Legal Responsibility of Administration for the Protection of Personal Health Data

Öz

Health institutions are places where personal health data is intensively processed and maintained. These data are collected and processed during each examination and treatment. All kinds of information regarding the mental and physical health of a person may be considered within the field of personal health data. Hence, there are some data that every patient has to share with the administration in the process of examination and treatment. This data may be related to the health and sexuality of the individual and socio-demographic. It has become easier to obtain and process the personal health data. The protection of information is regulated as a fundamental right in various agreements at international level. With the development of information technology, it is necessary to provide personal data security and to take comprehensive protection measures by the administration. This review article aims to to explain the legal responsibility of the administration in the light of the decisions of the European Court of Human Rights and the Supreme Administrative Court by presenting the importance of ensuring privacy and the protection of personal health data in health care providers. In addition, suggestions for the protection of personal health data were presented during the conduct of administrative health activities.

Anahtar Kelimeler

• Personal Health Data
• Personal Data Processing
• Privacy
• Administration
• Health Services

Kişisel Sağlık Verilerinin Korunmasında İdarenin Hukuki Sorumluluğu

Öz

Sağlık kuruluşları, kişisel sağlık verilerinin yoğun olarak işlendiği ve muhafaza edildiği yerlerdir. Her muayene ve tedavi esnasında bu veriler yeniden toplanmakta ve işlenmektedir. Bir kişinin ruhsal ve fiziksel sağlığına ilişkin her türlü bilgi kişisel sağlık verisi kapsamında değerlendirilebilir. Bu nedenle, her hastanın muayene ve tedavi sürecinde idare ile paylaşmak zorunda olduğu veriler bulunmaktadır. Bu veriler bireyin sağlık ve cinsel durumuna ait olabileceği gibi sosyo-demografik nitelikte de olabilir. Dijital teknolojinin gelişmesiyle birlikte, kişisel sağlık verilerinin elde edilmesi ve işlenmesi de kolaylaşmıştır. Ancak bu durum aynı zamanda kişisel sağlık verilerinin rahatlıkla ihlal edilmesine yol açmıştır. Hassas veri niteliğinde olan bu bilgilerin korunması Anayasada ve uluslararası düzeyde çeşitli sözleşmelerde temel hak olarak düzenlenmiştir. Bilişim teknolojisinin gelişmesiyle birlikte, kişisel veri güvenliğinin sağlanması ve idare tarafından kapsamlı koruma önlemlerinin alınması gerekmektedir. Aksi takdirde idarenin veya veri sorumlularının kişisel sağlık verilerinin korunmasında hukuki sorumluluğu doğacaktır. Bu derleme makalenin amacı, sağlık kurum ve kuruluşlarında kişisel sağlık verilerinin korunması ve mahremiyetin sağlanmasının önemini ortaya koyarak Avrupa İnsan Hakları Mahkemesi ve Danıştay kararları ışığında idarenin hukuki sorumluluğunu açıklamaktır. Ayrıca, idari sağlık faaliyetlerinin yürütülmesi sırasında kişisel sağlık verilerinin korunmasına yönelik öneriler sunulmuştur.

Anahtar Kelimeler

• Kişisel sağlık verisi
• kişisel verilerin işlenmesi
• gizlilik
• idare
• sağlık hizmetleri

Kaynakça

1. 1. Brown JS, Duguid P. Enformasyonun Sosyal Yaşamı. Çeviri: Bingöl Çİ. Türk Henkel Dergisi Yayınları; 2001.
2. 2. Ojha AC, Pani SK. Data Science and Big Data Analytics. In: Big Data Analytics and Computing for Digital Forensic Investigations. CRC Press Publishing, 2020.
3. 3. Cui Y, Kara S, Chan KC. Manufacturing big data ecosystem: A systematic literature review. Robotics and Computer-Integrated Manufacturing. 2020;62 (1), 101861.
4. 4. He J, Baxter SL, Xu J, Xu J, Zhou X, Zhang K. The practical implementation of artificial intelligence technologies in medicine. Nat Med. 2019;25(1):30–6.
5. 5. Regulation (EU) 2016/679 of the European Parliament and of the Council. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN. Erişim Tarihi: 10 Mayıs 2020.
6. 6. Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu [Internet]. Ankara: KVKK Yayınları; 2019. https://www.kvkk.gov.tr/Icerik/5388/Madde-ve-Gerekcesi-ile-Kisisel-Verilerin-Korunmasi-Kanunu-Bilgi-Notu-ve-Kisisel-Verilerin-Korunmasina-Iliskin-Terimler-Sozlugu. Erişim Tarihi: 10 Mayıs 2020.
7. 7. Truong NB, Sun K, Lee GM, Guo Y. GDPR-Compliant Personal Data Management: A Blockchain-Based Solution. IEEE Trans Inf Forensics Secur. 2020;15(OCTOBER):1746–61.
8. 8. Anayasa Mahkemesinin 2014/1970 başvuru numaralı, 22.11.2017 tarihli kararı. http://www.kararlaryeni.anayasa.gov.tr/Content/pdfkarar/2014-1970.pdf. Erişim Tarihi. 20 Mayıs 2020.

