Sağlık bilgilerimizin SGK ile imtihanı

Sosyal Güvenlik Kurumu, sahip olduğu veriler sebebiyle hem Kurum içinden hem de Kurum dışından pek çok çevrenin hedefindedir. Ne yazık ki Kurum da söz konusu verilerin önemine uygun bir özen içinde davranmak yerine, bu verileri satıp gelir elde etmenin telaşıyla işler yapmaktadır.

Sosyal Güvenlik Kurumu tarafından kişilerin sağlık verileri de dahil olmak üzere pek çok verinin satıldığı ya da paylaşıldığına ilişkin haberler çıkmış, Kurumun veri paylaşımına ilişkin olarak çıkarttığı düzenlemeler ise Danıştay Kararları ile iptal edilmiş olunca SGK, veri satışından vazgeçmek yerine kendisine yetki tarif eden yasal düzenleme ile ilerlemeye çalıştı.

Ancak Anayasa Mahkemesi'nin kişisel verilerin Anayasa kuralı ile korunduğu ve bunlara ilişkin düzenlemelerin yasa ile yapılması gerektiğine ilişkin kararlarla bu yasal düzenlemeler de iptal edildi. [1]

Bu iptal kararı sonrasında, bu kez Kurumun kuruluş yasası olan 5502 sayılı Yasa’da yapılacak değişikle yol alınması düşünülmüş ve bir torba yasaya ek yapılması planlanmış ancak işler planlandığı gibi ilerlemeyince Meclisten çıkan Yasa SGK açısından veri paylaşımını tümüyle sınırlayan bir çerçeveye dönüşmüştür.

Gerçekten de 6552 sayılı Yasa ile yapılan ek düzenlemeye göre Kurumca, işverenlerin, sigortalıların, genel sağlık sigortalılarının, emeklilerin, bunların hak sahipleri ile dul ve yetimlerinin ve Kurumdan aylık alan diğer kişilerin bireysel veri ve hakları, bireysel veri ve haklarından oluşan toplu veri ve hakları ile işletmelerin ticari sırları satılamaz ve paylaşılamaz. Kurum bunların dışında sahip olduğu gayri maddi haklarını Yönetim Kurulunun onayı ile satabilir veya paylaşabilir. Bu fıkranın aksine davrananlar hakkında Türk Ceza Kanununun ilgili hükümleri uygulanır.”

Hiçbir istisnai kural içermeyen bu düzenleme sonrasında SGK, sahip olduğu verileri hiçbir biçimde satamaz ve hatta paylaşamaz hale gelince yeni bir torba yasa düzenlemesiyle bu kısıtlamaları ortadan kaldırmak istemiştir. 6645 sayılı Torba Yasa’ya eklenen bir madde ile SGK’nın istediği kişisel verileri satma yetkisi yasalaşmamış ancak sağlık verisi dışındaki kişisel verilerin ilgili kamu kurumlarıyla paylaşılması, anonimleştirilmiş verilerin inceleme, araştırma ve istatistik amacıyla bazı kişi ve kurumlarla paylaşılması ve sadece tüzel kişilere ait verilerin anonimleştirilmesi ve resmi muvafakatleri üzerine satılabilmesi mümkün olmuştur. [2] Bu düzenlemeye baktığımızda aşağıdaki açıklamalar yapılabilir:

1.Kişisel verilere ilişkin ana kural

Kurum, bu Kanun ve diğer kanunlarla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle paylaşamaz.

a.İstisna

Ancak, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğindeki veriler paylaşılabilir.

b.Açıklama

Kurum, sahip olduğu kişisel verileri veri sahibinin noterden muvafakati olmadıkça paylaşamaz. Bu kuralın tek istisnası, SGK’nın kamu kurumları ile söz konusu kurumların kanunda belirtilen görevi yerine getirebilmesi için ihtiyaç duyduğu verinin paylaşılmasıdır. Ancak bu istisnada da sağlık verileri kesin biçimde kapsam dışıdır.

2.Paylaşılabilecek verilere ilişkin kural

Kurum, bunların dışındaki gayri maddi hakları ile kimliği belirli veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde anonim hâle getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler ile ücretsiz olarak paylaşabilir.

a.Açıklama

Kurum, sahip olduğu bilgisayar programı telifi gibi maddi olmayan hakları ve kişisel verilerin anonimleştirilmesiyle elde edilmiş olan verileri sınırlı amaçlar için (araştırma, planlama ve istatistik gibi amaçlar için) sınırlı kişi ve kurumla paylaşabilecektir. Ayrıca vurgulamak gerek ki, SGK’dan veri isteyen kişi veya kurum bu veriyi hangi amaçla kullanacağını belirtmek, SGK da bu amaçla sınırlı olarak veri paylaşımında bulunmakla yükümlüdür. Bu paylaşımın ücretsiz olacağı da yasal düzenlemeden anlaşılmaktadır.

