Hekim ve diş hekimleri kendilerine tedavi amacı ile başvuran hastaların sağlık kayıtlarına kolaylıkla erişebilmektedir.
Anayasanın 20. maddesinde, herkesin kendisiyle ilgili kişisel verinin korunmasını isteme hakkına sahip olduğu düzenlenmiştir. Kişisel verilerin ve Özel hayatın daha etkin korunması amacıyla kişisel verileri hukuka aykırı olarak kaydedenler, Türk Ceza Kanunu uyarınca cezalandırılmaktadır.
5237 sayılı Türk Ceza Kanununun 135. maddesi ile, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği düzenlenmiştir. Bu suçun oluşabilmesi için, kişisel verilerin hukuka aykırı bir şekilde kayda alınması gerekir. Kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınmasının suç oluşturmayacağı muhakkaktır. Bununla birlikte kanun gereği alınan kişisel verilerin de suç oluşturmayacağı şüphesizdir.
Kanun hükmü uyarınca kişisel verilerin nasıl kayda alındığının bir önemi yoktur. Kişisel verilerin kağıda kaydedilmiş olması ile bilgisayar ortamında kaydedilmiş olmasının suçun oluşumu açısından bir etkisi bulunmamaktadır.
Hasta ile hukuki ilişki kuran hekim ve diş hekimleri açısından hastaların kişisel verilerinin kayda alınması hukuka uygunluk sebebini oluşturmaktadır. Özellikle hekim ve diş hekimleri tarafından aydınlatılmış onam ve kişisel verilerin kayda alınması hakkında hasta rızalarının alınması da suçun asli unsuru olan “hukuka aykırı”lık şartını ortadan kaldırmaktadır.
5237 sayılı Türk Ceza Kanununun 136. maddesi ile kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlemesine yer verilmiştir. Bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır ve cezalandırılmıştır.
Sağlık çalışanları tarafından işlenebilmesi en olası olan kişisel verilerin hukuka aykırı olarak paylaşılması suçunun esas unsuru “kişisel veri”dir. Kişisel veri teriminden neyin anlaşılması gerektiği çok önemlidir. Kanun gerekçesine göre; “Suçun konusu, kişisel verilerdir. Gerçek kişiyle ilgili her türlü bilgi, kişisel veri olarak kabul edilmelidir.” açıklaması ile çok geniş bir tanımlama yapılmıştır. Bu doğrultuda Yargıtay 12. Ceza Dairesinin 25.11.2013 tarihli 2013/2773 E. ve 26643 K. sayılı kararında; “Kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarının maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda “kişisel veri” olarak değerlendirilemez, aksinin kabulü; anılan maddelerin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur, bu nedenle, bir kişisel bilginin, açıklanan anlamda “kişisel veri” kabul edilip edilmeyeceğine karar verilirken, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir.” açıklamalarına yer verilmiştir.
Görüldüğü üzere Yargıtay tarafından da hastanın açıklamış olduğu ve sağlık çalışanının mesleğinin sunumu nedeni ile elde etmiş olduğu tüm veriler, kişisel veri kapsamında tanımlanmıştır. Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan bilgilerin ise Türk Ceza Kanunu kapsamında kişisel veri niteliğinde değerlendirilemeyecektir.
Hasta Hakları Yönetmeliğinin 23. maddesi uyarınca, “Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz.
Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz.
Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.
Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri, rızası olmaksızın açıklanamaz” düzenlemesine yer verilmiştir.
Anılan yasal düzenlemeler uyarınca hekim ve diş hekiminin, hastasının kimliği de dahil olmak üzere mesleğin sunumu nedeni ile elde etmiş olduğu bilgileri üçüncü kişiler ile paylaşması yasaklanmış ve Türk Ceza Kanunu uyarınca da cezalandırılmıştır.
Hukuka aykırılığın sınırları hiç yok mudur? Sosyal Güvenlik Kurumu, İl Sağlık Müdürlüğü veya Hastanelerden bilgi istenmesi halinde de ceza sorumluluğu doğmakta mıdır?
Tıbbi Deontoloji Nizamnamesinin 4. maddesi uyarınca, tabip ve diş tabibi, meslek ve sanatının icrası vesilesiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça, ifşa edemez. Hasta Hakları Yönetmeliğinin 23. maddesi uyarınca kanun ile müsaade edilen haller istisna tutulmuştur. Fiil, hukuka aykırı olmalıdır.
5237 sayılı TCK’nda hukuka uygunluk sebepleri;
a- Kanunun hükmünü yerine getirme (m.24/1)
b- Meşru savunma (m.25/1)
c- İlgilinin rızası (m.26/2)
d- Hakkın kullanılması (m.26/1)
Olarak kabul edilmiştir.
Kişisel verilen paylaşılması eylemine kişinin rızasının bulunmasının eylemi hukuka uygun kıldığında şüphe yoktur.
Bununla birlikte Tıbbi Deontoloji Nizamnamesinin 4. maddesi gereğince hekim ve diş hekimlerinin kişisel bilgileri ifşa etmesinin kanuni mecburiyet olmadıkça yasak olması ve Ceza Muhakemesi Kanununun 161/4 ve 332. maddeleri uyarınca hakim veya savcı kararı olmadan bu bilgilerin paylaşılmasının da mümkün olmadığı değerlendirilmelidir. Bu anlamda idare veya ilgili herhangi bir kurum tarafından kişisel verilerin istenmesi, hekim ve diş hekimleri açısından hastalara ait kişisel verilerin paylaşılmasını hukuka uygun kılan bir durum değildir.
Türk Ceza Kanununda suçun cezasının yüksek olması ve yine aynı kanunun 137. maddesinin 1/(b) maddesi uyarınca suçun hekim ve diş hekimleri tarafından işlenmesi halinde verilecek cezanın yarı oranında artırılacağının öngörülmüş olması karşısında hekim ve diş hekimlerinin kişisel verilerin paylaşılması konusunda hassasiyet göstermesi gerektiği açıktır.