Uluslararası Kıbrıs Üniversitesi Hukuk Fakültesi Dekan Yardımcısı Doç. Dr. Şölen Külahçı, son dönemin en çok konuşulan, Kovid-19 testleri pozitif çıkan hastaların açıklanmaması konusuna, hukuki açıdan açıklık getirdi.
‘Kovid-19 ve Kişisel Verilerin Korunması’ başlıklı bir açıklama yayımlayan Külahçı, KKTC’de hukukunda yer alan, 89/2007 sayılı ‘Kişisel Verileri Koruma Yasası’ hakkında bilgiler verdi.
“Kişisel veri, bir kişiyi tek başına veya birden fazla verinin bir araya gelmesi ile belirleyen ya da belirlenebilir hale getiren bilgilerin toplamını oluşturmaktadır” diyen Külahçı, kişisel verilerin, aynı zamanda, özel hayatın korunmasının bir parçasını oluşturduğunu ve Anayasa’da özel hayatın korunması ile ilgili hükümlerin de kapsamına girdiğini söyledi.
Külahçı, “Kişisel verileri korumakla yükümlü olan en yetkili makam, devlettir. Devlet, kişisel verilerin korunmasını sağlamak amacıyla gerekli yasal düzenlemeleri yapmak ve önlemleri almakla yükümlüdür” dedi.
Kişisel verilerin, hassas ve genel (adi) kişisel veri olarak ikiye ayrılmakta olduğunu belirten Külahçı, hassas kişisel verilerin, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olduğunu söyledi.
Külahçı, hassas kişisel veri kapsamı dışında kalan veriler de açıkladı, “Bunlar genel (adi) kişisel veri olarak nitelendirilmektedir. Hassas kişisel veriler, genel kişisel verilere göre daha özel bilgiler içeren ve bu kapsamda daha sıkı korunması gereken verilerdir. Hassas kişisel verilerin korunmasındaki öncelikli gaye, kişinin bu bilgiler nedeniyle ayrımcılığa tabi tutulmasının önlenmesidir” dedi.
Kişisel verilerin korunması ve saklanması ile ilgili olarak en önemli sorunun, bunların işlenmesine ilişkin olduğunu söyleyen Külahçı, kişiye ilişkin tüm verilerin, toplanması, kaydedilmesi, işlenmesi, saklanması, silinmesi, değerlendirilmesi, kullanılması, uyarlanması veya değiştirilmesi, durdurulması, yok edilmesi gibi işlevlerden herhangi birisinin, birkaçının veya hepsinin, herhangi bir yöntem ve araç kullanılarak uygulanmasını anlattığını belirtti.
Külahçı, “Buna göre, işlemenin bir ortama kayıt edilmesinden sonra silme ve imha işlemi de dâhil her türlü değişikliğe uğratma ile aleni hale getirilmesi verilerin işlenmesidir. Hassas nitelikli kişisel verilerin, veri sahibinin açık rızası olmaksızın işlenmesi yasaktır” dedi.
“Yasaya göre, sağlık ve cinsel hayat dışındaki hassas kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir” diyen külahçı, açık rızanın, veriler işlenmeye başlanmadan önce alınması gerektiğinin altını çizdi.
Külahçı, “Ancak, verinin işlenmesi “açık rıza” veya bunun dışında kanunlarda işlemenin açık bir şekilde izin verildiği, hukuka uygunluk sebeplerinden birisi kapsamında işlenmesi halinde, veri işleme hukuka uygun hale gelir” dedi.
Rıza ilkesinin, doğrudan amaçla sınırlı olma ilkesiyle bağlantılı olduğunu, amaçla sınırlı olma ilkesine göre, belirli bir amaç için elde edilen kişisel verinin, bu amaç dışında kullanılmaması gerektiğini hatırlatan Külahçı, bireyin rıza göstermese dahi, devletin kişisel sağlık verilerini sır saklama yükümlülüğü altındaki sağlık çalışanları tarafından işlemesinin mümkün olduğunu belirtti.
Külahçı, “Bu kapsamda, Sağlık Bakanlığı’nın da hasta verilerine erişme yetkisi bulunduğu ortaya çıkmaktadır” dedi.
Salgın hastalıklarda, hastanın kişisel verilerinin korunması ile toplum sağlığının korunması arasında büyük bir ilişki ve aynı zamanda çelişki bulunduğunu anlatan Külahçı, bir taraftan hastanın kişisel verilerinin korunması zorunluluğu, diğer tarafta ise toplum sağlığının korunması zorunluluğu olduğu için, hangi menfaatin öncelikli olduğunun tespitinin gerektiğini belirtti.
