Değerli meslektaşlarımız
MBYS’ye hasta verilerinin kaydı ile ilgili güncel hukuki duruma ilişkin Hukuk Büro görüşü aşağıdadır.
Üyelerimize saygıyla duyurulur.
Türkiye Psikiyatri Derneği Merkez Yönetim Kurulu
KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YENİ DÜZENLEME (15 Ocak 2025 tarihli 7538 sayılı Kanun) MBYS UYGULAMASINDA GÜNCEL HUKUKİ DURUM
15 Ocak 2025 tarihinde, kişisel sağlık verilerine ilişkin 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nda yapılan ek düzenleme yürürlüğe girmiştir. Bu düzenleme, Anayasa Mahkemesi'nin(AYM) aynı içeriğe sahip 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 378.maddesini iptal etmesi nedeniyle yapılmıştır.
AYM söz konusu iptal kararını; "sağlık hizmetleriyle ilgili olarak kişisel verilerinin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kural, Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kalmaktadır. Anayasa’nın 104. maddesinin on yedinci fıkrasının ikinci cümlesine aykırıdır" gerekçesi ile vermiştir.
Sağlık Bakanlığı, Muayene Bilgi Yönetim Sistemi (MBYS) adlı sistem aracılığıyla hekimlerden hastaların rızasını aramaksızın her türlü kişisel sağlık verisini talep ederken, 1 Sayılı Cumhurbaşkanlığı Kararnamesinin 378. maddesi ile bu maddeye istinaden 21 Haziran 2019 günü yürürlüğe konulan Kişisel Sağlık Verileri Hakkında Yönetmelik ve 12.3.2021 tarihli MBYS genelgesine dayanmaktaydı.
MBYS genelgesine karşı açılan davada Danıştay 10.Dairesi 2021 yılında; muayenehanelerde verilen sağlık hizmetine ilişkin kişisel verilerin hiçbir sınırlama olmaksızın işlenmesinin, Bakanlığın veri işlemeye dair sınırlı sayıda sayılan amacın gerçekleştirilmesi için gerekli ve ölçülü olduğunun ortaya konulamadığı gerekçesi ile yürütmenin durdurulması kararı vermiştir. Bakanlığın itirazı üzerine Danıştay İdari Dava Daireleri Kurulu (İDDK) genelgenin yeni bir kural getirmediğini, 1 Sayılı Cumhurbaşkanlığı Kararnamesinin 378. maddesi ve Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerini aktardığı gerekçesi ile yürütmenin durdurulması kararını kaldırmıştı. Dosyanın Danıştay 10. Dairesi tarafından esastan karar bağlanması beklenmektedir.
Bununla birlikte, İDDK’nın yürütmenin durdurulması kararını kaldırmasının gerekçesini oluşturan 1 Sayılı Cumhurbaşkanlığı Kararnamesinin 378. Maddesi AYM tarafından iptal edilmiş, bu madde uyarınca 2019 yılında çıkarılan Kişisel Sağlık Verileri Hakkında Yönetmelik hukuki dayanaktan yoksun hale gelmiştir. 15 Ocak 2025 tarihinde yürürlüğe giren 3359 sayılı Sağlık Hizmetleri Temel Kanun’a eklenen Ek 19. Maddede ise uygulamanın çıkarılacak bir Yönetmelik ile gösterileceği düzenlenmiştir . Bu nedenle kişisel sağlık verilerinin belirlenen amaçları gerçekleştirmek üzere ne zaman, nereden, hangi ölçüde alınıp işlenebileceğinin, bir diğer anlatımla, özel hayata saygı hakkının, demokratik bir toplumda gereklilik, orantılılık ve ölçülülük ilkelerine uygun bir biçimde hangi oranda, ne için sınırlanabileceğinin açık bir biçimde düzenlenmesi zorunludur. Yayınlanan Ek Kanun Maddesi uyarınca yeni bir düzenleme yapılmaksızın kişisel sağlık verilerinin MBYS genelgesine dayanılarak istenilmesinin hukuka aykırı olacağı değerlendirilmektedir. Çünkü genelgenin tekrar ettiği belirtilen Cumhurbaşkanlığı Kararnamesi düzenlemesi iptal edilmiş, ona dayanılarak çıkarılan Yönetmelik dayanaksız hale gelmiştir.
Bunlarla birlikte 17.11.2023 tarihinde yayımlanan Özel Sağlık Tesislerinin Denetimi Hakkında Yönetmeliğin, hekimlerin gerçekleştirdiği işlemlerin, bir komisyon eliyle tıbbi uygulamalara veya tıbbi endikasyonlara uygunluğunun fiziki ve e-denetim yoluyla hasta dosyası üzerinden incelenmesi ve denetlenmesine yönelik düzenlemelerin yürütmesi Danıştay 10. Dairesi tarafından durdurulmuştur. Karar gerekçesinde; ”hasta dosyaları üzerinde, hastanın açık rızası olmaksızın fiziki ve elektronik yolla inceleme ve denetim yapma yetkisinin verilmediği” belirtilmiştir. Bu yürütmeyi durdurma kararında da Sağlık Bakanlığının Kişisel Sağlık Verilerini işleme yetkisinin, Kişisel Verilerin Korunması Kanununun 4. Maddesinde yer alan amaç ve ilkeler yönünden hukuki denetime tabi olacağı açıkça belirtilmiştir. Söz konusu ilkeler; kişisel verilerin dürüstlük kurallarına uygun şekilde belirli, açık ve meşru amaçlar için işlenmesi ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekliliğidir.
Karar uyarınca denetim ekiplerince Den-İz, MBYS sistemleri üzerinden ya da özel sağlık kuruluşlarına gelerek, fiziken hasta dosyaları üzerinden denetim, inceleme, değerlendirme yapılması hastanın açık rızası olmaksızın mümkün değildir. Yalnızca hastanın açık rızasının varsayıldığı hasta şikâyetihallerinde ya da hastanın başka bir biçimde alınmış açık, yazılı onayı ile bu veriler üzerinden il sağlık müdürlüklerinin denetim yapması mümkündür.
Yukarıda aktarılan tüm hukuki gerekliliklere aykırı olarak il sağlık müdürlüklerinin hasta verilerinin MBYS’ye kaydedilmediğinden bahisle 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nu Ek 11.maddesi uyarınca “50 bin TL’den az olmamak üzere bir önceki aya ait brüt hizmet gelirinin yüzde ikisi kadar idari para cezası” verme ihtimali mevcuttur. Bu halde cezanın tebliğ alınmasından itibaren 15 gün içerisinde bulunulan ilin sulh ceza hâkimliğine itiraz edilebilir. Aynı süre içerisinde cezanın ödenmesi halinde %25 indirimli ödeme yapılabilmektedir, ödemenin yapılmış olması yargı yoluna başvurma hakkını ortadan kaldırmamaktadır. Yargılama sonunda yaptırımın hukuka aykırı bulunarak iptal edilmesi halinde cezanın ödenen miktarı iade edilmektedir.
Bilginize sunulur. Saygılarımızla Özçelik Avukatlık