3.Satılabilecek verilere ilişkin kural

Anonim hâle getirilen verinin tüzel kişilere ait olması hâlinde bu fıkrada sayılanlar dışındaki gerçek veya tüzel kişilere tüzel kişinin noter onaylı muvafakati alınmak kaydıyla ücretli olarak verilebilir.

a.Açıklama

SGK’nın yıllardır yapmaya çalıştığı, veri satışı oldukça sınırlı bir alanda tanınmıştır. Hiçbir şekilde, kişisel veriler veya bunların anonimleştirilmesiyle elde edilen veri setleri satışa konu edilemez. SADECE tüzel kişilere ait, anonimleştirilmiş ve veri sahibi tüzel kişinin satışa noter onaylı muvafakatinin bulunduğu veriler satılabilir.

4.Sosyal Güvenlik Kurumu Verilerinin Kullanımına, Paylaşılmasına ve Korunmasına İlişkin Usul ve Esaslar

SGK Yönetim Kurulu 9.7.2015 tarihli Yönetim Kurulu Kararı ile Sosyal Güvenlik Kurumu Verilerinin Kullanımına, Paylaşılmasına ve Korunmasına İlişkin Usul ve Esaslar’ı kabul ederek yürürlüğe koymuştur.

Söz konusu Usul ve Esaslar, 6645 sayılı Torba Yasa ile 5502 sayılı Kurum Yasasına eklenen hükmün uygulama kurallarını gösterir gibi görünmekle birlikte söz konusu kuralı önemli ölçüde aşan hükümler içermektedir.

Tanımlar başlığı altında “Sağlık verisi: Genel Sağlık Sigortası Uygulamalarına yönelik her türlü veriyi ifade eder” şeklinde tanımlanmıştır. Buna göre “Genel sağlık sigortalısının ve bakmakla yükümlü olduğu kişilerin sağlıklı kalmalarını; hastalanmaları halinde sağlıklarını kazanmalarını; iş kazası ile meslek hastalığı, hastalık ve analık sonucu tıbben gerekli görülen sağlık hizmetlerinin karşılanmasını, iş göremezlik hallerinin ortadan kaldırılmasını veya azaltılmasını temin etmek amacıyla” elde edilen veriler de dahil olmak üzere pek çok veri sağlık verisi olarak tanımlanmıştır.

İlgili Yasa sağlık verisinin paylaşılmasına izin vermezken Sosyal Güvenlik Kurumu çıkarttığı Usul ve Esaslar ile yasal sınırları bir kenara atmış, sağlık verilerinin en geniş şekilde paylaşılmasına olanak sağlamıştır.Her ne kadar kimi maddelerde kişisel sağlık verisi paylaşılamaz şeklinde yasal düzenlemeye atıflar yapılmış ise de sağlık verisi tanımının genişliği ve anonimleştirmeyi içermiyor olması sağlık verilerinin korunması bakımından ciddi risk oluşturmaktadır. Bu bakımdan, en kısa zamanda, Genelge’nin ilgili hükümlerinin iptali için Türk Tabipleri Birliği tarafından gerekli hukuksal girişimlerde bulunulacaktır.



[1] 5510 sayılı Yasa’nın 78. Maddesinin 2. fıkrasının 2. cümlesi, Anayasa Mahkemesi'nin 23.5.2015 tarih ve 29364 sayılı R.G.'de yayımlanan, 25.12.2014 T., 2014/74 E. ve 2014/201 K. sayılı Kararı ile iptal edilmiştir. Madde 78'in 2. fıkrasının son cümlesi, Anayasa Mahkemesi'nin 23.5.2015 tarih ve 29364 sayılı R.G.'de yayımlanan, 25.12.2014 T., 2014/74 E. ve 2014/201 K. sayılı Kararı ile iptal edilmiştir.

[2] “Kurum, bu Kanun ve diğer kanunlarla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle paylaşamaz. Ancak, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğindeki veriler paylaşılabilir. Kurum, bunların dışındaki gayri maddi hakları ile kimliği belirli veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde anonim hâle getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler ile ücretsiz olarak paylaşabilir. Anonim hâle getirilen verinin tüzel kişilere ait olması hâlinde bu fıkrada sayılanlar dışındaki gerçek veya tüzel kişilere tüzel kişinin noter onaylı muvafakati alınmak kaydıyla ücretli olarak verilebilir. Veri paylaşılan kamu idareleri ile gerçek ve tüzel kişiler, paylaşılan verinin gizliliğinden ve güvenliğinden sorumludur. Bu fıkranın aksine davrananlar hakkında, veri paylaşımı yapılanlar da dâhil olmak üzere 5237 sayılı Türk Ceza Kanunu ile diğer ilgili mevzuat hükümleri uygulanır.”

Genelge için...