9. 9. Anayasa Mahkemesi’nin 9/4/2014 Tarihli ve E: 2013/122, K: 2014/74 sayılı kararı http://www.resmigazete.gov.tr/eskiler/2014/07/20140726-15.pdf. Erişim Tarihi. 20 Mayıs 2020.
10. 10. Kişisel Sağlık Verileri Hakkında Yönetmelik. https://www.resmigazete.gov.tr/eskiler/2019/06/20190621-3.htm. Erişim Tarihi. 20 Mayıs 2020.
11. 11. Bietz MJ, Bloss CS, Calvert S, Godino JG, Gregory J, Claffey MP, et al. Opportunities and challenges in the use of personal health data for health research. J Am Med Informatics Assoc. 2016; 23 (e1), 42-48.
12. 12. Karampela M, Ouhbi S, Isomursu M. Personal health data: A systematic mapping study. Int J Med Inform. 2018; 118:86-98.
13. 13. Öztek Z. Sağlık Kavramı ve Sağlık Hizmetleri. Yeni Türkiye Dergsi. 2001; Sağlık özel sayısı (39):295.
14. 14. Öztek Z. Halk Sağlığı Bakışıyla sağlık Hizmetleri: Kavramlar-İlkeler-Politikalar. 1.Basım. İstanbul: Maltepe Üniversitesi Tıp Fakültesi. 2019; 22–50.
15. 15. World Health Organization (WHO). Health services https://www.who.int/topics/health_services/en/. Erişim Tarihi: 21 Mayıs 2020.
16. 16. Dülger MV. Kişisel Sağlık Verilerine İlişkin Ceza ve İdare Hukuku Normları. Kişisel sağlık Verileri IIUlusal Kongresi (3-4 Haziran 2017) Türk Tabipler Birliği Yayınları. 2017;52–8. https://www.ttb.org.tr/kutuphane/ksv_2017.pdf. Erişim Tarihi: 18 Mayıs 2020.
17. 17. Altundiş M. Tıbbi kişisel verilerin tutulması ve korunması yükümlülüğü ve idarenin bu yükümlülüğünü yerine getirmemesinden doğan sorumluluğu. Türkiye Adalet Akad Derg. 2016;7(28):313–51.
18. 18. Carey P. Data Protection: A Practical Guide to UK and EU Law. Fifth edit. Oxford University Press. 2018; 3.
19. 19. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 sayılı kararı https://www.kvkk.gov.tr/Icerik/4110/2018-10. Erişim Tarihi: 26 Mayıs 2020.
20. 20. Kaya C. Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası. 2011;69(1–2):317–34.
21. 21. Akgül A. Avrupa İnsan Hakları Mahkemesi Kararlarında Kişisel Verilerin Korunması Hakkı. Terazi Hukuk Derg. 2014;9(92):72–81.
22. 22. Bart Custers, Alan M.Sears FD. EU Personal Data Protection in Policy and Practice. First edit. Netherlands: Asser Press, Springer. 2019; 1–192.
23. 23. Winter JS, Davidson E. Big data governance of personal health information and challenges to contextual integrity. Inf Soc. 2019.
24. 24. Danıştay 15.Dairesi’nin E.2016/10488 YD. T.6.7.2017 sayılı kararı. Lexpera İçtihat Bankası. https://www.lexpera.com.tr/ictihat/danistay/15-d-e-2016-10488-k-yd-t-6-7-2017. Erişim Tarihi: 22 Mayıs 2020.
25. 25. Danıştay 15.Dairesi’nin 06.07.2017 tarih ve E.2016/10500 sayılı ve 26.06.2018 tarih ve E.2018/844 sayılı kararları. http://www.ttb.org.tr/userfiles/files/ksv-yd.pdf. Erişim Tarihi: 19 Mayıs 2020.
26. 26. Danıştay 15.Dairesi’nin 17.01.2018 tarih ve E.2017/2258 sayılı kararı. http://www.ttb.org.tr/userfiles/files/D_15 YD HK_karar.pdf. Erişim Tarihi: 22 Mayıs 2020.
27. 27. Danıştay 15.Dairesi’nin E.2015/3035 ve K.2017/6611 sayılı kararı. https://www.lexpera.com.tr/ictihat/danistay/15-d-e-2015-3035-k-2017-6611-t-14-11-2017. Erişim Tarihi: 20 Mayıs 2020.
28. 28. Sağlık Bakanlığı’nın 2016/6 numaralı ve 26 Nisan 2016 tarihli Genelgesi https://kisiselveri.saglik.gov.tr/TR,56190/20166-sayili-genelge.html. Erişim Tarihi: 23 Mayıs 2020.
29. 29. Atak S. Avrupa Konseyinin Kişisel Veriler Açısından Sağladığı Temel Güvenceler. Türkiye Barolar Birliği Derg. 2010;87:90–120.
