|
Çalýþma ve Sosyal Güvenlik Bakanlýðýndan:
GENEL SAÐLIK SÝGORTASI VERÝLERÝNÝN GÜVENLÝÐÝ VE
PAYLAÞIMINA ÝLÝÞKÝN YÖNETMELÝK
BÝRÝNCÝ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanýmlar
Amaç
MADDE 1 – (1) Bu Yönetmeliðin amacý, Sosyal Güvenlik Kurumu ve sözleþmeli saðlýk hizmet sunucularýna ait bilgi iþlem veri tabanýndaki saðlýk verilerinin korunmasý ile güvenliðinin saðlanmasý ve paylaþýlmasýna iliþkin usul ve esaslarý düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik;
a) Sosyal Güvenlik Kurumu ve sözleþmeli saðlýk hizmet sunucularýna ait bilgi iþlem veri tabanlarýndaki saðlýk verilerinin korunmasý ile güvenliðinin saðlanmasýna,
b) Sosyal Güvenlik Kurumu ve diðer kamu kurum ve kuruluþlarý ile gerçek ve tüzel kiþiler arasýnda saðlýk verilerinin elektronik veya manyetik kayýt ortamýnda paylaþýlmasýna,
iliþkin usul ve esaslarý kapsar.
Dayanak
MADDE 3 – (1) Bu Yönetmelik 31/5/2006
tarihli ve 5510 sayýlý Sosyal Sigortalar ve Genel Saðlýk Sigortasý Kanununun 78 inci
ve 100 üncü maddelerine dayanýlarak hazýrlanmýþtýr.
Tanýmlar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Alýcý: Paylaþýma açýlacak verilerden, yapýlacak sözleþme çerçevesinde yararlanan kamu kurum ve kuruluþlarý ile özel sektör kuruluþlarý ve gerçek ve tüzel kiþileri,
b) Bakanlýk: Çalýþma ve Sosyal Güvenlik Bakanlýðýný,
c) Genel saðlýk sigortalýsý: 31/5/2006 tarihli ve 5510 sayýlý Sosyal Sigortalar ve Genel Saðlýk Sigortasý Kanununun 60 ýncý maddesinde sayýlan kiþileri,
ç) Genel Saðlýk Sigortasý: Kiþilerin öncelikle saðlýklarýnýn korunmasýný, saðlýk riskleri ile karþýlaþmalarý halinde ise oluþan harcamalarýn finansmanýný saðlayan sigortayý,
d) Kurum:
Sosyal Güvenlik Kurumunu,
e) Kanun:
31/5/2006 tarihli ve 5510 sayýlý Sosyal Sigortalar ve Genel Saðlýk Sigortasý Kanununu,
f) Saðlýk hizmeti: Genel Saðlýk sigortalýsý ve bakmakla yükümlü olduðu kiþilere Kanunun 63 üncü maddesi gereði finansmaný saðlanacak týbbi ürün ve hizmetleri,
g) Saðlýk hizmeti sunucusu: Saðlýk hizmetini sunan ve/veya üreten; gerçek kiþiler ile kamu ve özel hukuk tüzel kiþilerini ve bunlarýn tüzel kiþiliði olmayan þubelerini,
ð) Saðlýk verisi: Genel saðlýk sigortalýsý ve bunlarýn bakmakla yükümlü olduðu kiþiler için Kanunun 63 üncü maddesi gereði finansmaný saðlanan saðlýk hizmetlerine iliþkin her türlü veriyi,
ifade eder.
ÝKÝNCÝ BÖLÜM
Saðlýk Verilerinin Güvenliði
Kiþisel ve ticari sýr niteliðindeki
verilerin korunmasý
MADDE 5 – (1) Genel saðlýk sigortalýsýna ait saðlýk bilgilerinin gizliliði esastýr. Saðlýk verilerinin paylaþýmýnda; Anayasada, kanunlarda ve uluslararasý sözleþmelerde yer alan özel hayatýn gizliliðine ve ticari sýr niteliðindeki verilerin korunmasýna iliþkin hükümler esas alýnýr.
Kurum veri tabanýnda yer
alan bilgilerin güvenliðinin saðlanmasý
MADDE 6 – (1) Kurum, veri tabanýnda tutulan saðlýk verilerinin her türlü tehlikeye karþý güvenliðinin saðlanmasý amacýyla, güvenlik politikalarýnýn hazýrlanmasýný, uygulamaya konulmasýný, güncellenmesini ve denetlenmesini saðlamakla yükümlüdür.
(2) Kurumda yazýlým geliþtirme üzerine çalýþan personel, verilecek özel izin dýþýnda veri tabanýna eriþemez.
(3) Veri
talebinde bulunan kamu kurum ve kuruluþlarý, özel sektör kuruluþlarý ve gerçek ve tüzel kiþilerin kurum veri tabanýnýn tamamýna doðrudan eriþimine izin verilmez. Talep edilen verinin aktarýmý saðlanýr.
