Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına Ve İşlenmesine İlişkin Yönetmelik Hakkında Değerlendirmeler

19 Şubat 2022 tarihi itibariyle yürürlüğe giren Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”), Sosyal Güvenlik Kurumu’nun (“Kurum”) tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemek amacıyla çıkarılmıştır.

İlgili Yönetmelik, Kurum personeli ile kişisel verisi işlenen gerçek kişileri, Kurum faaliyetleri kapsamında Kurum adına kişisel veri işleyen veya veri aktarımının yapıldığı kurum ve kuruluşları, özel hukuk gerçek ve tüzel kişilerini kapsamaktadır.

Tanımlar başlıklı m.4, veri sorumlusu, kişisel verilerin işlenmesi gibi noktalarda tanımların birebir olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) alındığı dikkat çekmektedir. Bunun yanında, sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Kurum tarafından uygulanan ve işletilen elektronik bilgi sistemi MEDULA da tanımlar arasında yer almaktadır.

MEDULA, Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarında da yer edinen, faaliyet açısından önem arz eden bir sistemdir. Bazı Kurul kararlarında da görülecektir ki, ilgili kişinin MEDULA eczane çıktılarına eczacının eşinin erişim sağlaması, TCK kapsamında “verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu yönünde kanaat oluştururken, bir başka duyuruda eczanenin eski çalışanı tarafından başka eczanelerden tedarik sağlama amacıyla hasta bilgilerinin elde edilerek MEDUSA sistemine girilmesi için hastaların bilgisi dışında aktarılması sebebiyle ihlal başvurusu da mevcuttur. Bu kapsamda ilgili sistem, özel nitelikli sağlık verilerinin yoğun bir şekilde işlenmesi yönünden de hassasiyetle yaklaşılması gereken bir yapıya sahiptir ve Yönetmelik’te de bu çerçevede yer edinmektedir.

  1. KİŞİSEL VERİLERİN İŞLENMESİ USUL VE ESASLARI

Kişisel Veri, Kişisel Sağlık Verisi ve Ticari Sır Niteliğindeki Verilerin İşlenme & Erişim Esasları

Kanun m.4’ten de bilindiği üzere, kişisel verilerin işlenmesinde temel ilkeler mevcuttur. Bu ilkeler Yönetmelik’te de yer almaktadır. Buna göre kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri Yönetmelik’te yer edinmektedir.

Kurumla sözleşmeli olan sağlık hizmet sunucuları, Kurum adına işledikleri kişisel sağlık verilerini bahsi geçen veri kayıt sistemine aktarmakla yükümlü olacak, bu sistem dışında bir yere kopyalama ve aktarma yapamayacaklardır. İlgili sisteme erişim noktasında da yetkilendirme tanımlanması şart koşulmaktadır. Yetkilendirme, kayıt altına alma ve muhafaza süreçleri ise veri sorumlularının belirlemesine bırakılmıştır. Veri sorumlularına yüklenen bir başka sorumluluk ise, yine Kanun’dan aşina olduğumuz; kişisel verilerin muhafazası noktasında güvenlik açısından her türlü idari ve teknik tedbiri almakla yükümlendirilmiş olmalarıdır. Bu aşamada veri sorumlusu, veri işleyenler ile müşterek sorumludur.

Kanun’da yer almayan, ancak Kişisel Verileri Koruma Kurulu (“Kurul”) karar ve duyuruları ile uygulamada yer bulan 72 saatlik veri ihlal bildirimi süresinin Yönetmelik’te yer alıyor olması da dikkat çeken noktalardan biri olarak karşımıza çıkmaktadır.

Yetkilendirilmesi yapılan Kurum personelinin verilere erişimi, üçüncü kişilere verilmemek, açıklanmamak ve güvenliğe ilişkin ilgili yükümlülüklere uymak kaydıyla veri aktarımı olarak değerlendirilmeyecektir. Bu kapsamda denetimler, veri işleme faaliyetleri, sağlık ve sosyal sigorta politikalarının belirlenmesi ile diğer Yönetmelik’te sayılan belirli durumlarda Kurum personeli Yönetmelik kapsamındaki kişisel verilere erişebilecektir. Bu erişimin yöntem ve şartlarının da Yönetmelik’te düzenlendiği görülmektedir.