30. 30. Henkoğlu T. Veri Koruma Kanununun Getirdikleri. J Curr Res Soc Sci. 2017;7(2):241–50.
31. 31. Özdemir H. Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması. Seçkin Yayınevi. 2009.
32. 32. Akıncı AN. Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi. Ankara; 2017. http://www.sbb.gov.tr/wp-content/uploads/2018/11/AvrupaBirliğiGenelVeriKorumaTüzüğününGetirdiğiYeniliklerveTürkHukukuBakımından-Değerlendirilmesi.pdf. Erişim Tarihi: 02 Haziran 2020.
33. 33. Danıştay 15.Dairesi’nin 06/07/2015 tarih ve E:2015/3602 sayılı kararı http://www.ttb.org.tr/userfiles/files/evde-saglik-danistay-karar-son.pdf. Erişim Tarihi: 01 Haziran 2020.
34. 34. OECD. Health in the 21st Century: Putting Data to Work for Stronger Health Systems. OECD Publishing, Paris.; 2019. 1–261 p. (OECD Health Policy Studies). Available from: https://www.oecd-ilibrary.org/social-issues-migration-health/health-in-the-21st-century_e3b23f8e-en. Erişim Tarihi: 30 Mayıs 2020.
35. 35. Anayasa Mahkemesi’nin 25.12.2014 tarihli, E.2014/74, K.2014/201 sayılı kararı. http://kararlaryeni.anayasa.gov.tr/Karar/Content/0e1371e0-2293-43f9-9201-711f645e48b7?excludeGerekce=False&wordsOnly=False. Erişim Tarihi: 28 Mayıs 2020.
36. 36. Danıştay 15.Dairesinin E.2016/10488, YD.T.6.7.2017 sayılı kararı https://www.lexpera.com.tr/ictihat/danistay/15-d-e-2016-10488-k-yd-t-6-7-2017. Erişim Tarihi: 18 Mayıs 2020.
37. 37. Anayasa Mahkemesi’nin 28.09.2017 tarihli, E.2016/125, K.2017/143 sayılı kararı. http://kararlaryeni.anayasa.gov.tr/Karar/Content/0556eb9f-017d-4dc4-9060-0e95c999ccd0?excludeGerekce=False&wordsOnly=False. Erişim Tarihi: 27 Mayıs 2020.
38. 38. Anayasa Mahkemesi’nin 25.10.2017 tarihli, 2014/14189 sayılı kararı. http://www.kararlaryeni.anayasa.gov.tr/Content/pdfkarar/2014-14189.pdf. Erişim Tarihi: 30 Mayıs 2020.
39. 39. Danıştay İdari Dava Daireleri Genel Kurulu’nun 9.12.2015 tarihli ve E.2014/2242, K.2015/4991 sayılı kararı. Danıştay Dergisi. https://www.danistay.gov.tr/upload/yayinlar/20_05_2019_042220.pdf. Erişim Tarihi: 18 Mayıs 2020.
40. 40. Küzeci E. Kişisel Verilerin Korunması. 4.Baskı. İstanbul: On iki levha yayınları; 2020.
41. 41. M.S. v. Sweden, Başvuru No: 20837/92 (1997) http://hudoc.echr.coe.int/app/conversion/pdf/?library=ECHR&id=001-45889&filename=001-45889.pdf&TID=thkbhnilzk. Erişim Tarihi: 30 Mayıs 2020.
42. 42. L.H. v. Latvia Başvuru No:52019/07 (2014). http://hudoc.echr.coe.int/fre?i=001-142673. Erişim Tarihi: 26 Mayıs 2020.
43. 43. Avcı M. Sağlık Hizmetlerinde İdarenin Mali Sorumluluğu. Ankara Barosu Derg. 2012;1:105–40.
44. 44. Şeref Gözübüyük TT. İdare Hukuku - Genel Esaslar (Cilt 1). 13.Basım. Turhan Kitabevi; 2019.
45. 45. Anayasa Mahkemesi’nin 20.03.2008 tarihli ve E.2006/167, K.2008/86 sayılı kararı. Anayasa Mahkemesi Kararlar Dergisi. 2012;48(4).
46. 46. Danıştay 15.Dairesi’nin 08.07.2014 tarih ve E. 2014/1150 sayılı kararı. https://www.ido.org.tr/lib_upload/files/Danistay Karari(1).pdf. Erişim Tarihi: 24 Mayıs 2020.
47. 47. Danıştay 10.Dairesi’nin 27.12.2011 tarihli, E.2009/9151, K.2011/5976 sayılı kararı. http://www.kazanci.com/MusePath/kho2/ibb/files/dsp.php?fn=10d-2009-9151.htm&kw=Danıştay+10.Daire+%60E.2009/9151%60#fm. Erişim Tarihi: 25 Mayıs 2020.
48. 48. Kişisel Verileri Koruma Kurulu'nun 31/01/2018 tarihli ve 2018/10 sayılı kararı https://www.kvkk.gov.tr/Icerik/4110/2018-10. Erişim Tarihi: 10 Mayıs 2020.