KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE VERİ MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK TASLAĞI

Transkript

1 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE VERİ MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK TASLAĞI -HUKUKİ DEĞERLENDİRME- Sağlık Bakanlığı tıbbi kayıtların kendi elinde toplanmasına yönelik veri aktarımını sağlayacak "Sağlık Net 2 Veri Gönderimi" sistemini oluşturmuştur. Sağlık Bilgi Sistemleri Genel Müdürlüğünün tarihli yazısıyla 1 Ocak 2013 tarihinden itibaren sağlık hizmeti veren tüm sağlık kurum ve kuruluşları tarafından Sağlık Net 2 sistemine veri gönderiminin zorunlu olacağı, USVS 2.0 kapsamında yer alan verileri sisteme göndermek için entegre yazılım temin etmeleri gerektiği ilgili meslek odalarına ve valiliklere bildirilmiştir. Yapılan başvurular ve tepkiler üzerine uygulama süresinin üç ay ertelendiği duyurulmuştur. Bu uygulama işlemlerinin ardından 'Kişisel Sağlik Verilerinin Işlenmesi Ve Veri Mahremiyetinin Sağlanmasi Hakkinda Yönetmelik Taslağı'nı internet sitesinde yayımlayarak kamuoyunun görüşüne açmıştır. 'Amaç' başlıklı 1. maddede Yönetmeliğin amacının Sağlık Bakanlığının 663 sayılı KHK ile otomatik işlemeye yetkili kılındığı yurttaşların sağlık verilerinin mahremiyetini sağlamak olduğu ifade edilmiştir. Aşağıda Taslağa ilişkin hukuksal değerlendirmemize yer verilecektir. I-YÖNETMELİĞİN ŞEKİL, KAPSAM VE DAYANAK AÇISINDAN İNCELENMESİ: A.Kişisel Verilerin İşlenmesine İlişkin Düzenlemeler Ancak Kanunla Yapılabilir. Hukuksal Dayanağını KHK Hükmünün Oluşturduğu Bir Yönetmelikle Bu alanda Düzenleme Yapılması Hukuka Aykırıdır. Sağlık Bakanlığı tarafından otomatik olarak toplanıp işleme tabi tutulacak hastaya ait kayıtlar, kimliğine ve sağlık durumuna ilişkin bu bilgi ve belgeler özel hayatın ayrılmaz parçası olarak kabul edilmektedir. 1 Özel hayatın gizliliği ve korunması Anayasanın 20. Maddesinde düzenlenmiştir. 20. Madde Anayasanın ikinci kısmının ikinci bölümünde yer almaktadır. Anayasanın 91. Maddesinde; Anayasanın ikinci kısmının birinci ve ikinci bölümlerinde yer alan temel haklar, kişi hakları ve ödevleri ile ilgili düzenlemelerin kanun hükmünde kararnamelerle düzenlenemeyeceği belirtilmiştir. Yönetmelik taslağının dayanağı ise 663 sayılı KHK nin 47. Maddesidir. Öte yandan Anayasa uyarınca asli düzenleme yetkisi yasama organı olan TBMM ne verilmiştir. Yasama organı tarafından kabul edilen bir Yasa ile yürütme organı olan Sağlık Bakanlığı na bu konuda verilmiş bir düzenleme yetkisi bulunmamaktadır. Anayasa'nın 124. Maddesi uyarınca Yönetmeliklerin kanun ve tüzüklerin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla çıkarılabilir. 1 Türk Ceza Kanunu, Kişisel verilerin kaydedilmesi madde (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. (2) Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır. 1