Saðlýk hizmet
sunucularýnda kaydý tutulan verilerin güvenliðinin saðlanmasý
MADDE 7 – (1) Saðlýk hizmet sunucularýnýn genel saðlýk sigortalýsýna sunmuþ olduðu saðlýk hizmetlerine iliþkin kaydý tutulan saðlýk verileri dahil her türlü kiþisel bilgiler, ilgili mevzuatla izin verilen haller
dýþýnda veya kiþilerin açýkça rýzasý olmaksýzýn, kurum, kuruluþ ve üçüncü kiþilerle paylaþýlmaz. Kiþiyi doðrudan veya dolaylý olarak tanýmlamayan genel veya anonim veriler paylaþýlabilir.
(2) Saðlýk hizmet sunucularýna ait bilgi iþlem sistemlerinin yazýlým ve donanýmýný saðlayan gerçek ve tüzel kiþiler de yukarýda belirtilen hükümlere tabidir.
Veri üreten
birimin sorumluluðu
MADDE 8 – (1) Veri üretimi, kurum veri
tabanýnda yetkilendirilmiþ kiþiler tarafýndan yapýlýr. Veri üreten kiþiler kurumca
belirlenecek olan yöntemlere göre farklý düzeylerde yetkilendirilebilir. Üretilen veriler sadece veri talebinde bulunan özel sektör veya kamu kurumunun ilgili birimine iletilir. Üretilen verilerin muhafazasý ve güvenliði veri üreten ve talep
eden birimler tarafýndan saðlanýr.
(2) Kurum,
paylaþýlan verilerin içeriðini kayýt altýna almak ve
muhafaza etmekten sorumludur.
Alýcýnýn sorumluluðu
MADDE 9 – (1) Alýcý, kurumdan aldýðý verilerin gizliliðini korumakla ve güvenliðini saðlamakla yükümlüdür. Alýnan veriler talebe
esas gerekçe dýþýnda hiçbir amaçla kullanýlamaz. Alýcý tarafýn verileri teslim alabilmesi için noter aracýlýðý ile “Gizlilik Taahhüt Belgesi” imzalamasý ve Kuruma vermesi
zorunludur.
(2) Alýcý, Kurumdan alýnan verileri
mevzuata aykýrý kullanmasý veya güvenliðini saðlayamamasý durumunda doðacak hukuki sonuçlardan sorumludur.
Alýcý, verilerin yetkisi olmayan kurum, kuruluþ ve üçüncü kiþilerin eline geçmemesi için gerekli tüm tedbirleri almakla yükümlüdür.
ÜÇÜNCÜ BÖLÜM
Verilerin Paylaþýmý
Paylaþýlmayacak
veriler
MADDE 10 – (1) Genel saðlýk sigortalýsýna ve saðlýk hizmet sunucularýna ait verilerin gizliliði esastýr. Bu verilerin paylaþýmýnda uluslararasý sözleþmeler, Anayasa, kanunlar ve diðer mevzuatta yer alan özel hayatýn gizliliðine ve ticari sýr niteliðindeki verilerin korunmasýna iliþkin hükümler esas alýnýr.
(2) Aþaðýda yer alan bilgiler paylaþýlmaz:
a) Paylaþýlmasý ulusal güvenliði tehdit edebilecek nitelikte olan bilgiler,
b) Milli Ýstihbarat Teþkilatý Müsteþarlýðý personeli ile bakmakla yükümlü olduklarý kiþilere ait her türlü veriler,
c) Genel saðlýk sigortalýsýna ait kiþisel bilgileri içeren veriler,
ç) Rekabet hukuku ilkelerine aykýrýlýk teþkil eden firma, ürün, marka ve ilgili diðer bilgileri içeren veriler.
(3) Saðlýk hizmet sunucularýna ait veriler,
ancak kurum adý belirtilmeden, doðrudan veya dolaylý tanýmlamaya yol açmayacak þekilde bölge veya alan adý olarak
verilebilir.
Ýstisnai durumlar
MADDE 11 – (1) Aþaðýda belirtilenlerin veri talebinde bulunmasý halinde 10 uncu madde hükümleri uygulanmaz.
a) Cumhuriyet
Baþsavcýlýklarý, mahkemeler ve Sayýþtay Baþkanlýðý,
b) Kurumun
denetim ve kontrol ile görevlendirdiði personel,
c) Yasal görev ve yetkilerine uygun olmak þartýyla 10/12/2003 tarihli ve 5018 sayýlý Kamu Mali Yönetimi ve Kontrol Kanunu kapsamýndaki kamu kurum ve kuruluþlarýnýn denetim birimleri tarafýndan genel saðlýk sigortasý uygulamalarý ile yapacaklarý soruþturma, inceleme ve
teftiþlerle ilgili görevlendirilen
personel,
ç) Kurum saðlýk politikalarýyla ilgili olarak iþ ve iþlemleri yürüten veya bununla ilgili çalýþma yapan kurum personeli.
