|
Sağlık Bakanlığından:
KİŞİSEL SAĞLIK
VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN
SAĞLANMASI HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK
YAPILMASINA
DAİR YÖNETMELİK
MADDE 1 – 20/10/2016 tarihli ve
29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi
ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin 1 inci maddesinde yer
alan “kişisel sağlık verilerini toplama, işleme, aktarma” ibaresi “kişisel
sağlık verilerinin işlenmesine,” olarak değiştirilmiştir.
MADDE 2 – Aynı Yönetmeliğin 2 nci maddesi
aşağıdaki şekilde değiştirilmiştir.
“MADDE 2 – (1)
Bu Yönetmelik;
a) Sağlık hizmeti sunucularına,
b) Kişisel sağlık verileri işlenen gerçek kişilere,
c) Sağlık hizmeti sunucularına ait bilgi işlem
sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan
gerçek ve tüzel kişilere,
ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde
kişisel sağlık verilerini işleyen kamu kurum ve kuruluşları ile özel hukuk
gerçek ve tüzel kişilerine,
ilişkin hükümleri kapsar.”
MADDE 3 –
Aynı Yönetmeliğin 3 üncü maddesi
aşağıdaki şekilde değiştirilmiştir.
“MADDE 3 – (1)
Bu Yönetmelik; 11/10/2011 tarihli ve 663 sayılı
Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında
Kanun Hükmünde Kararnamenin 8 inci maddesinin birinci fıkrasının (j) bendi
ile 47 nci maddesi ve 7/5/1987 tarihli ve 3359
sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının
(f) bendine dayanılarak hazırlanmıştır.”
MADDE 4 – Aynı Yönetmeliğin 4 üncü maddesi aşağıdaki şekilde
değiştirilmiştir.
“MADDE 4 –
(1) Bu Yönetmelikte geçen;
a) Anonim hale getirme: Kişisel sağlık verilerinin,
başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini,
b) Bakanlık: Sağlık Bakanlığını,
c) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel
Müdürlüğünü,
ç) İlgili kişi: Kişisel sağlık verisi işlenen
gerçek kişiyi,
d) Kanun: 6698 sayılı Kişisel Verilerin Korunması
Kanununu,
e) Kişisel sağlık kaydı sistemi: İlgili kişilerin
sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin
erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,
f) Kişisel sağlık verisi: Kimliği belirli ya da
belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her
türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
g) Kişisel sağlık verilerinin
işlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya
da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen
her türlü işlemi,
ğ) Kurul: Kişisel Verileri Koruma Kurulunu,
h) Merkezi sağlık veri sistemi: Bakanlık tarafından
oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
ı) Sağlık hizmeti sunucusu: Ülke genelinde birinci,
ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta
olan bütün sağlık tesislerini,
i) Veri işleyen: Veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
j) Veri sorumlusu: Kişisel sağlık verilerinin
işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.”
MADDE 5 – Aynı Yönetmeliğin 5 inci maddesinin birinci,
üçüncü, beşinci, altıncı ve sekizinci fıkraları aşağıdaki şekilde değiştirilmiş,
dördüncü, yedinci ve dokuzuncu fıkraları yürürlükten kaldırılmıştır.
“(1) Kişisel sağlık verileri, ancak Kanunda ve bu
Yönetmelikte öngörülen usul ve esaslara uygun olarak işlenebilir.”
“(3) Sağlık hizmeti sunumunda görevli kişiler,
ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin
gereği ile sınırlı olmak kaydıyla işleyebilir.”
“(5) Sağlık hizmeti sunucularında
veri işleyen kişiler, kişisel sağlık verilerini; sağlık hizmeti
sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her
türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan
sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı
diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez
ve depolayamaz.
(6) Sağlık hizmeti sunucuları, Kanunun emredici
hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara
uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve
işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur.”
“(8) Sağlık hizmeti sunucuları, Kanunun emredici
hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara
uygun bir şekilde kişisel sağlık verilerini merkezi sağlık veri sistemine
aktarır.”
MADDE 6 – Aynı Yönetmeliğin 6 ncı
maddesinin birinci, ikinci ve üçüncü fıkraları aşağıdaki şekilde değiştirilmiş,
dördüncü, beşinci ve altıncı fıkraları yürürlükten kaldırılmıştır.
“(1) Veri işleyen; kişisel sağlık verilerinin
hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka
aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu
tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu
görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı
olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu
yükümlülük görevden ayrılmalarından sonra da devam eder.
(2) Kişisel sağlık verisi işleyenler, bu verilerin
mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan
ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri
alır ve Bakanlıkça belirlenen diğer kurallara riayet eder.
(3) Kişisel sağlık verilerinin kanuni olmayan
yollarla işlenmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula
bildirir.”
MADDE 7 –
Aynı Yönetmeliğin 7 nci maddesinin birinci, ikinci ve dördüncü fıkraları
aşağıdaki şekilde değiştirilmiştir.
“(1) Kişisel sağlık verilerinin, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaç
ve koşullar kapsamında işlenebilmesi için ilgili kişinin açık rızası
aranmaz.
(2) Bunların dışında kalan amaçlar kapsamında
kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanunun 10
uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca bilgilendirilmesi
ve açık rızasının alınması gerekir.”
“(4) Özel nitelikli kişisel verilerin işlenmesinde,
ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
MADDE 8 – Aynı Yönetmeliğin 8 inci maddesinin birinci ve
ikinci fıkraları aşağıdaki şekilde değiştirilmiş, üçüncü ve dördüncü
fıkraları yürürlükten kaldırılmıştır.
“(1) Kişisel sağlık verileri, ancak Kanunun 8 inci
ve 9 uncu madde hükümleri uyarınca aktarılabilir.