2 Özel Hayatın gizliliği ve korunması alanında Kararname ile düzenleme yapılamayacağından, Anayasaya Aykırı bir Kararname ile Anayasa nın idareye türev düzenleme yetkisi veren 124. Madde kapsamında bir düzenleme yetkisi verilemeyeceğinden Taslağın Yönetmelik haline getirilmesinde hukuki imkansızlık bulunmaktadır. Ayrıca devletin, Anayasamızın 12. maddesinde tanımlandığı biçimiyle kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlerden olan özel hayatın gizliliğine dokunmama konusunda da ödevi bulunmaktadır. Bu ödev de Anayasamızın Temel Hak Ve Hürriyetlerin Sınırlanması başlıklı 13. maddesinde, temel hak ve hürriyetlerin özlerine dokunulmaksızın kanunla sınırlanabileceği konusundaki hükümde yer bulmuştur. Yanı sıra kişisel verilerin korunmasına ilişkin Anayasanın 20. maddesinin sonuna eklenen fıkrada Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Hükmü yer almaktadır. Bu Anayasa normunda kişisel verilerin işlenebilmesi iki halde mümkün olacaktır: Ya sağlık verileri işlenecek kişi buna açıkça rıza gösterecek, ya da bu işleme kanuni bir zorunluluktan kaynaklanacaktır. Anayasa Mahkemesinin tarihli ve E. 2006/167, K. 2008/86 sayılı kararında da kanunla düzenlenmesi gereken bu sınırlamaların demokratik toplum düzeninin gereklerine aykırı olamayacağı ifade edilmiştir. Kişisel veri niteliğindeki bilgilerin korunmasına, saklanmasına ve ait olduğu kişinin izni olmadan açıklanmaması, kullanılmaması ve otomatik işlemlere tabi tutulmaması gerekliliğine uluslar arası birçok sözleşmede vurgu yapılmıştır. 2 Bu anlamda hastaların sağlık durumlarını yansıtan verilerin/kayıtların paylaşılması, bildirim zorunluluğu gibi konular ancak kanunla düzenlenmesi durumunda hukuka uygunluk taşıyacaktır. Nitekim Sağlık Bakanlığının bu alana ilişkin tasarruflarından önce kişisel verilerin rıza dışı bildirimi Kanun bazında üst hukuk normları ile düzenlenmiştir sayılı Türk Ceza Kanununun 280. maddesinde düzenlenen görevini yaptığı sırada suç belirtisi ile karşılaşan sağlık mensubunun suçu bildirmesi yükümlülüğü ve 1593 sayılı Umumi Hıfzıssıhha Kanunu nun 58. maddesinde düzenlenen bulaşıcı hastalıkları yetkili makamlara bildirme yükümlülüğü, Kimlik Bildirme Kanunu'nuyla getirilen yükümlülükler bunlara örnek olarak gösterilebilir. Ülkemiz mevzuatında kişisel verilerin korunmasına dair bir Yasa bulunmamakta olup, bu boşluktan yararlanılarak sağlık verileri üzerinde Bakanlığın otomatik işleme yetkisi bulunduğuna ilişkin KHK hükümleri veya Yönetmelik hükümleri ile düzenleme yapabilmesi hukuken olanaklı değildir. B. Dayanak KHK Hükmünde Tıbbi Verileri İşlenen İlgililerin Rızası Aranmadığı İçin Dayanak Hüküm Anayasa'nın 20/son Hükmüne Aykırıdır. Kanun hükmüne dayanmayan biçimde kişisel veri işleme ancak kişilerin buna açıkça rıza göstermiş olmasına bağlıdır. Nitekim Anayasanın 20/son maddesinde başka bir hukuka uygunluk nedeni olarak kişilerin açık rızası gösterilmektedir. Oysa dayanak KHK hükmü hem sağlık hizmeti alan kişiler yönünden bir rıza aramamakta, hem de sağlık kuruluşlarını ve daha özelde hekimleri veri aktarmaya mecbur kılmaktadır. Kişilerin verilerini işlenmesine rıza göstermemesine rağmen sağlık hizmeti almaktan imtina edebilmeleri de mümkün değildir. Bu anlamda dayanak KHK hükmü Anayasanın işaret ettiği biçime 2 Kişisel Verilerin Otomatik İşlenmesinde Bireylerin Korunması Sözleşmesi, Madde 6: İç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dini veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar. 2