(2) Firma, ürün veya marka barýndýran veriler, talep halinde firmanýn kendisine
verilebilir. Ayrýca bu veriler sýnýrlarý açýkça belirtilmiþ olmak ve veri
talep eden firma tarafýndan rekabete aykýrý olmadýðýna dair Rekabet Kurumundan bir karar alýnmak kaydýyla ve ilgili firmanýn noterlikçe onaylanan açýk rýzasý ve muvafakati çerçevesinde kurum, kuruluþ ve üçüncü kiþiler ile paylaþýlabilir.
DÖRDÜNCÜ BÖLÜM
Veri
Taleplerine Baþvuru ve Veri Taleplerinin Karþýlanmasý
Baþvuru ve anlaþma
MADDE 12 – (1) Veri paylaþýmýndan yararlanmak isteyen alýcý, Kuruma yazýlý olarak baþvurur. Yapýlan baþvurularda talep edilen bilgilerin kullanýlma gerekçesi ve varsa yasal dayanaðýnýn açýkça belirtilmesi zorunludur.
(2) Kurum, veri
tabanýnda tutulan bilgileri, mevzuat ile getirilen sýnýrlamalar ve bu Yönetmelikte
belirtilen usul ve esaslara göre alýcýyla yapacaðý sözleþme çerçevesinde paylaþabilir.
Veri taleplerinin karþýlanmasý
MADDE 13 – (1) Veri taleplerine iliþkin baþvurular yazýlý olarak Kuruma yapýlýr.
(2) Verilerin
paylaþýmý hizmetlerinin koordinasyonu Kurum tarafýndan yapýlýr.
(3) Bu Yönetmeliðin kapsamýna giren ve Kurum
tarafýndan paylaþýmý onaylanan verilere iliþkin;
a) Üniversitelerin kurumsal projelerinde,
b) 10/12/2003
tarihli ve 5018 sayýlý Kamu Mali Yönetimi ve Kontrol
Kanununa göre genel yönetim kapsamýndaki kamu idareleri ile Bakanlýðýn ilgili ve baðlý kuruluþlarýnýn yayýmladýklarý süreli istatistik bültenlerinde,
c) Uluslararasý kuruluþlarýn Kurumun iþbirliði yaptýðý çalýþmalarda,
kullanýlmak üzere, 9/10/2003 tarihli ve 4982 sayýlý Bilgi Edinme Hakký Kanunu çerçevesinde gerçek ve tüzel kiþilerin spesifik analize gerek olmaksýzýn karþýlanabilecek basit
veri talepleri ve mütekabiliyet ilkesi çerçevesinde diðer ülkelerin resmi kurumlarýnýn talepleri ücretsiz olarak karþýlanýr.
Sözleþme kapsamýndaki veri taleplerinin karþýlanmasý
MADDE 14 – (1) Bu Yönetmeliðin kapsamýna giren veri talepleri, Kurumun ön deðerlendirmesine tabidir. Ön deðerlendirme sonrasýnda uygun görülen veri taleplerinin karþýlanmasý için alýcý, sözleþme yapmak üzere davet edilir.
(2) Sözleþmeler Kurum Baþkaný veya yetkilendireceði personel tarafýndan imzalanýr.
(3) Veriler,
CD, DVD, sabit disk, taþýnabilir bellek gibi elektronik veya manyetik kayýt ortamýnda þifrelenerek alýcýya gönderilir.
(4) Veri paylaþýmý kapsamýnda edinilen bilgilerin
her türlü kullanýmýnda alýcýnýn Kurumu kaynak göstermesi
zorunludur.
BEÞÝNCÝ BÖLÜM
Çeþitli ve Son Hükümler
Sorumluluk
MADDE 15 – (1) Kurum tarafýndan saðlanan verilerin herhangi bir biçimde yetkisiz kiþilerin eline geçmesi ve/veya amacý dýþýnda kullanýmýndan doðacak her türlü hukuki, mali veya cezai sorumluluk alýcýya aittir.
(2) Alýcýnýn edindiði verileri kaynak
göstermeden kullanmasý halinde Kurum
tazminat isteme hakkýna sahiptir.
Düzenleme yetkisi
MADDE 16 – (1) Bu Yönetmeliðin uygulanmasýna iliþkin usul ve
esaslar Kurum Yönetim Kurulunca belirlenir.
Yürürlük
MADDE 17 – (1) Bu Yönetmelik yayýmý tarihinde yürürlüðe girer.
Yürütme
MADDE 18 – (1) Bu Yönetmelik hükümlerini Çalýþma ve Sosyal Güvenlik Bakaný yürütür.
|