Kişisel Verilerin Korunması Kanunu uyarınca, sağlık verileri, özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Bununla birlikte, Kişisel Verilerin Korunması Kanunu‘nun 6’ncı maddesinin 2’inci fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmiştir.
Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak sağlık hizmeti sunanların kişisel sağlık verilerine erişimi ve bu verileri işlemesine dair Sağlık Bakanlığı tarafından “Kişisel Sağlık Verileri Hakkında Yönetmelik” hazırlanmıştır. 21 Haziran 2019 tarihinde Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında, sağlık verilerinin işlenmesine dair genel ilke ve esaslar, kişisel sağlık verilerine erişim, kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması, bilimsel amaçlarla sağlık verilerinin kullanılması ile kişisel sağlık verilerinin güvenliğinin sağlanması gibi konular düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinin 4’üncü fıkrasında, özel nitelikli kişisel verilerin işlenmesinde, veri sorumluları tarafından alınacak yeterli önlemlerin Kişisel Verileri Koruma Kurulu tarafından belirleneceği ifade edilmiştir. Bu doğrultuda, Kişisel Verileri Koruma Kurulu tarafından alınan 31 Ocak 2018 tarihli ve 2018/10 sayılı karar ile sağlık verileri dahil olmak üzere özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler belirlenmiştir. Bu önlemler kapsamında, özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir politika ve prosedüre, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlar ile işlendiği, muhafaza edildiği ve/veya erişildiği ortamlara ilişkin alınacak ek tedbirlere ve özel nitelikli kişisel veriler aktarılacaksa dikkat edilecek hususlara yer verilmiştir.
Yukarıda belirtilen hukuki düzenlemelere rağmen, kişisel sağlık verilerinin işlenmesine dair uygulamada bazı sorunlar ortaya çıkmaktadır. Örneğin, bir trafik kazasına şahit olan bir kişi, kaza ile ilgili olarak 112 Acil Çağrı Merkezini aradığında kendisinden kaza geçiren kişinin sağlık durumu ile ilgili bilgiler istenecek ve kaza geçiren kişinin bilincinin açık olup olmadığı, kanamasının olup olmadığı gibi sorular sorulabilecektir. Böyle bir durumda, kazaya şahit olan kişi, kazayı geçiren kişinin bilinci yerinde değilse açık rızasını alamayacak ve kendisinin sır saklama yükümlülüğü altında bulunan kişilerden olmaması sebebiyle kaza geçiren kişinin sağlık verilerini kanunen işleyemeyecek ve 112 Acil Çağrı Merkezi tarafından istenen bilgilere cevap veremeyecektir.
Benzer bir sorun, COVID-19 salgını dolayısıyla işverenler tarafından iş yerinde gerekli tedbirlerin alınması, salgının yayılmasının engellemesi ve şüphelilerin tespit edilmesi gerektiği durumlarda ortaya çıkmaktadır. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu‘nun 4’üncü maddesi uyarınca, işverenler tarafından iş yerindeki sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hâle getirilmesi gerekmektedir. Ayrıca, Borçlar Kanunu’nun 417’nci maddesi uyarınca, işveren, iş yerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, işçiler ise alınan her türlü önleme uymakla yükümlüdür. Bununla birlikte, kişisel sağlık verilerinin işlenmesi için çalışanlar tarafından açık rıza verilmemesi durumunda, salgınla mücadele amacıyla çalışanların sağlık verileri Kişisel Verilerin Korunması Kanunu uyarınca işveren veya yöneticiler tarafından işlenemeyecektir. Dolayısıyla, açık rıza olmaması durumunda, iş sağlığı ve güvenliğin sağlanması için iş yerinde gereken tedbirler alınırken veya var olan tedbirler değişen şartlara uygun hâle getirilirken işverenler zorluk yaşayacaktır.
Kişisel Verilerin Korunması Kanunu uyarınca çalışanların kişisel sağlık verileri açık rıza olmaksızın iş yeri hekimi veya diğer sağlık çalışanları tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla işlenebilmektedir. Bununla birlikte, her iş yerinde sürekli olarak iş yeri hekimi veya başka bir sağlık çalışanı bulunmamaktadır. Ayrıca, kişisel sağlık verileri ilgili kişilerin açık rıza olmaksızın iş yeri hekimi veya diğer sağlık çalışanları tarafından işverene veya diğer yöneticilere işlenmesi için aktarılamamaktadır. Örneğin, iş yeri hekimi tarafından hastalık sebebiyle bir çalışana istirahat raporu verilmesi ve bu raporun çalıştığı iş yerinin insan kaynaklarına gönderilmesi durumunda, söz konusu rapor kişisel sağlık verileri içerecek ve çalışanın rızası olmaksızın insan kaynakları tarafından işlenemeyecektir. Böyle bir durumda, çalışanın hastalık sebebiyle işe gelemediği ve işe gelmediği gün için ücrete hak kazandığı tespit edilemeyecektir.
Son olarak, 1593 sayılı Umumi Hıfzıssıhha Kanunu kapsamında düzenlenen sâri ve salgın hastalıklarla mücadele için bildirim yükümlülüğüne değinmekte fayda bulunmaktadır. Buna göre, hastane başhekimleri, okul, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane müdürleri, apartman kapıcıları, köy ihtiyar heyetleri, eczacılar, diş hekimleri ve ebeler, hasta bakıcılar ve gassallar mesleklerini icra ederken öğrendikleri salgın hastalık vakalarını ilgili makamlara bildirmekle yükümlüdür. Bununla birlikte, hükümde sayılan kişilerden bazılarının sır saklama yükümlülüğü bulunmamaktadır. Bu sebeple, sır saklama yükümlülüğü bulunmayanlar salgın hastalık ile ilgili bildirim yükümlülüğünde bulunurken kişisel sağlık verilerini işlemiş olacak ve ilgili kişinin açık rızası olmaksızın bildirimde bulunduğu takdirde Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli verilerin koruması ile ilgili hükümleri ihlal etmiş olacaktır.