3 uygun olarak kişilerin açık rızasını aramaksızın Bakanlığın veri işleyebileceğini düzenlemesi hükmü Anayasanın 20. maddesine aykırı kılmaktadır. Bu nedenlerle Yönetmelik taslağının şekil ve dayanak açısından hukuka uygunluk taşımadığını, dayanak KHK hükmünün de Anayasa'nın 13. ve 20. maddelerine aykırı olduğu kanısındayız. II. YÖNETMELİK TASLAĞININ KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN YETERLİLİĞİ: Son yıllarda bilgisayar ve internet kullanımının hızla yaygınlaşarak artması sonucu, kişiler, kurumlar ve kuruluşlar artık faaliyetlerinin büyük bölümünü elektronik ortamlarda gerçekleştirmekte ve ilgili diğer kişilerle de bu ortamda paylaşmaktadır. Hizmetlerin internet ortamında sunulması eğiliminin artması, açık ve özel ağlar arasındaki geçişler, bilgilerin halka açık sistemlerle paylaşılması gibi uygulamaların artması sonucu bilgilere erişimin denetlenmesi güçleşmekte ve güvenlik zayıflıklarına neden olmaktadır. Bu ihtiyaç nedeniyle Avrupa Konseyi 28 Ocak 1981 tarihinde 108 nolu Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşmeyi imzaya açmıştır. Ülkemiz, anılan Sözleşmeyi 28 Ocak 1981 tarihinde imzalamış, ancak Sözleşmenin 4. maddesi gereği Sözleşmenin onaylanabilmesi için, imzalayan devletin, Sözleşmede öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunlu olduğundan sözleşme hala ülkemizce onaylanamamıştır. Otomatik bilgi işleme durumlarında, bu korumanın gerçekleştirilebilmesi için Sözleşme nin 5 inci maddesinde belirlenen temel ilkelere göre veriler: Meşru ve yasal yoldan elde edilmeli ve ancak bu şekilde işleme tabi tutulmalıdır; Belli ve meşru amaçlar için kaydedilmeli ve bu amaca aykırı şekilde kullanılmamalıdır; Kaydedildikleri amaca uygun ve bu amaçla ilgili bilgiler olmalıdır; Doğru ve güncellenebilir olmalıdır; İlgili kişilerin kimliklerinin tespit edilmesine izin verecek şekilde tutulmalı ve tutuldukları nihai amaç gerçekleşene kadar muhafaza edilmelidir. Bu temel ilkelerin dışında, Sözleşme iç hukukta güvence sağlanmadıkça, hassas veri olarak kabul edilen ırk, siyasi düşünce, dini ve cinsel yaşamla ilgili bilgilerin otomatik işlemeye tabi tutulmaması gerektiğini, bu amaçla uygun güvenlik önlemlerinin alınması gerektiğini belirtmektedir. Öte yandan, Sözleşmede kişi bakımından da birtakım güvencelerin sağlanması gerektiği vurgulanmaktadır. Bu güvenceler; kişilerin kendileri hakkında tutulan bilgilere erişebilme, bunları güncelleyebilme, hukuka aykırı işleme halinde bu bilgilerin silinmesini isteme, söz konusu talepler yerine getirilmez ise kanun yoluna başvurabilme olarak ifade edilmektedir. 3 Kişisel verilerin korunma mekanizmalarının oluşturulmasında ise, temel bazı ilkelerin sağlanması ön koşuldur. Buna göre; Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmesi önlenmelidir ve sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğu teknolojik olarak da garanti altına alınmalıdır. (Confidentiality - Gizlilik) Bilginin sahibi dışındaki kişilerce değiştirilmesinin ve silinmesinin önlenmesi gerekmektedir (Integrity Bütünlük). 3 Dilek Yüksel Civelek, Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi, Uzmanlık Tezi, Bilgi Toplumu Dairesi Başkanlığı, Nisan

