Kişisel Verileri Koruma Kurulunun 06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti


“Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler” hakkında Kişisel Verileri Koruma Kurulunun 06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti

 

Karar Tarihi : 06/02/2020
Karar No : 2020/93
Konu Özeti : Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler

 

İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan alınan yazıda;

  • Anayasanın 20 nci maddesinde kişisel verilerin korunmasını isteme hakkının kişisel verilerin silinmesini talep etme hakkını da kapsadığı ifade edilse de kişisel verilerin korunmasına ilişkin usul ve esaslarının kanunla düzenleneceğinin öngörüldüğü ve buna ilişkin usul ve esasların 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile belirlendiği,
  • Kanunun 7 nci maddesi hükmünden de anlaşılacağı üzere Anayasanın 20 nci maddesinde yer alan kişisel verilerin silinmesini talep etme hakkının mutlak hak olmayıp bu hakkın ileri sürülmesinin belirli şartların varlığına bağlandığı, Kanun ve ikincil düzenlemelerle belirlenen bu şartların dayanağının yine Anayasanın 20 nci maddesinin son fıkrasında bulunan “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü olduğu,
  • Buna ilaveten, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinde 
    1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.” hükmünün bulunduğu, dolayısıyla kişisel veri işleme şartlarının tamamının ortadan kalkmadığı gerekçesiyle ilgili kişilerin kişisel verilerinin silinmesi taleplerinin veri sorumlusu tarafından reddedilebileceği, bu Yönetmelik ile de bunun hüküm altına alındığı,
  • Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin düzenlendiği,
  • Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği
  • Kanunun tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,
  • Ayrıca Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü kapsamında, sağlığa ilişkin verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık rızaları olmaksızın Bakanlıklarınca işlenebileceği, bu durumda verilerin işlenme sebeplerinin açık rıza değil, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan amaçlar olduğu,
  • Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların, Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların silinmesinin uygun olmayacağının değerlendirildiği,
  • Diğer taraftan, Bakan Yardımcılığının 17.05.2019 tarihli Makam Oluru kapsamında sehven konulan tanıların silinmesi için tanı girişi yapan hekimin tanının hatalı kaydedildiğini bildiren yazısı, tanı girişinin yapıldığı sağlık tesisinin başhekim onaylı resmi yazısı veya hatalı kaydedildiği belirtilen tanının silinmesine ilişkin ilgili il sağlık müdürlüğünün ya da ilgili Genel Müdürlük yazısının Genel Müdürlüklerine iletilmesi gerektiği; 
  • Sehven kaydedildiği kanıtlanmamış tanılar için ise ilgili il sağlık müdürlüğüne başvurulması ve bünyesinde kurulan bir komisyon ya da ilgili il sağlık müdürlüğü tarafından görevlendirilen hekim vasıtası ile hatalı kaydedildiği iddia edilen tanının araştırılması, araştırma sonucunda tanının hatalı kaydedildiği sonucuna ulaşılması halinde düzenlenecek raporda “ilgili tanının kişide bulunup bulunmadığının” net şekilde ifade edilmesi ya da bu hususta bir eğitim araştırma hastanesinden alınacak heyet raporu ile birlikte sağlık tesisinin bağlı bulunduğu il sağlık müdürlüğüne başvuru yapılması gerektiği; bu sürecin takip edilmesi sonucunda sehven konulan tanılarla belirli bir muayene neticesinde konulmasına karşın kişi üzerindeki etkisi devam etmeyen tanıların silinmesinin mümkün bulunduğu 

belirtilmiştir.

Bahse konu şikayet başvurularının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06/02/2020 tarih ve 2020/93 sayılı Kararı ile;

  • 6698 sayılı Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup, Kanunun 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a)Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b)Belirli, açık ve meşru amaçlar kapsamında, 
    c)Doğru ve gerektiğinde güncel olma şartıyla, 
    ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
    d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
    ilkelerine uygun işlenebileceği,
  • Kanunun 6 ncı maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmiş olup, anılan maddenin;
    (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
    ” şeklinde hüküm altına alındığı,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesinin (1) numaralı fıkrasında Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği; 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun düzenlendiği, 
  • Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasında ise ilgili kişinin, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel verileri sileceği, yok edeceği veya anonim hale getireceği, ayrıca veri sorumlusunun, ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracağı ve ilgili kişiye bilgi vereceğinin belirlendiği,
  • Kanunun 11 inci maddesinde ise ilgili kişilerin hakları sıralanmış olup, maddede  “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir” hükmüne yer verildiği,
  • 21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k) bendinde kişisel verilerin imha edilmesinin;  kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde tanımlandığı,
  • Anılan Yönetmeliğin “Kişisel Sağlık Verilerinin Düzeltilmesi” başlıklı 13 üncü maddesinin;
    (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
    (2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
    (3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.” ve kişisel sağlık verilerinin imha edilmesi başlıklı 14 üncü maddesinin “(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.
    ” hükmünü amir olduğu

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına,
  • İlgili kişilerin kişisel sağlık verilerinin silinmesine ilişkin talepleri hususunda kişisel sağlık verilerinin işlenme şartlarından “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bu verilerin Bakanlık tarafından Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında işlendiği ve söz konusu işleme şartlarının ortadan kalkmaması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.