(2) Kişisel sağlık verileri, Kanunun 8 inci ve 9
uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak
anonim hâle getirilmek suretiyle aktarılabilir.”
MADDE 9 –
Aynı Yönetmeliğin 9 uncu
maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiş, ikinci fıkrası
yürürlükten kaldırılmıştır.
“(1) Kanun, bu Yönetmelik ve ilgili diğer mevzuat
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen veya
ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir
veya anonim hâle getirilir.”
MADDE 10
– Aynı Yönetmeliğin dördüncü bölüm
başlığı “İlgili Kişi ve Veri Sorumlusu” olarak, beşinci bölüm başlığı
“Genel Müdürlüğün Görevleri” olarak değiştirilmiştir.
MADDE 11
– Aynı Yönetmeliğin 10 uncu
maddesi başlığı ile birlikte aşağıdaki şekilde değiştirilmiştir.
“İlgili kişi
MADDE 10
– (1) İlgili kişi, veri
sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel sağlık verisi işlenip işlenmediğini
öğrenme,
b) Kişisel sağlık verisi işlenmişse buna ilişkin
bilgi talep etme,
c) Kişisel sağlık verilerine erişim ve bu verileri
isteme,
ç) Kişisel sağlık verilerinin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel sağlık
verilerinin aktarıldığı üçüncü kişileri bilme,
e) Kişisel sağlık verilerinin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) 9 uncu maddede öngörülen şartlar çerçevesinde
kişisel verilerin silinmesini isteme,
g) (e) ve (f) bentleri uyarınca yapılan işlemlerin,
kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
ğ) İşlenen kişisel sağlık verilerinin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h) Kişisel sağlık verilerinin Kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep
etme,
haklarına sahiptir.
(2) İlgili kişinin, birinci fıkranın (a), (b), (c),
(ç) veya (d) bentlerinde sayılan haklarından birini veya birkaçını kullanması
hâlinde ilgili bilgi kendisine, açık ve anlaşılabilir bir şekilde, yazılı
olarak veya elektronik ortamda bildirilir.”
MADDE 12
– Aynı Yönetmeliğin 11 inci
maddesinin üçüncü ve altıncı fıkraları aşağıdaki şekilde değiştirilmiş,
yedinci fıkrası yürürlükten kaldırılmıştır.
“(3) Veri sorumlusu, kişisel sağlık verilerinin
kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde,
ikinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle
birlikte müştereken sorumludur.”
“(6) İşlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu
durumu en kısa sürede Kurula bildirir.”
MADDE 13
– Aynı Yönetmeliğin 12 nci maddesi yürürlükten kaldırılmıştır.
MADDE 14
– Aynı Yönetmeliğin 13 üncü maddesinin
birinci fıkrasının (d) bendinde yer alan “yetki” ibaresi “açık rıza” olarak
değiştirilmiştir.
MADDE 15
– Aynı Yönetmeliğin 14 üncü
maddesinin üçüncü fıkrasında yer alan “Bu Yönetmelik kapsamındaki kişi ve
kurumlar;” ibaresi “Sağlık hizmeti sunucuları;” olarak ve beşinci fıkrası
aşağıdaki şekilde değiştirilmiştir.
“(5) Bu madde ile öngörülen yükümlülüklerin yerine
getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde ilgili
veri sorumlusuna, Kanunun 13 üncü maddesine uygun olarak başvuru yapılır.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde
başvuruya cevap verilmemesi hâllerinde, Kanunun 14 üncü maddesine uygun bir
şekilde Kurula şikâyette bulunulur. Kurul, Kanunun 15 inci maddesi
çerçevesinde inceleme yapar.”
MADDE 16
– Aynı Yönetmeliğin 15 inci
maddesinin birinci, üçüncü ve beşinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) İsteyen her vatandaş;
kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık
kayıtlarını görüntülemek, sağlık tesislerinde kendisine uygulanan işlemleri
ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve
bu verileri açık rıza verdiği üçüncü kişilerle paylaşmak için Bakanlık
tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı
oluşturabilir.”
“(3) İlgili kişi tarafından açık rıza verilmesi
halinde kişisel sağlık verilerine kendisinin belirleyeceği üçüncü kişiler
tarafından da erişilebilir.”
“(5) İlgili kişi, kişisel sağlık kaydı sistemi
üzerinden kendisine ilişkin sağlık verilerini görüntüleyebilir, eksik
bilgilerinin sisteme eklenmesini, yanlış bilgilerinin düzeltilmesini veya
silinmesini talep edebilir, kullanıcı hesabını dondurabilir.”
MADDE 17
– Aynı Yönetmeliğin 17 nci maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 17 – (1)
Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar bakımından Kanunun
17 nci maddesine göre işlem yapılır.
(2) Bu Yönetmelik gereklerinin, kamu kurum ve
kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu
niteliğindeki meslek kuruluşlarında görev yapanlar tarafından yerine
getirilmemesi hâlinde, Kurulun yapacağı bildirim üzerine disiplin
hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. Özel hukuk
gerçek ve tüzel kişileri hakkında Kanunun 18 inci maddesi uyarınca işlem
yapılır.”
MADDE 18
– Aynı Yönetmeliğin 18 inci
maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 18 – (1)
Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte
hüküm bulunmayan hâllerde Kanun, Kurul tarafından çıkarılacak ikincil düzenlemeler
ve Kurulun ilke kararları uygulanır.”
MADDE 19
– Bu Yönetmelik yayımı tarihinde
yürürlüğe girer.
MADDE 20 – Bu
Yönetmelik hükümlerini Sağlık Bakanı yürütür.
|
Yönetmeliğin Yayımlandığı Resmî Gazete'nin
|
|
Tarihi
|
Sayısı
|
|
20/10/2016
|
29863
|
|