4 Bilgi veya bilgi sistemleri sürekli kullanıma hazır ve kesintisiz çalışır durumda olmalıdır (Availability Sürekli Kullanılabilirlik). Kullanıcı kimliğinin doğrulanması (Authentication) gerekmektedir. 4 Kişisel verilerin korunmasıyla ilgili düzenlemelere uygumayanlar hakkında caydırıcı ceza ve yaptırımların getirilmelidir. Verilerin 3. kişilerce paylaşımı hakkın özüne dokunulmadan son derece sınırlı hallerde yapılmalıdır. Veriler güncel olarak tutulmalı, amacıyla orantılı sürede saklanmalı ve sonrasında derhal yok edilmelidir. Vb. Bu kapsamda 2010 yılında Anayasanın 20. maddesine eklenen son fıkrada kişilerin kendileriyle ilgili veri işleme sürecine müdahale edebilme hakkı tanınmıştır. Bu hükümde herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme, kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi hakkının olduğu düzenlenmiştir. Bu yönlerden Taslak Yönetmelik Hükümlerini ele alacak olursak şunları söylemek mümkündür: A. Kişisel veriler 1995 yılında yayınlanmış olan Directive 95/46/EC numaralı Avrupa Birliği direktifinde Kim olduğu belli veya belirlenebilen bir gerçek kişiye ait tüm bilgilerdir. Belirlenebilen bir kişi doğrudan veya dolaylı olarak bir kimlik numarası referansından veya kişiye ait fiziksel, psikolojik, ekonomik, kültürel veya sosyal bilgilerden yola çıkarak tespit edilebilen bir kişidir. Şeklinde tanımlanmaktadır. Yönetmelik taslağı ise, bir bütün olarak kişisel verilerin değil sadece sağlık verilerinin güvenliğine ilişkin hükümler içermektedir. Oysa Sağlık Bakanlığı tarafından otomatik işlemeye tabi tutulan veriler arasında kişilerin sağlık bilgilerinin yanı sıra isim, soy isim, diğer kimlik bilgileri, (doğum yılı, tarihi) sigorta numarası, ikametgah vb. kişisel veri bilgileri yer almaktadır. Bu veriler yalnızca sağlık verileri olmayıp bir bütün olarak kişisel verileri kapsamaktadır. Yönetmelik kişisel verileri toplayıp otomatik işleme tabi tutarken yetersiz güvence hükümlerini de topladığı tüm veriler için değil yalnızca sağlık verileri için sağlamaktadır. B. Taslakta toplanıp işlenen sağlık verilerinin 'sağlık ve sigorta hizmeti sunan kamu ve özel kurum ve kuruluşlara' aktarabileceği yönünde düzenlemelere yer verilmiştir. Bu yöndeki hüküm öncelikle Yönetmelik Taslağıın dayanağını oluştuan KHK madesinde Bakanlığa veri paylaşımına ilişkin yetki verilip verilmediği veya veri paylaşımının belli koşullara tabi kılınıp kılınmadığına bakmak gerekmektedir. İlgili KHK'nın 47. maddesinde Bakanlığının yurttaşlara ait sağlık verilerini ancak kendi görevlerini daha etkin biçimde yerine getirebilmek amacıyla işleyebileceğinin düzenlendiği görülmektedir. Maddenin ikinci fıkrasında ise Bakanlığın veri paylaşımına ilişkin koşullar belirlenmiş ve 'Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini 4 Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması, Eren ERSOY, Telekomünikasyon Kurumu / ANKARA, eersoy@tk.gov.tr 4

5 yapmalarına yetecek derecede paylaşabilir.' düzenlemesine yer verilmiştir. Yani Bakanlık işlediği sağlık verilerini ancak kanunla bu verilere ulaşmada yetkili kılınmış kurum ve kuruluşlara, görevleri ile sınırlı olarak verebilecektir. Dayanak Kararname hükümlerinin çizdiği yetki sınırları dahi Taslak ile aşılmıştır. Yönetmelik taslağında ise işlenen verilerin sigorta şirketlerince paylaşılacağına ilişkin hükümlere yer verilmiştir. Oysa kar elde etmek amacıyla kurulmuş ve Türk Ticaret