Yeni Gelişme
Sosyal Güvenlik Kurumu (SGK) Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik“) 19 Şubat 2022 tarihli ve 31755 sayılı Resmi Gazete’de yayımlandı. Yönetmelik, SGK’nın görev ve yetkileri kapsamında verilerin işlenmesinde uyulacak usul ve esasları belirlemektedir. Yönetmelik yayımı itibariyle yürürlüğe girmiştir. Yönetmelik’e buradan ulaşabilirsiniz.
Yönetmelik neler getiriyor?
Verilerin işlenmesine ilişkin genel ilkeler
- Yönetmelik SGK’nın görev ve yetkileri ile bağlantılı olarak aşağıdaki kişilere yönelik işleme faaliyetlerini kapsamaktadır: SGK personeli, kişisel verileri işlenen gerçek kişiler, kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişiler, SGK’nın faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişiler, SGK adına kişisel verileri işleyen gerçek veya tüzel kişiler ve veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişiler.
- Yönetmelik uyarınca işlenen veriler kişisel veri, kişisel sağlık verisi ve ticari sır niteliğindeki veriler (hepsi birlikte “Veriler“) olarak üçe ayrılmıştır. Veriler’i işleyen herkesin sır saklama yükümlülüğü altında olduğu belirlenmiştir.
- Veriler’in işlenmesi hem 5502 sayılı Sosyal Güvenlik Kurumu Kanunu hem de Kişisel Verilerin Korunması Kurulunun düzenlemelerine tabi tutulmuştur. Ancak, verilerin aktarılmasına ilişkin olarak 5502 sayılı Kanun hükümleri saklı tutulmuştur.
- Veriler’in işlenmesi ve güvenliğinin sağlanmasından veri sorumluları veri işleyenler ile birlikte müştereken sorumlu olarak belirlenmiştir. Bu kapsamda veri sorumlularının SGK nezdinde denetim yaptırması gerekmektedir. Veriler’in başkaları tarafından ele geçirilmesi halinde ise 72 saat içinde Kişisel Verileri Koruma Kuruluna ve makul sürede ilgili kişilere bildirimde bulunma yükümlülüğü getirilmiştir.
- SGK ile sözleşmeli olarak çalışan sağlık hizmeti sunucularının SGK adına işledikleri kişisel sağlık verilerini SGK veri kayıt sisteminde tutmaları gerektiği belirlenmiştir ve bu verileri ilgili sistem dışında başka yerlere kopyalamaları ve aktarmaları yasaklanmıştır.
- Kişisel verilere SGK personeli tarafından erişim sağlanması Yönetmelik’te açıkça belirtilen hallerle sınırlandırılmıştır ve ilgili personellerin tanımlanması ve yetkilendirilmesi gerektiği belirtilmiştir. İlaveten, Veriler’e erişim için onay ve yetkilendirme mekanizması belirlenmiştir.
- SGK tarafından işlenen verilere ilişkin olarak ilgili kişilerin Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında sahip olduğu haklara sahip olduğu belirlenmiştir.
Veri talepleri ve verilerin aktarılması
- Yönetmelik uyarınca kişinin kendi sağlık ve kişisel verilerine ilişkin talepleri, kurum ve kuruluşların kişisel veri ve ticari sır niteliğindeki verilere ilişkin talepleri, Sağlık Bakanlığının kişisel sağlık verisi talepleri, sözleşmeli sağlık hizmeti sunucularının talepleri ve yargı makamları ile infaz mercilerinin talepleri ayrı ayrı düzenlenmiş ve farklı aktarım mekanizmalarına tabi tutulmuştur.
- Genel olarak, veri aktarım talepleri ilgili birime yazılı olarak yapılmalıdır ve gerekli olan hallerde talebe ilişkin hukuki dayanağın da talepte belirtilmesi zorunludur.
- Veri talebinin kabul edilmesi halinde verilerin aktarılacağı taraf ile protokol hazırlanarak imzalanmalıdır. Verilerin paylaşılması için taahhütlü posta, elden teslim, “gov.tr” uzantılı e-posta adresinin kullanımı gibi güvenli yollar seçilmelidir.
- Verileri talep edenler aldıkları verileri sadece talep amaçları doğrultusunda kullanabileceklerdir. Verilerin aktarıldığı kişiler çalışmalarını kişisel verilerin açıklanmasına imkan vermeyecek şekilde yürütmekle, verilerin gizliliğini ve güvenliğini sağlamakla yükümlü tutulmuştur.
- Yönetmelik uyarınca Veriler’in sağlık ve sosyal sigorta alanında stratejilerin belirlenmesi, istatistiklerin hazırlanması, bilimsel ve akademik araştırmaların gerçekleştirilmesi gibi farklı amaçlar için anonim olarak aktarılabileceği haller ayrıca öngörülmüştür.
- Yönetmelik ve verilerin korunmasına ilişkin hususlara aykırı davrananlar KVKK ve Türk Ceza Kanunu’nda belirtilen yaptırımlara tabiidir.
Sonuç
SGK nezdinde verilerin işlenmesi, kurum ve kuruluşların verilere ilişkin talepleri ve veri aktarım mekanizmaları Yönetmelik ile detaylı olarak belirlenmiştir. İlgililerin Yönetmelik’i inceleyerek veri talepleri ve verilerin işlenmesine ilişkin faaliyetlerini bu doğrultuda mevzuata uygun hale getirmeleri gerekmektedir.