Kişisel veri dediğimiz kavram, aslında özel yaşamın gizliliğinin bir alt kümesi midir? Özel yaşamın gizliliğine dahilse neden ayrıca kanun maddeleri tarafından koruma altına alınmaktadır? Baskın görüşe göre gelişen teknolojinin beraberinde getirdiği internet çağı ve toplum karşısında özel yaşamın gizliliği kişi haklarını korumada bir nevi yetersiz kaldığı için özel yaşamın gizliliğinden ayrılmaktadır. Kişisel verilerin korunması, hem uluslararası hukuk açısından insani bir hak, hem de ulusal hukuk açısından Anayasa’nın 20.maddesince düzenlenmiş temel bir haktır. Kişisel veri kavramı İngilizce “personal data” kavramından gelmektedir. Türkiye’de 2016 yılında yürürlüğe giren kişisel verilerin korunmasına ilişkin 6698 sayılı Yasanın 3. maddesinin 1. fıkrasının (d) bendinde şöyle tanımlanmaktadır:
d)“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.” Her türlü bilgiden kasıt “Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder.
Elde edilen bilgilerle kişinin tespit edilebileceği tüm bilgileri kapsar. İsim, telefon numarası, parmak izi, pasaport numarası, ses kayıtları, özgeçmiş, sosyal güvenlik numarası, resim, görüntü ve genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.” şeklinde tanımlanır.
Kişisel veriler, ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kanun 5.maddenin 2.fıkrasından en azından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesini mümkün kılmıştır:
a)Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu fıkralardan biri veya birden fazlasının olması halinde Türk Ceza Kanunu’na göre hukuka uygunluk durumu oluşur.
Bireyler, mahrem bilgilerini tıbbi müdahale sırasında hastaneler, aile hekimleri, sağlık poliklinikleri gibi kurumlarla paylaşmaktadır. Sağlık hizmeti veren kurumların, bu bilgileri gizli tutması hem Kişisel Verilerin Korunması Kanunu bakımından hem de Hasta Hakları Yönetmeliği bakımından bir zorunluluk taşımaktadır çünkü tıbbi kayıtlar kişisel bir veri niteliğindedir. Bu verilerin gizlenmesi bireyin topluma karşı kişisel haklarının, şeref ve haysiyetinin korunması; olası bir ayrımcılığa maruz kalınmasının önüne geçilmesi gibi nedenlere dayandırılabilir.
Hastanın mahremiyeti hususuna ayrıntılarıyla girmeden önce hassas veri tabirine değinmek konunun anlaşılması açısından oldukça önem taşımaktadır. Kişinin “ırksal veya etnik kökeni, siyasi görüşü, dinsel veya felsefi inancı, sendika üyeliği, sağlık ve cinsel yaşamı ve her türlü mahkûmiyetleri” hassas veri olarak nitelendirilir.
Özel nitelikli yani hassas veri olarak nitelendirdiğimiz kişisel veriler ilgilinin açık rızası olmaksızın işlenemez. Ancak hassas verilerin de işlenmesi için açık rızanın aranmayacağı haller mevcuttur bu durum 6698 sayılı KVKK’nın 6/3.maddesinde “sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği” şeklinde belirtilmiştir.
Sağlık Bakanlığı tarafından çıkarılan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyeti “Kişisel sağlık verilerinin, ilk fıkrada sayılan amaçlar dışında anonim hale getirilmeden işlenmesi için ilgili kişiye ait verilerin işlenme gerekçesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir” fıkrasında verilerin hasta rızasına dayanarak işlenebileceği hususuna bir kez daha dikkat çekmiştir.
Bir başka konu ise rızanın geri alındığı durumlarda önceki işlemlere etkisi olup olmayacağıdır. Rızanın geri alınması halinde, o tarihe kadar işlenmiş veriler bakımından bir sorumluluk doğmamaktadır. Kişisel sağlık verilerinin işlenmesi durumunda Türk Ceza Kanunu’nun 135 ve 136. maddeleri açısından bir hukuka uygunluk nedeninin olup olmadığına tüm bu hükümler göz önüne alınarak karar verilmelidir.
Yine Hasta Hakları Yönetmeliği’nin 23.maddesinin 3.fıkrasında “hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hem hukuki hem de cezai sorumluluğunu da doğuracaktır.” Şeklinde hasta gizliliğinin ihlal edildiği halde cezai sorumluluğuna dikkat çekilmektedir.
KVKK gün geçtikçe güncelleşen, ülkemizle tanışalı neredeyse dört yıl olan; kurum ve kuruluşlarca bilincinin yeni yeni oluştuğu ve genç bir kanundur. Bu yüzden ilgili konu hakkında daha oturaklı düzenlemelerin tesis edildiği, karar ve çalışmaların yapıldığı günleri görmek çok da uzak sayılmaz.