TÜRK HUKUKUNDA KİŞİSEL SAĞLIK VERİLERİ VE İDARENİN KİŞİSEL SAĞLIK VERİLERİNİ KORUMA YÜKÜMLÜLÜĞÜ

Yıl 2022, Sayı: 51, 365 - 410, 01.07.2022

Ayşe Aslı Alçın

https://doi.org/10.54049/taad.1140182

Cited By: 2

Öz

Hassas kişisel veriler kategorisi içinde yer alan kişisel sağlık verileri, “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi” olarak tanımlanabilir. Bu tanımın kapsamına kişinin “geçmişi, şimdiki anı ve geleceğine ilişkin fiziksel ve ruhsal sağlığı hakkında her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” dahildir.
Bu çalışmada öncelikle, ulusal ve Türkiye’nin taraf olduğu uluslararası düzenlemeler ışığında, kişisel sağlık verileri kavramı ve bu verilerin işlenmesine ilişkin kurallar ve usuller ele alınacaktır. Türk hukukunda kişisel sağlık verilerinin işlenebileceği hallere ayrıca değinilecektir. Bu bağlamda, veri koruma hukukunda, hassas verilerin işlenmesinin diğer verilere kıyasla daha katı bir denetime tabi tutulması anlamına gelen hassaslık ilkesi ve veri toplama ve işlemenin bağlı olduğu amaç/amaçları gerçekleştirmek için zorunlu olan miktarla sınırlı olacak şekilde veri toplanması gerekliliğini ifade eden minimumluk ilkesine uygunluk değerlendirmesi yapılacaktır. Ardından, idarenin kişisel sağlık verilerinin korunmasına ilişkin yükümlülükleri açıklanacaktır. İdarenin kişisel sağlık verilerine ilişkin aydınlatma, veri güvenliğini sağlama, düzenleme ve denetleme yapma yükümlülüklerinin anlamı ve kapsamı ortaya konulacaktır.
Avrupa İnsan Hakları Mahkemesi ve Danıştay kararları ışığında, idarenin söz konusu yükümlülüklerini yerine getirmemesi durumunun nasıl ortaya çıkabileceği ve ortaya çıkış şekillerine göre sorumluluğunun türünün ve kapsamının ne olacağı ihtimallere göre değerlendirilecektir.

Anahtar Kelimeler

Hassas veri, Kişisel veri, Veri güvenliği, Veri işleme, Hasta hakları, Sağlık hakkı

Personal Health Data in Turkish Law and the Obligation of the Administration to Protect Personal Health Data

Öz

Personal health data contained in the category of sensitive personal data can be defined as “any health data related to an identified or identifiable natural person.” The scope of this definition includes “all kinds of data in regard to physical and mental health of a person related to his/her past, present and future, as well as data in regard to the healthcare service provided to such person.”
This study firstly discusses the concept of personal health data in the light of international regulations, to which Turkey is a party and the rules and principles related to the processing of these data. The cases in which personal health data can be processed in Turkish law will also be discussed. In this context, an assessment about conformity to the principle of minimum, which indicates the necessity to collect data in such a way that such data are only limited to the amount that is necessary to perform the objective/objectives that data collection and processing are affiliated to and the principle of sensitivity, which means processing of sensitive data is subjected to a much more audit compared to other data in data protection law. Then, the obligations of the administration regarding the protection of personal health data will be explained. The meaning and the scope of the obligations of the administration for clarification about personal health data, ensuring data safety, performing regulations and audits will be explained.
In the light of the resolutions of the European Court of Human Rights and the Council of State, how the failure of the administration to fulfill such obligations might occur and the type and scope of responsibility based on the form of failure, will be evaluated according to possibilities.

