Kişisel sağlık verilerinin işlenmesi ile ilgili kuralları düzenleyen Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’te (“Yönetmelik”) değişiklikler yapıldı. Değişiklik 24 Kasım 2017 tarihli ve 30250 sayılı Resmi Gazete’de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’te Değişiklik Yapılmasına Dair Yönetmelik (“Tadil Yönetmeliği”) ile yapıldı. Bu kapsamda, veri öznesinin kişisel sağlık verilerinin işlenebilmesi için alınması gereken açık rızanın yazılılık koşulu kaldırılmıştır.
Tadil Yönetmeliği ile Yönetmelik’de yapılan diğer esaslı değişiklikler ise aşağıdaki gibidir:
- Yönetmelik Madde 8’de yer alan kişisel sağlık verilerinin aktarılmasına ilişkin detaylı düzenlemeler kaldırılarak aktarıma ilişkin 6698 sayılı Kişisel Verileri Koruma Kanunu’nda (“Kanun”) yer alan mevcut hükümlerin uygulanması öngörülmüştür.
- Tadil Yönetmeliği ile kişisel sağlık verisi tanımı daha somut hale getirilmiştir ve bu kapsamda “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” olarak tanımlanmıştır.
- Kişisel sağlık verilerine ilişkin hususlarda, Kanun ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirlediği ilkelere uygun olarak Sağlık Bakanlığı politikasının belirlenmesine yardımcı olmak, görüş belirtmek, anlaşmazlıkları çözümlemek, veri aktarımına ilişkin başvuruları değerlendirmek, şikâyetleri incelemek ve gerekli denetimleri yapmak üzere görev yapacak Kişisel Sağlık Verileri Komisyonu, Tadil Yönetmeliği ile kaldırılmıştır. Bu kapsamda, Kurul kişisel sağlık verilerinin işlenmesine ilişkin şikâyetleri inceleyecek ve gerekli denetimleri gerçekleştirecek yetkili mercii olacaktır.
- Kişisel sağlık verilerinin ihlâlinden şüphe duyulması halinde Sağlık Bakanlığı’na bildirim yapılmasına ilişkin düzenleme kaldırılmıştır. Bu kapsamda, Kanun’daki düzenleme uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirecektir.
- Sağlık hizmeti sunucusu tanımı “sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişileri” iken Tadil Yönetmeliği ile “ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesisleri” olarak değiştirilerek ilgili tanım daha dar ve belirgin hale getirilmiştir.
- Sağlık Verileri Madde 14/3’te yapılan değişiklik ile yazılımlara ilişkin düzenlemelere uyma yükümlülüğü yalnızca sağlık hizmeti sunucuları ile sınırlandırılmıştır.
24 Kasım 2017 tarihinde yürürlüğe giren Tadil Yönetmeliği’nin tam metnine bu linkten ulaşabilirsiniz.