Hasta Mahremiyeti mi, Kamu Sağlığı mı? Sağlık Verilerinin Korunmasında Hassas Denge

Yorum bırakın / Yazan /

Sağlık Verilerinin Korunması: Hasta Mahremiyeti ve Kamusal Çıkar Dengesi

Avukat Yalçın Torun

Torun Hukuk Bürosu — Kişisel Veriler ve Anayasa Hukuku Birimi

yalcintorun1966@gmail.com  |  https://yalcintorun.av.tr

Özet

Sağlık verileri, doğası gereği en hasjsas kişisel veri kategorisini oluşturmakta; tıbbi araştırma ve halk sağlığı ile bireysel mahremiyet arasında kritik bir gerilim alanı yaratmaktadır. Bu mJakale, Türk ve Avrupa hukuku çerçevesinde sağlık verilerinin işlenmesini düzenleyen normları sistematik biçimde incelemektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 6 ve Avrupa Veri Koruma Tüzüğü (GDPR) m. 9/2 kapsamında sağlık verisi işleme istisnaları, Hasta Hakları Yönetmeliği, e-Nabız sistemi ile pandemi sürecinde kamu sağlığı gerekçesiyle gerçekleştirilen veri işlemelerin hukukilik analizi yapılmakta; Anayasa m. 13 ölçülülük ilkesi, sağlık çalışanlarının erişim yetkileri ve salgın hukukundaki kanunî dayanaklar ele alınmaktadır.

Anahtar Kelimeler: Sağlık verisi, hasta mahremiyeti, KVKK m. 6, Anayasa m. 13, ölçülülük ilkesi, e-Nabız, Z-Finlandiya kararı, sağlık çalışanı, salgın hukuku, Hasta Hakları Yönetmeliği.

1. Giriş

Sağlık verileri, kişiyi tanımlayan en hassas veri kategorisini oluşturup özel hayatın gizliliğinin çekirdek alanını teşkil etmektedir. Bu nitelik; Anayasa’nın 20. maddesinin üçüncü fıkrasında güvence altına alınan kişisel verilerin korunması hakkı ile 17. maddenin birinci fıkrasında düzenlenen kişinin maddi ve manevi varlığını koruma hakkının ortak koruma alanında bulunmaktadır. Sağlık verilerinin ifşası iş kaybına, sigorta taleplerinin reddine, sosyal dışlanmaya ve damgalanmaya yol açabildiğinden, normatif çerçevenin bireysel mahremiyeti güçlendirici biçimde yorumlanması zorunludur.

Bu alanda yol gösterici nitelikteki en eski uluslararası içtihat, AİHM’in Z v. Finlandiya kararıdır. Z v. Finlandiya kararı (Başvuru No: 22009/93, 25.2.1997), HIV pozitif olan başvurucu Z’nin eski eşinin cinsel suçlardan yargılanması sürecinde, başvurucunun rızası alınmaksızın doktorlarının ve psikiyatristinin tanıklığa zorlanması, tıbbi kayıtlarına el konularak soruşturma dosyasına bütünüyle dâhil edilmesi, dosyanın gizlilik süresinin yalnızca on yıl ile sınırlandırılması ve ismi ile HIV statüsünün İstinaf Mahkemesi kararında açıklanması olayını konu almıştır. AİHM, tıbbi verilerin korunmasının özel hayatın gizliliği hakkının zorunlu unsuru olduğunu; bu güvencenin yalnızca bireyin mahremiyeti için değil aynı zamanda toplumun sağlık hizmetine ve hekime duyduğu güvenin sürdürülmesi için de hayatî önemde bulunduğunu vurgulamıştır. Mahkeme, başvurucunun isminin ve hastalığının yargı kararında ifşası ile dosyanın yalnızca on yıllık kısa bir gizlilik süresi sonunda aleniyete kavuşturulmasının “demokratik toplumda gerekli ve orantılı” sayılamayacağı gerekçesiyle Sözleşme’nin 8. maddesinin (özel hayata ve aile hayatına saygı hakkı) ihlal edildiğine hükmetmiştir. Türk hukukunun bu içtihat ışığında sağlık verisini en üst düzey güvence ile koruma yükümlülüğü bulunmaktadır.