Kanunu hükümlerine tabi olarak faaliyet gösteren sigorta şirketlerinin kişilerin sağlık verilerine ulaşması konusunda Kanun'la verilen bir yetkisinin olmadığı açıktır. Sigorta sözleşmeleri ve sigortalılık ilişkisi özel hukuk hükümlerine tabi bir ilişki biçimidir. Türk Ticaret Kanunu'nda sigortalının kişisel bilgilerini ve gerçekleşen rizikoları sigorta şirketine bildirme yükülülüğü olmakla birlikte, bu hüküm, bir sigorta şirketi ile sözleşme ilişkisi içinde bulumayan 3. kişilerin sağlık verilerinin sigorta şirketlerine aktarımını meşru kılan bir hüküm olarak kabul edilemez. Giderek genel sağlık sigortasının kapsamının daraltıldığı, insanların ilave sağlık sigortası, ikinci bir sağlık sigortası poliçesi satın almaya zorlandığı günümüzde, sigorta şirketlerine kişisel sağlık bilgilerinin aktarılabileceği düzenlenmektedir. İnsanlar, tedavileri için gerekli olan ve güven ilişkisi nedeniyle en mahrem bilgileri aktardıkları hekimlerden istenen sağlık bilgileri nedeniyle kendilerine poliçe satılmaması, satılacak poliçenin maliyetinin bu bilgilere göre belirlenmesi gibi uygulamalarla karşı karşıya gelebilecektir. Bu nedenle Yönetmelik taslağının Bakanlığın işlediği sağlık verilerini başta sigorta şirketleri olmak üzere özel kurum ve kuruluşlarla paylaşacağına ilişkin hükümlerinin yetki yönünden hukuka aykırı olduğu düşünülmektedir. C. Yönetmelik taslağında, sağlık verilerinin mahremiyetinin korunması amacına yönelik uygulamayı gösteririr hükümler bulunmamaktadır. Nitekim Taslağın 'Sistem Standartları' başlıklı 10. maddesinde sağlık verilerinin güvenliğini sağlayacak sistemin standartlarının Bakanlıkça çıkarılacak bir tebliğ ile düzenleneceği belirtilmektedir. Kişisel verilerin işlenmesinin ancak gereken koruma garantisinin verimesi halinde mümkün olduğu birçok uluslararası sözleşmede ve Anayasa'nın 20. maddesinde düzenlenmiştir. Bunu temin eden hükümlere Yönetmelik taslağında yer verilmesi ve ne zaman çıkarılacağı belirsiz olan bir tebliğe atıf yapılması hukuki güvenlik ilkesine aykırıdır. Yönetmelik taslağının yüürlük başlıklı 13. maddesinde verilerin korunmasına yönelik düzenlemelerin tarihinde yürürlüğe gireceği belirtilmişken, diğer hükümlerin yayım tarihinde yürürlüğe gireceği düzenlenmiştir. Yani veri korumaya ilişkin yükümlülükler, veri işlenmeye başlandıktan yıllar sonra sonuç doğurmaya başlayacaktır. Nitekim 2008 yılında Sağlık Bakanlığından Çalışma ve Sosyal Güvenlik bakanlığına gönderilen tarihli ve 1486 sayılı yazıda Dünya Sağlık Örgütü ve Uluslararası Telekomünikasyon Birliği ve Bakanlık Danışma tarafından yapılan üçlü değerlendirmede, sağlık verilerinin elektronik ortamda kaydı ve aktarımını sağlayan MEDULA sisteminin E-Salğık Stratejisi ile paralel giden bir güvenlik ölçeğine sahip olmadığı açıkça ifade edilmektedir. Yazıda bu gerekçe ile Sosyal Güvenlik Kurumu tarafından elektronik ortamda yapılacak geri ödeme fatura kontrol işlemlerinin kişisel salğık verileri toplanmaksızın yapılması gerektiği yönünde görüş bildirilmiştir. Bu yazının altında Sağlık Bakanının imzası bulunmaktadır. Buna rağmen MEDULA adı verilen sistemde sağlık verileri yıllardır kaydedilmekte, kurum ve kuruluşlar arasında aktarılmaktadır. 5

