Türkiye, Avrupa Konseyi’nin 108 sayılı Sözleşmesi’ne imza koyan ve Avrupa Birliği (AB) üyeliğini hedefleyen, bu nedenle de mevzuatını AB mevzuatı ile uyumlaştırmaya çalışan bir ülkedir. Bu gerçekten hareketle, kişisel verilerin korunması ile ilgili bir mevzuat çalışması planlanmış ve bir kanun tasarısı hazırlanmıştır. Ancak, ismi “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı” olan bu Tasarı’nın ilk versiyonu hakkında yazdığım eleştirinin üzerinden 10 sene geçmesine rağmen, Meclis gündemine bir türlü getirilemediğinden, yasalaşmamıştır. Tasarı’nın neden bunca yıldır rafta beklediği konusunda ne yazık ki somut bir bilgi de yoktur.

Gün itibariyle kişisel veri konusunda mevzuatımızda hiçbir yasal koruma yok değil; ancak, bu hükümler son derece dağınık bir şekilde muhtelif Yasa, Yönetmelik ve hatta Tebliğ’lerde yer almakta ve bulundukları mevzuat kapsamındaki amaca yönelik şekillenmektedir. Bu nedenle, bu konuda hukuki görüş talep edenlerin ihtiyacına yanıt vermek, ciddi bir mevzuat taraması ve analiz gerektirmektedir. Maalesef aynı durum, sağlık sektörü ve bu sektördeki kişisel veri koruması için de geçerlidir.

Bu ay, gazete ve muhtelif yayınlarda, Sosyal Güvenlik Kurumu’nun (SGK) Türkiye’nin ilçe ilçe ilaç ve hastalık verilerini özel bir şirkete ciddi bir rakam karşılığında sattığı yönünde haberler yer almıştır. Her ne kadar SGK bu haberi yalanlamış ise de, yalanlama haberi içinde verilen açıklamalar duruma hassasiyetle yaklaşması gereğini bir kez daha ortaya çıkarmıştır. Bu hassasiyet hem verileri kayda ve paylaşıma konu edilen hastalar, hem de bu verilerden faydalanabilecek ilaç şirketlerince gösterilmelidir. Zira, SGK’nın açıklamasında referans verdiği “Sosyal Güvenlik Kurumu Başkanlığı Veri Paylaşımı ve Paylaşılan Verilerin Gizliliği ile Koordinasyonuna İlişkin Usul ve Esaslar” başlıklı düzenleme, SGK’dan ziyade, veriyi alanlara/talep edenlere ciddi sorumluluklar yüklemektedir. Bu düzenleme, verileri kullanılan kişilerin rızasını aramak gibi bir ön şart da içermediğinden, durum zaten AB mevzuatında öngörülen sisteme tamamen aykırıdır.

Ceza Kanunumuz ile, kişilerin sağlık durumuna dair verilerin “ancak hukuka uygun olarak” kaydedilmesi halinde bu kaydın yasal sayıldığı bir düzende, bu verilerin paylaşılması ile ilgili düzenlemelerin, bir Kurumun iç düzenlemesi dışında, herkesçe bilinen ya da bilinebilecek, Meclis incelemesi ve onayından geçmiş bir Yasa kapsamında düzenlenmesi ve değerlendirilmesi daha uygun olacaktır. O zamana dek, tüzelkişi ya da gerçek kişi, herkesin verilerinin korunması, işlenmesi ve paylaşılması konusunda temkinli olması gereklidir. Zira, paylaşılan bilgiler son derece özel olup, bu bilgilere halel gelmesi durumunda vuku bulacak rahatsızlık, gecenin bir vakti cep telefonuna gelen “X firmasının indirim günleri” konulu SMS’den kat be kat fazla olacaktır.