2. Sağlık Verisi İşlemenin Hukuki Dayanakları

2.1. KVKK Madde 6 Kapsamında Özel Nitelikli Veri Rejimi

Sağlık verilerinin işlenmesi, Türk hukukunda istisnaî nitelikte düzenlenmiş ve ilke olarak yasaklanmıştır. 6698 sayılı KVKK’nın 6. maddesinin birinci fıkrasında sağlık ve cinsel hayata ilişkin veriler özel nitelikli veri kategorisinde sayılmış; üçüncü fıkrasında ise bu verilerin yalnızca ilgili kişinin açık rızasıyla ya da sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla işlenebileceği belirtilmiştir. İstisnaların sınırlı sayıda (numerus clausus) olması nedeniyle, sayılan amaçlar dışında sağlık verisi işleyen veri sorumlusu için açık rıza tek meşru dayanak olarak kalmaktadır. Uygulamada “sır saklama yükümlülüğü” şartının çerçevesinin yeterince somut olmaması hukuka aykırı veri akışlarına zemin hazırlayabildiğinden, sağlık verisi işleme rejiminin kanunî istisnalar dışına çıkarılmaması esastır.

2.2. Anayasa m. 13’teki Ölçülülük İlkesinin Sağlık Verisi İşlemede İhlali

Sağlık verisi işleme, ancak Anayasa’nın 13. maddesinde öngörülen ölçütlere uyduğu ölçüde hukuka uygun sayılabilir. Anayasa m. 13 uyarınca temel hak ve özgürlükler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir; bu sınırlamalar Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz. Anayasa Mahkemesi, Tuğba Arslan kararı (B. No: 2014/256, 25.6.2014) başta olmak üzere yerleşik içtihadında ölçülülüğü; ulaşılmak istenen amaca elverişlilik, gereklilik (en az müdahale eden aracın tercihi) ve dar anlamda orantılılık (müdahale ile elde edilen yarar arasındaki makul denge) alt ilkelerine ayırarak değerlendirmektedir. Sağlık verisi alanında bu üç aşamalı test pek çok uygulamada karşılanmamaktadır. Örneğin halka açık panolarda hasta isminin tanı bilgisiyle birlikte duyurulması, işveren tarafından çalışanın HIV veya hepatit testi sonucunun istenmesi, kamu hastanesinde tüm personelin tüm hastaların kayıtlarına filtresiz erişebilmesi, sigorta şirketlerinin teklif aşamasında ayrıntılı sağlık geçmişi talep etmesi veya bir kamu kurumunun çalışanlarının psikiyatrik raporlarını idari amirlere açması; ya elverişli olmadığı, ya daha az müdahaleci yöntemler tercih edilmediği için gerekli sayılmadığı, ya da elde edilen yarar ile müdahale arasındaki makul denge bulunmadığı için orantılı olmadığı gerekçesiyle Anayasa m. 13’ün öngördüğü ölçülülük ilkesini ve m. 20/3’ü birlikte ihlal edecektir. Sonuç olarak ölçülülük ilkesi, sağlık verisi işleyen her veri sorumlusunun amaç ile araç arasındaki dengeyi sürekli denetlemekle yükümlü olduğu anayasal bir sınırı oluşturmaktadır.