6 Bakanlığın kişisel sağlık verilerinin otomatik işleme tabi tutulabilmesi için gereken hukuki ve teknik koşulların oluşmamasına ve taslak Yönetmelikte bunu sağlamaya yönelik düzenlemelere yer verilmemesine rağmen uygulamaya geçilmesinin telifasi imkansız zararlara neden olması olasıdır. Bu durum yetkisiz kişilerin, kurum ve kuruluşların, sigorta şirketlerinin vb. kişilerin geçirdiği rahatsızlıklara, aldıkları tedaviye, genetik yapısını yansıtan bilgilere vb. ulaşmasına neden olabilecektir. D. İşlenen verilerin güvenliğine ilişkin yeterli önlem alınmamakla birlikte, Bakanlığın güvenliği sağlama konusunda kendisini yükümlülük altına sokmadığı da görülmektedir. Bakanlık kendisini sistemde sadece denetleyici organ olarak görmektedir. Kişisel verileri işleyen ve paylaşan Bakanlığı denetleyen bağımsız bir üst kuruluşun oluşturulması ise tasarlanmamıştır. E. Yönetmelik taslağının 'Müeyyideler' başlıklı maddesinde ise, kişisel verileri kendisine ve başkasına yarar sağlamak için hukuka aykırı olarak işleyenler hakkında genel hükümlere göre işlem yapılacağı belirtilmekle yetinilmiştir. İşlenen verileri gereği gibi koruyamamak suretiyle kişilerin mağduriyetine neden olmak ise özel olarak yaptırıma bağlamamıştır. Yönetmelik taslağı bu yönden de noksan düzenleme niteliğindedir. III- SONUÇ Kamu ve özel bütün sağlık kuruluşlarınca Sağlık Bakanlığına ileteceği ve Bakanlığın da otomatik işleme tabi tutup paylaşabileceği sağlık verileri, bildirimi zorunlu hastalıklara ilişkin bilgilerle sınırlı değildir. İstenen bilgiler içinde bütün kimlik, adres, iletişim bilgileri, hamilelik testleri, sağlık geçmişi, özürlülük durumu,medeni hal, alkol-madde-sigara kullanımı, iş, meslek, öğrenim durumu, gelir durumu, hastalık şikayetleri, hastanın öyküsü(anemnezi), bütün tetkik sonuçları, tetkik istenen kurumlar, Yaş arası kadınların, doğum, düşük türü ve sayıları, kadın sağlığı işlemleri, kullanılan aile planlaması yöntemi, gebelik tespiti sonuçları, son adet tarihi, babanın kan grubu, gebe olduğu tespit edilmiş olsun ya da olmasın, doğum ya da düşükle sonuçlanan tüm gebelikler, ağız ve diş sağlığı ile ilgili tüm koruyucu hekimlik, teşhis ve tedavi işlemleri ve daha pek çok bilgi yer almaktadır. Hukuk devletinde, dayanağını Anayasa ve yasadan almayan hiçbir yetki kullanılamaz ve özellikle kişi hak ve hürriyetlerine kısıtlama hiç getirilemez. Sağlıkla ilgili kişisel verilerin toplanmasının Anayasa ve yasa olarak dayanağı olmadığından, uygulama sadece kanun hükmünde kararname ile yürütülmeye çalışıldığından, kişisel veriler kavramı özel hayatın gizliliği ve korunması hakkı kapsamına girmesi sebebiyle kanun hükmünde kararnameye konu edilemeyeceğinden, bireylerin sağlık bilgilerinin kayıt altına alınmasına yönelik veri toplama ve paylaşmaya ilişkin Yönetmelik Taslağı hükümleri hukuka aykırıdır. Üstelik eldeki düzenleme birçok açıdan noksan, belirsiz ve yetersizdir. Son derece önemli sağlık verilerinin gerekli teknik alt yapı ve bu alt yapının etkinlik ve denetimini sağlayacak Yasal koşullar oluşturulmadan otomatik işleme tabi tutulmasının hukuka uygunluk taşımadığı ve uygulamaya geçilmesinin telafisi olanaksız zararlar doğurabileceği kanısındayız. Bilgilerinize sunulur. Saygılarımla. Av. Tülay Ekici - Av. Ziynet Özçelik 6