tjcl

Turkish Journal of Clinics and Laboratory

2149-8296

DNT Ortadoğu Yayıncılık A.Ş.

10.18663/tjcl.1891973

Patient Safety

Hasta Güvenliği

Özel hastanelerde tıbbi kayıt yönetimi ve kişisel sağlık verilerinin korunması: Mevzuat, doktrin ve içtihat temelli bir derleme

Medical records management and protection of personal health data in private hospitals: A review based on legislation, doctrine, and case law

https://orcid.org/0000-0002-1358-7459

Mermer

Gülşen

İSTANBUL YENİ YÜZYIL ÜNİVERSİTESİ

03 29 2026

1 02 18 2026 03 28 2026

2010

Turkish Journal of Clinics and Laboratory

Sağlık hizmetlerinin dijitalleşmesiyle birlikte tıbbi kayıtların yönetimi ve kişisel sağlık verilerinin korunması, özel hastaneler açısından artan hukuki ve kurumsal sorumluluk alanları oluşturmuştur. Tıbbi kayıtlar, bireyin bedensel ve ruhsal bütünlüğüne ilişkin en hassas bilgileri içermeleri nedeniyle, özel hayatın gizliliği ve kişilik hakları kapsamında yüksek düzeyde korunması gereken veriler arasında yer almaktadır. Bu durum, sağlık hizmeti sunumunun yanı sıra veri güvenliği ve mahremiyetin sağlanmasını da özel hastaneler için temel bir yükümlülük hâline getirmiştir.Bu derleme, özel hastanelerde tıbbi kayıt yönetimi ve kişisel sağlık verilerinin korunmasına ilişkin hukuki sorumluluk rejimini; yürürlükteki mevzuat hükümleri, akademik doktrin ve ulusal–uluslararası yargı içtihatları ışığında bütüncül bir yaklaşımla ele almaktadır. Çalışma kapsamında 2000–2025 yılları arasında yayımlanan ulusal ve uluslararası kaynaklar taranmış; 6698 sayılı Kişisel Verilerin Korunması Kanunu, sağlık mevzuatı, Yargıtay ve Anayasa Mahkemesi kararları ile Avrupa İnsan Hakları Mahkemesi’nin Z v. Finland kararı sistematik biçimde değerlendirilmiştir.Derlemede, tıbbi kayıtların hukuki niteliği, hasta mahremiyeti, veri sorumlusu olarak özel hastanelerin yükümlülükleri ve kurumsal sorumluluk alanları incelenmiştir. Mevzuat, doktrin ve içtihatların ortak vurgusunun, tıbbi kayıt yönetiminde önleyici ve insan hakları temelli bir yaklaşımın benimsenmesi yönünde olduğu ortaya konulmuştur. Sonuç olarak, özel hastanelerde tıbbi kayıtların hukuka uygun ve güvenli biçimde yönetilmesinin, hasta haklarının korunmasının yanı sıra kurumsal risklerin azaltılması açısından da temel bir gereklilik olduğu değerlendirilmiştir.

With the digitalization of healthcare services, the management of medical records and the protection of personal health data have become areas of increasing legal and institutional responsibility for private hospitals. Because medical records contain highly sensitive information relating to an individual’s physical and mental integrity, they constitute a category of data that requires an enhanced level of protection within the scope of the right to respect for private life and personality rights. This has made ensuring data security and privacy alongside the provision of healthcare services a fundamental obligation for private hospitals.This review addresses, through a holistic approach, the legal liability framework concerning medical records management and the protection of personal health data in private hospitals, in light of applicable legislation, academic doctrine, and national and international case law. Within the scope of the study, national and international sources published between 2000 and 2025 were reviewed; Law No. 6698 on the Protection of Personal Data and relevant health legislation, decisions of the Court of Cassation and the Constitutional Court, and the European Court of Human Rights’ judgment in Z v. Finland were systematically examined.The review examines the legal nature of medical records, patient privacy and confidentiality, the obligations of private hospitals as data controllers, and their areas of institutional responsibility. It demonstrates that the shared emphasis across legislation, doctrine, and case law is the adoption of a preventive, accountability-oriented, and human-rights-based approach to medical records management. In conclusion, managing medical records in private hospitals in a lawful and secure manner is essential not only for safeguarding patient rights but also for reducing institutional risks.

medical records personal health data patient confidentiality private hospitals data protection legal liability

tıbbi kayıtlar kişisel sağlık verileri hasta gizliliği özel hastaneler veri koruma yasal sorumluluk

Republic Of Turkey Presidency Legislation Information System. Law No. 6698 on the Protection of Personal Data. Official Gazette 2016; 5(57): 29677. Düstur 5th Series, Vol. 57. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5. Accessed January 3, 2026.