2.3. Sağlık Çalışanları ve Erişebilecekleri Veriler

Sağlık verisini meşru biçimde işleyebilecek kişiler, sır saklama yükümlülüğü altındaki sağlık meslek mensuplarıyla sınırlıdır. 1219 sayılı Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun, 6283 sayılı Hemşirelik Kanunu, 6197 sayılı Eczacılar ve Eczaneler Hakkında Kanun, 1593 sayılı Umumi Hıfzıssıhha Kanunu ile 1219 sayılı Kanun’a 6225 sayılı Kanun’la eklenen Ek m. 13 çerçevesinde hekim, diş hekimi, eczacı, hemşire, ebe, acil tıp teknisyeni (ATT), sağlık memuru, fizyoterapist, diyetisyen ve laboratuvar teknisyeni gibi meslek grupları sağlık çalışanı sayılmaktadır. Hasta Hakları Yönetmeliği’nin (RG: 1.8.1998, S: 23420) “Bilgilerin Gizli Tutulması” başlıklı 23. maddesi ile devam eden hükümler uyarınca, her sağlık çalışanı yalnızca görevini ifa için zorunlu olan veriye, görev tanımıyla orantılı şekilde erişebilir; örneğin tedavi eden hekim tanı, anamnez ve tetkik sonuçlarına; hemşire tedavi planı ve ilaç uygulama bilgilerine; eczacı reçete ve etkileşim bilgilerine; ATT ise sevk gerekçesi ve vital bulgulara erişim yetkisine sahiptir. Türk Tabipleri Birliği Disiplin Yönetmeliği ile 1219 sayılı Kanun m. 28 ve Türk Ceza Kanunu m. 258 (göreve ilişkin sırrın açıklanması) hükümleri, bu yetkinin aşılması hâlinde meslekî, idari ve cezaî sorumluluk doğurmaktadır. Bu hukukî mimari, sağlık çalışanı kavramının geniş ancak yetkinin dar yorumlanması; her meslek mensubunun yalnızca “bilmesi gereken” (need-to-know) ilkesi çerçevesinde veriye erişmesi gerektiğini ortaya koymaktadır.

2.4. Hastanın Rızası Olmaksızın Erişimi Düzenleyen Mevzuat ve İkincil Düzenlemelerin Hukukiliği

Hastanın açık rızası olmaksızın sağlık verisine erişim, ancak kanunî istisnaların öngördüğü kapsamla sınırlı tutulabilir. 3359 sayılı Sağlık Hizmetleri Temel Kanunu Ek m. 19, Sağlık Bakanlığı’na kişisel sağlık verilerinin merkezî sağlık veri sistemine aktarılması ve işlenmesi yetkisini tanımaktadır. Kişisel Sağlık Verileri Hakkında Yönetmelik (RG: 21.6.2019, S: 30808) ile Hasta Hakları Yönetmeliği’nin ilgili hükümleri kapsamında hastanın açık rızası dışında veriye erişim; adlî mercilerin talebi, bulaşıcı hastalık bildirimi, organ-doku nakli süreçleri, sosyal güvenlik kurumunun finansman denetimi ve kamu sağlığı zorunluluklarıyla sınırlı sayıda hâlde mümkündür. Anayasa m. 13 ve m. 20/3 ile KVKK m. 6 uyarınca temel hakka müdahalenin yalnızca kanunla yapılabileceği kuralı gereği, kanunî dayanaktan yoksun bir yönetmelik veya genelge ile yeni bir erişim yetkisi yaratılması mümkün değildir. Bu ilkenin somut yansıması Danıştay 15. Dairesi’nin Esas 2016/10500 sayılı dosyasında 6.7.2017 tarihinde verdiği yürütmenin durdurulması kararı ile aynı Dairenin Esas 2018/1490 sayılı dosyasında 9.10.2018 tarihinde verdiği karardır; Daire her iki dosyada da Kişisel Sağlık Verilerinin İşlenmesi Hakkında Yönetmelik hükümlerinin bir kısmını “kanunî dayanaktan yoksunluk” ve “Kişisel Verileri Koruma Kurulu’nun görüşünün alınmaması” gerekçeleriyle hukuka aykırı görmüştür. Buradan çıkan sonuç şudur ki, bir tüzük, yönetmelik ya da Bakanlık genelgesi, KVKK m. 6 ve Anayasa m. 13 ile çizilen sınırın ötesine geçerek hastanın rızası olmaksızın yeni veri akışları öngörüyorsa, hem normlar hiyerarşisine hem de Anayasa’nın 13. maddesindeki kanunîlik ve ölçülülük güvencesine aykırı düşeceği için iptal yaptırımına tâbi olmaktadır.