Anahtar Kelimeler

Sensitive data, Personal data, Data security, Data processing, Patient rights, Right to health

Kaynakça

• Akgül A, ‘Kişisel Verilerin Korunması Bağlamında Biyometrik Yöntemlerin Kullanımı ve Danıştay Yaklaşımı’ (2015) 118 TBB Dergisi 199-222.
• — —, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması (1. Bası Beta Yayınevi İstanbul 2014).
• Aksoy HC, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması (1. Bası Çakmak Yayınevi Ankara 2010).
• Akyılmaz B, Sezginer M, Kaya C, İdare Hukuku (9. Bası, Savaş Yayınevi Ankara 2018).
• Başalp N, ‘Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri’ (2015) 21 Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi 77-106.
• — —, Kişisel Verilerin Korunması ve Saklanması (1. Bası Yetkin Ankara 2004)
• Baykal S, Göçmen İ, ‘Avrupa Birliği Hukukunun Kaynakları Bakımından Normlar Hiyerarşisi’ Prof. Dr. Erdal Onar’a Armağan (2013) 317-365.
• Çekin MS, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, (1. Bası On İki Levha İstanbul, 2018).
• Develioğlu HM, Avrupa Birliği Genel Veri Koruma Tüzüğü (1. Bası On İki Levha İstanbul 2017)
• Dülger MV, ‘İnsan Hakları ve Temel Hak ve Özgürlükler Bağlamında Kişisel Verilerin Korunması’ (2018) 1 İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 71-143.
• — —, ‘Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması’ (2016) 2 İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, 101-167.
• — —, ‘Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti’ (2014) 2 İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 43-80.
• Er C, Biyometrik Yöntemler ve Özel Hayatın Gizliliği Hakkı: Parmak İzi, Göz ve DNA Tarama Gibi Teknolojik Kimlik Denetleme Usullerinin Hukuki Statüsü, (1. Bası Yetkin Yayınları, Ankara, 2007).
• Gonzalez Fuster G, The Emergence of Personal Data Protection as a Fundamental Right of the EU (Springer 2014).
• Günday M, İdare Hukuku (10. Bası İmaj Yayıncılık Ankara 2013).
• Henkoğlu T, Bilgi Güvenliği ve Kişisel Verilerin Korunması (1. Bası Yetkin Ankara 2015).
• Kaya C, ‘Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi’ (2011) 1-2 İÜHFM 317-334.
• Korkmaz İ, ‘Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme’ (2016) 124 Türkiye Barolar Birliği Dergisi 81-152.
• Küzeci E, Kişisel Verilerin Korunması (3. Bası, Turhan Kitabevi, Ankara, 2019).
• Lambert PB, Understanding the New European Data Protection Rules (CRC Press New York 2017).
• Lynskey O, The Foundations of EU Data Protection Law (Oxford University Press 2015).
• Lyon D, Bauman Z, Akışkan Gözetim (1. Bası Ayrıntı Yayınları 2013).
• Memiş T, ‘Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni’ (2017) 6 Beykent Üniversitesi Hukuk Fakültesi Dergisi 9-23.
• Özdemir H, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması (1. Bası Seçkin Ankara 2009).
• Room S, Data Protection and Compliance in Context (British Computer Society United Kingdom 2006).
• Şimşek O, Anayasa Hukukunda Kişisel Verilerin Korunması (1. Bası, Beta Yayınevi İstanbul 2008)
• Taştan FG, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması (2. Bası On İki Levha İstanbul 2017)
• Turan M, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması (1. Bası, Adalet Yayınevi Ankara 2017).
• Voigt P, Von dem Bussche A, The EU General Data Protection Regulation (GDPR) (Springer 2017).
• Yılmaz SS, Tıp Alanında Kişisel Verilerin Açıklanması Suçu (2. Bası Seçkin Ankara 2017).
• Yücel Ö (Ed.), Sert G (Ed.), Sağlık ve Tıp Hukukunda Sorumluluk ve İnsan Hakları: Sağlık Hizmeti, Sağlık Hakkı ve Hasta Hakları, Medeni Hukuk, Ceza ve İdare Hukuku Yönünden Sorumluluk (1. Bası Seçkin Ankara 2018).