Kişinin Kendisine Ait Kişisel Veriler ile Kişisel Sağlık Verilerine İlişkin Talepleri

Bahsedildiği üzere, Kurum’a başvuru noktasında kişilerin hakları, Kanun m. 11’de düzenlenen “İlgili Kişinin Hakları” düzenlemesinin aynasıdır. Bunun yanında kişilerin sistemdeki verilerinin silinmesi/yok edilmesi aşamasındaki taleplerinin öncelikli olarak kişisel verilerin işlenme şartlarının tamamen ortadan kalkıp kalkmadığı yönünde “ilgili mevzuat birimince” değerlendirmesine tabi tutulacağı yönünde bir düzenleme yapılmıştır. Bu inceleme sonucunda silme, yok etme veya anonim hale getirme işlemlerinden hangisinin uygulanacağı, yöntem ve gerekçesi ile kişiye 30 gün içinde bildirilmelidir.

Kurum, kişisel verileri ilgili Yönetmelik’te sayılan; mahkeme kararı ile kişinin sağlık verilerine erişim izni olan yetkilendirilmiş kişilere, kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere ve müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına aktarabileceği gibi gerekçesi ile veri taleplerini ret de edebilir.

Kurum’a yapılan talepler, talebin niteliği de göz önüne alınmak suretiyle 30 gün içinde ücretsiz olarak, ayrıca bir maliyet gerektirmesi halinde ise Kurul’ca belirlenen tarifedeki ücret karşılığında cevaplandırılır.

Kurul Kararları Gözüyle Yetki Matrisi ile Erişim Yetkilendirmesi

Bilindiği üzere yetki matrisi, paylaşılan her türlü veri, dosya ya da bilgiye ilişkin olarak erişim yetkilendirmesinin yapılarak; o verilere kimlerin ne zaman ne şekilde erişim sağlayabileceğine ilişkin bir sistematikten ibarettir. Bu sistem, veri sorumlularının kişisel veri güvenliği kapsamında Kanun’dan kaynaklanan her türlü teknik ve idari tedbiri almaları için oldukça önemlidir ve Kurul’un bu konuya ilişkin çok sayıda kararı mevcuttur. Kısaca göz atmak gerekirse;

Kurul’un 2021/32 Sayılı Karar özetinde; Banka üzerinden ilgili kişiye ait kişisel verilerin sorgulanması ve ilgili kişi aleyhine mahkeme dosyasına sunulması üzerine kişisel verilerin hukuka aykırı ele geçirilmesi ve özel hayatın gizliliğini ihlal yönünden yapılan ihlal başvurusunda Kurul, “ilgili kişinin kişisel verilerinin veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, veri sorumlusu olan bankanın gerekli idari ve teknik tedbirleri almadığı” yönünde ihlal kararı vererek idari yaptırıma hükmetmiştir.[3]

Bir başka kararda ise, çalışanlar için ihlal oluşmadan önce yetki matrisi sistemini kuran ve sağlık sektöründe faaliyet göstermekte olan veri sorumlusunun, ihlal sonrasında Kurul tarafından yapılan değerlendirmede mâkul idari ve teknik tedbiri aldığı yönünde karar verilmiştir.

Aynı nitelikte pek çok karardan da anlaşılmaktadır ki Kurul, kişisel verilere ilişkin “Kişisel Veri Güvenliği Rehberi’nde” de yer verdiği teknik ve idari tedbirler kapsamında yetki matrisinin ve yine bu kapsamda erişim yetkilendirmesinin üzerinde oldukça durmakta ve veri sorumlularına bu hususta gerekli sistemin kurulması için bildirimde bulunmaktadır.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler

Kurul’un 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” hakkındaki kararı, oldukça elzem açıklamalarda bulunmaktadır. İncelemekte olduğumuz Yönetmelik, önlem ve tedbir noktasına ısrarla parmak basmakta ve önemini vurgulamaktadır. Bu kapsamda, ilke kararında yer verilen “yeterli önlemler” hususuna değinmek de önem arz edecektir. Şöyle ki;

