19 Şubat 2022 tarihinde 31755 sayılı Resmi Gazete’de Sosyal Güvenlik Kurumu (“Kurum”) Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) yayımlandı.
Yönetmeliğin amacı; SGK’nın, kanunlarda belirtilen görev ve yetkileri kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemektir.
Sağlık hizmeti sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz. Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.
Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.
Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde ayrıca Kurul tarafından yapılan düzenlemelere uyulması zorunludur. Ancak veri aktarımında 5502 sayılı Kanunun 35’ inci maddesi hükmü saklıdır.
Kuruma verilen görevlerin yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kurul tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.
Veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorgular, veri aktarımı olarak değerlendirilmez.
Herkes, Kuruma başvurarak kendisiyle ilgili kişisel verileri ile kişisel sağlık verilerinin;
ç) İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ğ) (c) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, haklarına sahiptir.
Verilere erişen Kurum personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;
Veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar; verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar.
Kurum tarafından görüntülenmesi sağlanan ve aktarım yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır. Aktarılan verilerin; yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.
Bu Yönetmelik hükümlerine göre verilere erişen Kurum personeli dâhil olmak üzere veri aktarımı yapılan gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;
zorundadır.
Sonuç olarak; bu değişikliklerle birlikte Yönetmelik'le kurum ve kuruluşların verilerin işlenmesine ve veri aktarımlarına yönelik faaliyet sınırları detaylandırılmıştır. Bundan sonraki süreçte ilgili yükümlülüklere aykırı hareket edenler için KVKK’nın ilgili maddesi gereği idari para cezaları uygulanacak ve Türk Ceza Kanunu bakımından suç duyurusunda bulunulacaktır.