Külahçı, “Özellikle, Covid-19 sürecinde ortaya çıkan hastaların kimliğini öğrenme çabası, özel hayatın ihlali ile ilgili birçok sorunu da gündeme getirmiştir” dedi.
Hastanın kimlik bilgilerinin ifşa edilmesi çeşitli açılardan incelenebileceğini söyleyen Külahçı, “Zira, ifşa edenin basın yayın kurumu olması, sağlık kurumu personeli olması ya da normal bir kişi olması arasında bir takım farklar bulunmaktadır” dedi.
“Öncelikle, hastanın kimlik bilgilerinin Kişisel Veriler Yasası’na göre,bu verilere erişebilen bir kişi tarafından ifşa edilmesi halinde, aynı yasada bulunan m. 36/2’ye göre, 10.000 TL para cezasına çarptırılabilirler” diyen Külahçı, öte yandan bu verinin, yetkili olmayan biri tarafından ifşa edilmesi halinde ise daha ağır bir yaptırım uygulandığını söyledi.
Külahçı, “Yasaya göre, “yetkili olmadığı halde, kişisel veri içeren bir dosyaya müdahale eden veya buradaki veriye sahip olan veya veriyi silen, değiştiren, bozan, tahrip eden, işleyen, ileten ve nakleden veya verinin yetkisiz ellere geçmesine sebep olan veya bu tür kimselerin veriye sahip olmalarına izin veren veya bu veriyi bir şekilde kullanan bir kişi suç işlemiş olur ve mahkûmiyeti halinde 15 bin TL’ye kadar para cezasına veya beş yıla kadar hapis cezasına veya her iki cezaya birden çarptırılabilir” dedi.
Hastanın bilgilerinin, bir sağlık personeli tarafından ifşa edilmesinin, hastanın mahremiyet hakkının ihlali sonucunu da doğurduğunu söyleyen Külahçı, hastanın mahremiyet hakkının, sağlık çalışanları açısından meslek sırrı oluşturduğunu ve bu sırrın, hastanın ölümünden sonra dahi devam ettiğini belirtti.
Külahçı, “Hastanın mahremiyet hakkı, hem Kamu Sağlık Çalışanları Yasası’nda hem de Tıp Meslek Ahlak Tüzüğü’nde farklı şekillerde düzenlenmiştir. Kamu Sağlık Çalışanları Yasası’na göre, “Kamu sağlık çalışanları ile hasta arasındaki mesleki ilişkiden doğan bilgiler gizlidir. Hastanın yazılı izni dışında, tıbbî hizmetlerin verilmesi sırasında öğrenilen sırlar ile hastanın kimliği, tıbbî amaçlı olsun veya olmasın toplantı ve yayınlarda açıklanamaz (m. 5 f. 10)”.
Tıp Meslek Ahlak Tüzüğü m.18 ise konuyu şöyle düzenlemiştir: “Sır saklamak temel meslek ahlakı kuralıdır. Hastanın verdiği, bilgileri muayene bulgularını ve tedavi sonuçlarını gizli tutmak tabip ve diğer sağlık meslek gruplarının görevidir”. Her iki hükmün ihlali de ihlal eden kişinin idari disiplin soruşturmasına tabi tutulmasına neden olmaktadır.
Bilgilerin basın yayın kurumu tarafından ifşa edilmesi halinde uygulanacak yaptırım konusunda doğrudan doğruya bir hüküm bulunmadığını, ancak bu durumda da, yukarıda bahsi geçen Kişisel Veriler Yasası’nın m. 36/1 hükmünün uygulanabileceğini belirten Külahçı, “Zira, hükümde geçen “kişisel veri içeren bir dosyaya … veya buradaki veriye sahip olan” ifadesi basın yayın kurumu için de geçerli olmalıdır. Öte yandan, söz konusu bilginin basın yayın kurumunun eline geçmesine sebep olan kişi de aynı hükme göre sorumlu tutulmalıdır.
Son olarak, bilginin herhangi bir kişi tarafından sosyal medya ya da diğer bir araçla ifşa edilmesi halinde de net bir hüküm olmamakla birlikte aynı Yasa’nın m.36/1 hükmünün burada da uygulanması açısından bir sakınca bulunmamaktadır” dedi.