  • Özel nitelikli kişisel verilerin güvenliğine ilişkin sistemli ve kuralları belirli, sürdürülebilir ve yönetilebilir bir politika ile prosedürün belirlenmesi,
  • Özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan kişilere yönelik eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, yukarıda da bahsedildiği üzere erişim yetkilendirmesini yapılması ve periyodik olarak yetkilerin kontrol edilmesi, görev değişikliği ya da ayrılma durumlarında yetkinin kaldırılarak kendilerine tahsis edilmiş envanterin iade alınması,
  • Elektronik ortamda muhafaza edilen ve erişimi bulunan özel nitelikli kişisel verilerin kriptografik yöntemlerle muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veri ile ilgili tüm işlemlerin güvenli olarak loglanması, güvenlik testlerinin yapılması ve en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  • Fiziksel ortamda muhafaza edilen özel nitelikli kişisel verileri için verilerin bulunduğu ortama ilişkin gerekli güvenlik önlemlerinin alınması (elektrik kaçağı, su baskını, yangın, hırsızlık gibi durumlara karşı), yetkisiz giriş çıkışların önlenmesi,
  • Özel nitelikli kişisel verilerin aktarılmasında şifreli kurumsal e-posta adresiyle veya KEP (Kayıtlı Elektronik Posta) hesabı ile verilerin gönderilmesi, taşınabilir bellek, CV ve DVD gibi ortamlara aktarmada kriptografik yöntemlerle şifreleme, farklı fiziksel ortamlardaki sunucular arasındaki aktarımda VPN kurulması veya sFTP[6] yöntemi kullanılması, kağıt ortamı ile aktarım söz konusuysa da çalınma, kaybolma, yetkisiz kişiler tarafından görülmesi gibi risklere karşı önlemlerin aşınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi, alınması gerekli tedbirlerden bazılarıdır.
  1. ANONİM VERİLER

Anonim hale getirme, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) kapsamında da açıklandığı üzere, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bahsi geçen bu Rehber, kişisel verilerin anonim hale getirilmesine ilişkin yöntemleri de açıklığa kavuşturarak bir yol haritası çizmektedir.

Örneğin, “genelleştirme” yöntemi kullanılarak ilgili kişisel verinin genel bir değere çevrilmesi ile eldeki verilerin gerçek kişilere ulaşmayı imkânsız hale getirmesi sağlanabilir. Bir başka yöntemde ilgili veriler arasında teklik ihtiva eden satır o veri kümesinden çıkarılarak anonimlik özelliği kuvvetlendirilebilmektedir. Bunların yanında günümüzde sıkça kullanılan “maskeleme” de anonimleştirme yollarından biridir.

İlgili mevzuat birimleri tarafından belirlenen kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin anonim hale getirilmesinde de ulusal ve uluslararası kabul görmüş istatistiki yöntemler uygulanacaktır. Anonim veriler, Yönetmelik hükümlerine uygunluğu ve Kurum’un değerlendirmesi sonucu uygun görmesi halinde, Yönetmelik’te sınırlı sayıda sayılmakta olan durumlarda aktarılabilecektir.

Anonim veri talepleri, verilerin ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz ile oluşturulabilecek nitelikte olup olmadığı, anonim hale getirme işleminin karmaşıklığı, verilerin ticari sır niteliğinde olup olmadığı gibi ölçütler göz önüne alınarak aktarılacaktır.

Anonim veriler ile ticari sır niteliğindeki verileri içeren Kurum istatistik bültenlerinin, istatistik yıllıklarının ve faaliyet raporlarının yayımlanması veri aktarımı olarak değerlendirilmeyecektir.

  1. BELİRLİ BAZI KURUM VE KURULUŞLARIN VERİ TALEPLERİNE İLİŞKİN ESASLAR

Kurum, kişisel sağlık verilerini; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.

  • Sağlık Bakanlığı’nın veri taleplerinde,
  • Sağlık hizmetlerinin sağlanmasına yönelik olarak Kurumla sözleşme yapmış sağlık hizmeti sunucularınca, Kurum adına işledikleri kişisel sağlık verilerinden mücbir sebep dolayısıyla Kuruma faturalandırılamayan hizmetlere ilişkin verilerin talep edilmesi durumunda,

veri aktarımına ilişkin genel hükümler uygulanacaktır. Bu genel hükümler Yönetmelik’te detaylıca açıklanmakla birlikte, çerçeve olarak veri aktarım taleplerinin yazılı olarak ilgili mevzuat birimine yapılacağı, mevzuat biriminin gerekli görülmesi halinde ek bilgi ve belgeler talep edebileceği, veri taleplerinin kabulü halinde veri erişimi ve gizliliği şartlarını haiz Protokol’ün veri talebinde bulunanlarca imzalanacağı gibi bir sistematiğin çizildiği söylenebilir. Bununla birlikte, telefonla veri iletilemeyeceği, anonim verilerin kamu kurum ve kuruluşlarına tesliminde talep halinde şifrelenmiş dosya ile birlikte “gov.tr” uzantılı e-posta adresine yapılabileceği, veri talebinde bulunanların aldıkları verileri talep amacı dışında kullanamayacağı hususlarına da yer verilmektedir. Bu kapsamda yer alan aktarım hükümlerinin Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile paralel düzenlendiği dikkat çekmektedir.