2.5. E-Nabız Sistemi ve Veri Güvenliği

E-Nabız sistemi, kapsamı bakımından sağlık verisi işleme alanının en yoğun riskini taşıyan altyapıdır. Sağlık Bakanlığı tarafından işletilen sistem, vatandaşın tüm sağlık geçmişini merkezî biçimde toplamakta; veri minimizasyonu, amaç sınırlaması ve erişim denetimi bakımından ciddi sorumluluk doğurmaktadır. KVKK m. 12, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek için her türlü teknik ve idari tedbiri alma yükümlülüğü öngörmektedir. Sistemin tüm sağlık personeline filtresiz erişim tanıması “bilmesi gereken” ilkesine aykırı düşeceği için rol bazlı erişim, ayrıntılı denetim kayıtları (audit log), iki faktörlü kimlik doğrulama ve düzenli bağımsız denetim, sistemin Anayasa m. 20/3 güvencesine uygunluğunun olmazsa olmaz şartlarıdır.

3. Salgınla Mücadelede Sağlık Verisi İşlenmesinin Yasal Dayanakları

Salgın hastalıklarla mücadelede sağlık verisinin işlenmesi, kamu sağlığı amacına bağlı özel bir yasal rejime tâbidir. 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 57 ilâ 72. maddeleri, bildirimi zorunlu bulaşıcı hastalıkları, hekimlerin bildirim yükümlülüğünü ve sağlık otoritesinin izolasyon ile karantina yetkilerini düzenlemekte; aynı Kanun’un 64. maddesi salgın sebebiyle gerekli her türlü tedbiri alma yetkisini Sağlık Bakanlığı’na tanımaktadır. Buna ek olarak 5258 sayılı Aile Hekimliği Kanunu m. 5, aile hekimlerine sağlık verisi tutma ve bildirim yapma yetkisi vermekte; 3359 sayılı Sağlık Hizmetleri Temel Kanunu Ek m. 11 ile 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu m. 78, sigortalı verilerinin işlenmesine kanunî temel oluşturmaktadır. KVKK m. 6/3 ve m. 28/1-ç, kamu sağlığının korunması amacıyla yetkili kurumlar eliyle yapılan veri işlemelerin açık rıza şartından muaf olduğunu öngörmektedir. COVID-19 sürecinde uygulamaya konulan HES kodu uygulamasının dayanağı bu çerçevedeki tedbirler olup, Anayasa Mahkemesi’nin yerleşik ölçülülük içtihadı uyarınca salgın tedbirlerinin de elverişli, gerekli ve dar anlamda orantılı olması; amaca ulaşıldıktan sonra toplanan verilerin makul süre içinde imha edilmesi şarttır. Aksi hâlde olağanüstü dönemde toplanan verilerin olağan dönemde de kullanılması, Anayasa m. 13’teki ölçülülük ilkesini ve m. 20/3’teki kişisel verilerin korunması hakkını ihlal eder. Dolayısıyla salgınla mücadelede veri işleme yetkisi mevcut bulunmakla birlikte bu yetki sınırsız değildir; kamu sağlığı amacının sona ermesiyle hukukî dayanağı da sona ermektedir.

