Özet: 24 Kasım 2017 tarihli ve 30250 sayılı Resmi Gazete'de Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik'te Değişiklik Yapılmasına Dair Yönetmelik yayımlanmıştır.
Açıklamalar
Söz konusu Yönetmelik, Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemektedir.
Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik'te öne çıkan konular aşağıdaki gibidir:
- Yönetmeliğin tanımlar maddesinde belirtilen Bilgi güvenliği yetkilisi, Komisyon, Müsteşar, Siber Olaylara Müdahale Ekibi, USVS, Yönerge ifadelerini açıklayan bentleri çıkarılmıştır.
- Kişisel sağlık verisi tanımı; "Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri" şeklinde güncellenmiştir.
- Sağlık hizmeti sunucusu tanımı; "Ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesisleri" şeklinde güncellenmiştir.
- Bakanlık tarafından belirlenen tüm önlemlerin alınması ifadesi genişletilmiş, "Kişisel sağlık verisi işleyenler, bu verilerin mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri alır ve Bakanlıkça belirlenen diğer kurallara riayet eder." şeklinde ifade edilmiştir.
- İstisna ile ilgili koşullar kanun maddelerine bağlanmıştır ve "Kişisel sağlık verilerinin, Kanun'un 6'ncı maddesinin üçüncü fıkrasında yer alan istisnai amaç ve koşullar kapsamında işlenebilmesi için ilgili kişinin açık rızası aranmaz" ile "Bunların dışında kalan amaçlar kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanun'un 10'uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca bilgilendirilmesi ve açık rızasının alınması gerekir." şeklinde ifade edilmiştir.
- Sağlık Verilerinin aktarım hususu "Kanun'un 8'inci ve 9'uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak anonim hâle getirilmek suretiyle aktarılabilir" şeklinde kanun maddelerine bağlanmıştır.
Ek- Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik'te Değişiklik Yapılmasına Dair Yönetmelik
Saygılarımızla,
Bülten kapsamı konularda ek bilgiye ihtiyaç duymanız halinde onurkucuk@kpmg.com elektronik posta adresinden Onur Küçük veya scanturk@kpmg.com adresinden Sinem Cantürk ile irtibat kurmanızı rica ederiz.