  1. VERİLERİN AKTARILDIĞI KİŞİ, KURUM VE KURULUŞLARIN SORUMLULUKLARI

Verilere erişen Kurum personeli ile verilere erişen ya da veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;

  • Verilerin veri talebinde istenen amaç dışında kullanılmaması ve paylaşılmaması adına süre olmaksızın her türlü önlemi almak,
  • Kişisel verilerin gizliliği ilkesi uyarınca hareket etmek,

yükümlülüğü altındadır. Kişisel verilerin güvenliğinin sağlanmasına yönelik Kurul tarafından çıkarılan düzenlemelere uyulacağı da hükme bağlanmaktadır.

Kişisel verilerin korunmasına ilişkin ilgili hükümlere aykırılık durumunda Kanun’a atıf yapılarak m.18’de yer alan Kabahatlere ilişkin hükmün uygulanacağı ve durumun Kurul’a bildirileceği düzenlenmektedir. Kurum tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında ise 5237 sayılı Türk Ceza Kanunu ilgili maddeleri uyarınca suç duyurusunda bulunulacağı bildirilmiştir. Muhtelif ihlal durumlarına karşı Kanun denetleyici ve düzenleyici organı Kurul tarafından da suç duyularında bulunduğu bilinmektedir.

Kurum, veri kayıt sistemindeki verilerin her türlü tehlikeye karşı güvenliğini sağlamakla yükümlüdür. Bununla birlikte veri aktarım talebinde bulunan gerçek ve tüzel kişilerin Kurum’un veri kayıt sistemine doğrudan erişimine izin verilemeyecek, talep edilen verinin aktarımı sağlanacaktır.

Kurum Hizmet Sunumu Genel Müdürlüğü (“HSGM”), veri taleplerini karşılama noktasında güvenlik önlemlerini almakla yükümlendirilmiş bir başka kurum olarak karşımıza çıkmaktadır. HSGM, genel hatlarıyla veri taleplerinin ilgili mevzuat birimlerince incelenmesinden sonra iletildiği kurumdur. Aktarılmak üzere hazırlanacak veriler HSGM tarafından paylaşılır ve Yönetmelik kapsamında belirli veri talepleri de doğrudan HSGM bünyesine yapılır.

Kurum veri kayıt sistemine şifre ile erişim, HSGM’nin güvenlik önlemleri çerçevesinde kayıt altına alınacaktır. Bu hususta erişim yetkisine sahip personelin görev değişikliği veya işten ayrılması gibi sebeplerle yetkisiz kullanımının önüne geçilmesi amacıyla erişim yetkileri resmi yazı ile HSGM’ye bildirilmek zorundadır.

Kurum ve Kurul tarafından belirlenmiş güvenlik tedbirlerine uyulması kaydıyla dış paydaşların Kurum’a olan yükümlülüklerini yerine getirebilmek amacıyla yazılımlarını Kurum yazılımlarına entegre etme talepleri yine Kurum tarafından karara bağlanır. Bu noktada başvuruda bulunacak kişiler, taleplerini HSGM’ye yazılı olarak iletir.

  1. SONUÇ

Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik, 6698 Sayılı Kanun’un adeta bir uzantısı olarak, çok benzer hatta birebir hükümlere yer vermektedir. Söz konusu metin, Sosyal Güvenlik Kurumu Başkanı tarafından yürütülecek olmakla birlikte Kanun’a bir ikincil mevzuat çıkarılmışçasına; kişisel verilerin her türlü temasına oldukça detaylı yükümlülükler getiren, bu bağlamda SGK personeline sır saklama yükümlülüğü getirerek sistemi önemli ölçüde değiştirecek düzenlemeler içermektedir.

Yönetmelik’in “Kişisel Sağlık Verileri Yönetmeliği” sonrasında sağlık verilerine ilişkin detaylı ve münhasır düzenlemelere yer veren ilk metin olduğunu belirtmekte de fayda vardır. Bu düzenlemeler ışığında uygulamada SGK süreçlerinin daha sıkı şartlar dahilinde işleyeceğini, bilgi paylaşımının kısıtlanacağını ve ciddi yaptırımlarla sürecin destekleneceğini açıkça görmekteyiz.