4. Sonuç

Sağlık verilerinin korunması, bireysel mahremiyet ile kamusal sağlık çıkarlarının titiz bir denge içinde yönetilmesini gerektirmektedir. Anayasa m. 13 ve m. 20/3, 6698 sayılı KVKK m. 6, Hasta Hakları Yönetmeliği ve Kişisel Sağlık Verileri Hakkında Yönetmelik bu dengenin normatif çerçevesini oluşturmakta; AİHM’in Z v. Finlandiya kararı (22009/93) ile Anayasa Mahkemesi’nin Tuğba Arslan kararında geliştirdiği ölçülülük testi bu çerçevenin temel yorum ilkelerini sunmaktadır. Sağlık çalışanlarının “bilmesi gereken” ilkesine bağlı kalması, ikincil düzenlemelerin kanunî sınırı aşmaması, e-Nabız gibi büyük ölçekli sistemlerin bağımsız denetimi ve salgın dönemlerinde toplanan verilerin amaç sona erdiğinde imha edilmesi, bu dengenin korunması için zorunludur. Sonuç olarak sağlık verisinin işlenmesi, bireysel mahremiyet ile kamusal yararı titizlikle dengeleyen anayasal ve kanunî çerçeveye uyduğu ölçüde meşru olmaktadır.

Dipnotlar

1. Türkiye Cumhuriyeti Anayasası, m. 13, m. 17 ve m. 20/3.

2. 6698 sayılı Kişisel Verilerin Korunması Kanunu, m. 6, m. 12 ve m. 28.

3. AİHM, Z v. Finlandiya, Başvuru No: 22009/93, 25.2.1997.

4. AYM, Tuğba Arslan, B. No: 2014/256, 25.6.2014.

5. Danıştay 15. Dairesi, E. 2016/10500, K. 6.7.2017 (yürütmenin durdurulması).

6. Danıştay 15. Dairesi, E. 2018/1490, K. 9.10.2018.

7. 1593 sayılı Umumi Hıfzıssıhha Kanunu, m. 57-72.

8. 3359 sayılı Sağlık Hizmetleri Temel Kanunu, Ek m. 11.

9. 663 sayılı KHK, m. 47.

10. 1219 sayılı Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun.

11. 6283 sayılı Hemşirelik Kanunu; 6197 sayılı Eczacılar ve Eczaneler Hakkında Kanun.

12. Hasta Hakları Yönetmeliği, RG: 1.8.1998, S: 23420, m. 21-23.

13. Kişisel Sağlık Verileri Hakkında Yönetmelik, RG: 21.6.2019, S: 30808.

14. GDPR (2016/679), m. 9. AB Resmî Gazetesi, L 119/1, 2016.

Kaynakça

AİHM. Z v. Finlandiya, Başvuru No: 22009/93, 25.2.1997.

Anayasa Mahkemesi. Tuğba Arslan, B. No: 2014/256, 25.6.2014.

Danıştay 15. Dairesi. E. 2016/10500, 6.7.2017; E. 2018/1490, 9.10.2018.

6698 sayılı Kişisel Verilerin Korunması Kanunu. RG: 7.4.2016, S: 29677.

1593 sayılı Umumi Hıfzıssıhha Kanunu. RG: 6.5.1930, S: 1489.

3359 sayılı Sağlık Hizmetleri Temel Kanunu. RG: 15.5.1987, S: 19461.

663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında KHK. RG: 2.11.2011.

Hasta Hakları Yönetmeliği. RG: 1.8.1998, S: 23420.

Kişisel Sağlık Verileri Hakkında Yönetmelik. RG: 21.6.2019, S: 30808.

GDPR (Tüzük 2016/679). AB Resmî Gazetesi, L 119/1, 2016.

Türkiye Cumhuriyeti Anayasası. RG: 9.11.1982, S: 17863.

Kaya, Cemil. Kişisel Verilerin Korunması Hukuku. Ankara: Turhan Kitabevi, 2020.

Dinçkol, Bihterin V. Kişisel Verilerin Korunması. İstanbul: Beta, 2021.

Öztürk, Mustafa. KVKK Şerhi. Ankara: Seçkin, 2022.

Bu makale, Torun Hukuk Bürosu Akademik Makale Serisi kapsamında hazırlanmıştır.

© 2026 Torun Hukuk Bürosu — Avukat Yalçın Torun. Tüm hakları saklıdır.

İlgili Makaleler

Scroll to Top
');w.document.close();w.print();});$(document).ready(function(){init();});})(jQuery);