Korkmaz I. An assessment of the law on protection of personal data. Türkiye Barolar Birliği Dergisi 2016;124: 81-152.

Alçın AA. Personal health data in Turkish law and the administration’s obligation to protect per-sonal health data. Türkiye Adalet Akademisi Dergisi 2022; 51: 365-410.

Durmuş V. Kişisel Sağlık Verilerinin Korunmasında İdarenin Hukuki Sorumluluğu. Dokuz Eylül Üniversitesi Hemşirelik Fakültesi Elektronik Dergisi 2021; 14(1): 67-76.

Öget M. Responsibility of Private Health Institutions about Keeping Personal Health Records. İzmir Barosu Dergisi 2020; 3: 189-259.

European Convention on Human Rights. Case of Z v. FINLAND (Application no. 22009/93). Available from: https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-58033%22]}. Ac-cessed January 3, 2026.

Personal Data Protection Authority. Right to Request the Protection of Personal Data as a Con-stitutional Right. Accessed: Oct. 19, 2025. Available from: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/33c4cdce-f68f-4e5e-93a9-42e8845432ca.pdf. Accessed January 4, 2026.

Republic Of Turkey Presidency Legislation Information System. Turkish Penal Code (Law No. 5237). Official Gazette 2004; 5(43): 25611. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=5237&MevzuatTur=1&MevzuatTertip=5. Accessed January 4, 2026.

Republic Of Turkey Presidency Legislation Information System. Turkish Civil Code (Law No. 4721). Official Gazette 2004; 5(41): 24607. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=4721&MevzuatTur=1&MevzuatTertip=5. Accessed January 4, 2026.

Republic Of Turkey Presidency Legislation Information System. Turkish Code of Obligations (Law No. 6098). Official Gazette 2004; 5(50): 27836. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6098&MevzuatTur=1&MevzuatTertip=5. Accessed January 4, 2026.

Republic Of Turkey Presidency Legislation Information System. Regulations on Private Hospi-tals. Official Gazette January 30, 2025; 32798. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=41265&MevzuatTur=7&MevzuatTertip=5. Accessed January 4, 2026.

Republic Of Turkey Presidency Legislation Information System. Regulation on the Operation of Inpatient Treatment Institutions. Official Gazette 1983; 5(22): 2889. Available from: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=85319&MevzuatTur=3&MevzuatTertip=5. Accessed January 4, 2026.

Turkish Medical Association. Directive on Medical Records and Archive Services of Inpatient Treatment Institutions. Available from: https://www.ttb.org.tr/mevzuat_goster.php?Guid=5e6204ca-a285-11e7-9205-300896da83fe. Accessed January 4, 2026.

Etgü AA and Güçlü A. Hastanelerin Tıbbi Kayıtlardan Doğan Sorumlulukları, Selçuk Üniversi-tesi Akşehir Meslek Yüksekokulu Sosyal Bilimler Dergisi 2022; 13: 127-136.

Nowrozy R, Ahmed K, Kayes ASM, Wang H, McIntosh TR. Privacy preservation of electron-ic health records in the modern era: A systematic survey. ACM Computing Surveys 2024; 56(8): 1-37.

Dülger MV. Protection of Personal Data in Health Law and Patient Privacy. İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 2015; 1(2): 43-80.

Yilmaz SS. Anayasa Mahkemesi Kararları Işığında Kişisel Sağlık Verilerine Bakış, Terazi Hukuk Dergisi, 2020; 15(161): 101-110.

Jacquemard T, Doherty CP, and Fitzsimons MB. Examination and diagnosis of electronic pa-tient records and their associated ethics: a scoping literature review. BMC Med Ethics 2020; 2: 76.

Semyonov-Tal K. Keeping medical information safe and confidential: a qualitative study on perceptions of Israeli physicians. Isr J Health Policy Res 2024; 13(1): 54.

Beltran-Aroca CM, Girela-Lopez E, Collazo-Chao E, Montero-Pérez-Barquero M, Muñoz-Villanueva MC. Confidentiality breaches in clinical practice: what happens in hospitals? BMC Med Ethics 2016; 17(1): 52.

Shelat VG. Respecting privacy and upholding confidentiality: core ethical duties. Singapore Med J 2025; 66(12): 685-689.

Niveau G, Burkhardt S, Chiesa S. Medical confidentiality and the competent patient. J Med Ethics 2013; 39(11): 686-9.

Rogers WA, Draper H. Confidentiality and the ethics of medical ethics. J Med Ethics 2003; 29(4): 220-4.

World Medical Association. WMA Declaration of Lisbon on the Rights of the Patient. Availa-ble from: https://www.wma.net/policies-post/wma-declaration-of-lisbon-on-the-rights-of-the-patient/. Accessed January 6, 2026.