer yakından ilişkili amaçlarla bu verilerin kolayca erişilebilmesinin sağlanması olarak tanımlanmaktadır. Esas olarak elektronik sağlık kayıtları hastaların tıbbi geçmişlerinin elektronik versiyonu olup tıbbi geçmiş, sağlık sorunları ya da durumları, kullanılan ilaçlar ve tedaviler ile muayene ve laboratuvar sonuçları ve raporları gibi verileri ihtiva edebilmektedir. Kayıtların bütününü ya da bir kısmını içerebilecek olan bu elektronik dosyalar genel tıp hekimleri, eczacı ve diğer sağlık bakım hizmetleri çalışanlarınca erişilebilirler. “eSağlık” konsepti aynı zamanda bahse konu sağlık kayıtları ile yakından ilişkilidir. Özellikle kayıtlara erişim, uygun saklama koşulları ve ilgili kişilerin kendilerine ilişkin verilere erişim hakkı gibi hususlarda başta olmak üzere elektronik sağlık dosyaları kişisel verilerin korunması noktasında birçok sorunu gündeme getirmektedir.
Elektronik sağlık kayıtlarının yanı sıra mobil sağlık(mHealth) uygulamaları da sağlık bakım hizmetlerini dönüştürme ve hizmetlerin etkinlik ve kalitesini artırma potansiyeline sahip bir başka ilgili alan olarak son yıllarda hızlı bir gelişme göstermiştir. Cep telefonları, hasta takip cihazları, kişisel dijital yardımcılar ve diğer kablosuz cihazları ile mobil cihazlar ve sensörler ile çalışabilen uygulamaların kamu sağlığı hizmetlerinde aktif bir şekilde kullanılmasından kaynaklanan bu yeni uygulamalar da kişisel verilerin korunması hususunda yeni sorunları gündeme getirmektedir. Bu soruna cevap olarak AB Komisyonu dijital tek Pazar içerisinde sağlık ve bakım hizmetlerinin dijital olarak dönüştürülmesini temin etmek için bir bildiri yayınlamıştır.[10] Daha önce yayımlanan yeşil kitapta[11] olduğu gibi Komisyon, mobil sağlık uygulamalarının hassas nitelikli sağlık verilerini düzenli olarak işlenmesini de içerdiği için kişisel verilerin korunması noktasında doğuracağı risklere dikkat çekmiştir. Bu alandaki gelişmelerde hasta verileri için şifreleme gibi spesifik ve uygun güvenlik tedbirleri alınmalı ve güvenlik risklerini elimine edebilmek için uygun hasta doğrulama mekanizmaları geliştirilmelidir. Bunun yanı sıra Komisyon’a göre mobil sağlık çözümlerine vatandaşların güven düzeyinin artırılması için ilgili kişinin veri işleme operasyonları hakkında aydınlatılması, veri güvenliği tedbirlerinin eksiksiz alınması ve kişisel verilerin hukuka uygun bir biçimde işlenmesi hayati bir önem taşımaktadır.[12] Bu ihtiyacı karşılamak amacıyla veri koruma uzmanları, sektör temsilcileri ve bilişim teknolojileri ve sağlık hizmeti çalışanlarının temsilcilerinin katılımıyla davranış kuralları geliştirilmiştir. Halen Avrupa Veri Koruma Kurulu’nun onayını beklemekte olan davranış kuralları GDPR hükümlerine uygun olması için yeniden dizayn edilmiştir. Mevcut taslak metne AB Komisyonunun resmi sitesinden ulaşılabilir.[13]
[1] Örneğin, Bodil Lindqvist davasında davalı tarafından kişilerin isimleri ya da telefon numaraları, hobilerine ilişkin veriler gibi diğer yollarla internet sayfasında atıfta bulunmaları söz konusuydu. ABAD’a göre kişinin ayağını incitmiş olması ve sağlık nedeniyle yarım gün işe geliyor olması sağlığa ilişkin kişisel veri anlamına gelmektedir. Ayrıntılı bilgi için bkz: CJEU, C-101/01, Criminal proceedings against Bodil Lindqvist, 6 November 2003, paragraf 51.
[2]95/46/EC sayılı (Mülga) Direktif ’in 7 (f) Maddesi, güncel olan GDPR’ın 9 (1).Maddesi.
[3]Genel Kişisel Veri Koruma Tüzüğü Md. 9 (2) (h) ve (i).
[4]Genel Kişisel Veri Koruma Tüzüğü resital 35.
[5]AİHM, Z v. Finland, No. 22009/93, 25 Şubat 1997, paragraf: 94 ve 112; ayrıca bkz: AİHM, M.S. v.
Sweden, No. 20837/92, 27 Ağustos 1997; L.L. v. France, No. 7508/02, 10 Ekim 2006;
I v. Finland, No. 20511/03, 17 July 2008; K.H. ve diğerleri v. Slovakia, No. 32881/04,
28 Nisan 2009; Szuluk v. the United Kingdom, No. 36936/05, 2 Haziran 2009.
[6]Bu meyanda örnek bir içtihat kararı için bkz: AİHM, Biriuk v. Litvanya, No. 23373/03, 25Kasım 2008.
[7]AİHM, Avilkina ve diğerleri v. Rusya, No. 1585/09, 6 Haziran 2013, paragraf 53.
[8]AİHM, L.H. v. Latvia, No. 52019/07, 29 Nisan 2014, paragraf 59.
[9]Klinik deneylere İlişkin 536/2014 sayılı AB tüzüğünün Madde 5(1).
[10]Communication on enabling the digital transformation of health and care in the Digital Single Market; empowering citizens and building a healthier society. 25 Nisan 2018. Erişim için: https://ec.europa.eu/digital-single-market/en/news/communication-enabling-digital-transformation-health-and-care-digital-single-market-empowering.
[11]European Commission (20140), Green paper on mobile Health (“mHealth”), COM(2014) 219 final,
Brussels, 10 April 2014.
[12]Communication on enabling the digital transformation of health and care in the Digital Single Market, Title 3. Citizens' secure access to and sharing of health data.
[13]https://ec.europa.eu/digital-single-market/en/news/code-conduct-privacy-mhealth-apps-has-been-finalised