Hastaların bilgilerinin kendilerine dahi sorulmadan Sağlık Bakanlığı tarafından toplanması, kaydedilmesi ve paylaşılmasıyla ilgili yönetmelik değişikliği bugün yayımlandı. Bu değişiklikle, Danıştay Kararı ile tamamının yürütmesi durdurulmuş olan Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in bir kısım maddeleri değiştirilmiştir.
Açılan pek çok davada verilen kararlarda Danıştay “Kişisel Verileri Koruma Kurulu’nun kişisel verilerin korunması konusunda genel nitelikte bir denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu’ndan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu’nun denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.” gerekçesiyle Sağlık Bakanlığı Yönetmeliğinin tamamının yürütmesini durdurmuştur. (Danıştay 15.Daire 2016/10488, Danıştay 15.Daire 2016/10500)
Bu yönüyle, 24 Kasım 2017 tarihli Resmi Gazete’de yayımlanan yönetmelik değişikliği, hukuken artık yürürlükte olmayan bir yönetmelikte bir takım düzenlemeler yapması bakımından üzerinde hukuki bir tartışma yürütülecek düzeyde dikkat çekicidir..
Diğer yandan, yapılan değişiklikler, büyük ölçüde kullanılan kavramların kişisel verilerin korunmasıyla ilgili mevzuatla uyumlaştırılmasına yöneliktir.
Yönetmelikte mevcut olan komisyon, bilgi güvenliği yetkilisi, siber olaylara müdahale ekibi gibi birimler kaldırılmış; şikayetlerin Kişisel Verilerin Korunması Kurulu tarafından değerlendirilmesine yönelik düzenleme yapılmıştır.
Değişiklikler arasındaki en olumlu düzenleme, sağlık verilerinin işlenmesinde kanunun emredici kurallarına uyulması gereğine ayrıca işaret edilmiş olmasıdır. Böylece, sağlık hizmet sunucularının, Sağlık Bakanlığının ve bütün tarafların, verileri işlerken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesindeki ilkelere uyması zorunluluğu yönetmelikte de vurgulanmıştır. Bu bağlamda, verilerin işlenmesinde özellikle “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ölçütüne uygun davranılması, bütün verilerin gönderilmesinin istenmesi yerine, toplanacak verilerin amaçla bağlantılı, sınırlı ve ölçülü olarak belirlenmesi gerekmektedir.
Önemli bir ayrıntı olarak, bu değişiklikte, verinin sahibi olan kişinin bu veriyi “yönetmesi” yerine “görüntülemesi”, verilerini “silebilmesi” yerine de yanlış bilgiler varsa onların silinmesini isteyebilmesi şeklinde yetki daraltmasına gidilmiştir.
Bir bütün olarak bakıldığında, 6698 sayılı Yasa’daki sağlık ve cinsel hayata ilişkin verilerin kişinin rızası olmaksızın çerçevesi çok geniş olarak belirtilen nedenlerle işlenebilmesine olanak sağlayan düzenlemenin, aynı Kanunun 4. maddesindeki ilkeler bağlamında değerlendirilerek sınır çizmesi beklenirken böyle bir yaklaşımdan çok uzak olduğu görülmektedir.