Kişisel verilerin korunmadığı, ortalıklara döküldüğü bir çağda yaşıyoruz. Diğer yandan bu bir “pişkinlik” çağı gibi de gözüküyor. Bakıyorsunuz, bir şey yapanlar, onlar hakkında bilgi verenleri mahkemeye veriyor. Üstüne kaybettiğinde temyize gidiyor. Ne ilginç bir dünya. Tarih bunu nasıl yorumlayacak acaba?
Olay yeni değil; 2013 yılında SGK’nın verileri ANAP eski milletvekili Burhan İsen'in DataMed isimli şirketine 65 bin TL karşılığında sattığını, zamanın CHP Mersin Milletvekili Aytuğ Atıcı bir basın toplantısıyla açıkladı [1].
Arkasından CHP milletvekili Özgür Özel, SGK'nın İsen'e ait şirkete kişisel bilgileri para karşılığında sattığını bir televizyon programında söyledi. İsen bu televizyon programı üzerine, Özgür Özel aleyhine 50 bin liralık tazminat davası açtı.
Dava Ankara 11. Asliye Hukuk Mahkemesi’nde görüldü tazminat talebi reddedildi [2]. İsen bu karara itiraz edip temyize gitti. Yargıtay 4. Hukuk Dairesi de dün mahkemenin kararının doğru olduğunu onayladı. Çünkü mahkeme ve Yargıtay'a sunulan SGK ile ilgili Sayıştay raporu da, Özel'in iddiasını doğruluyordu.
Yargıtay kararıyla, Sosyal Güvenlik Kurumu’nun hastaların mahrem ve kişisel bilgilerini 21. Dönem ANAP Milletvekili İsen’e ait, DataMed isimli şirkete 65 bin liraya sattığı kesinleşmiş oldu. CHP'li Özel, “İktidarın kişisel verileri, hastaların mahrem bilgilerini satışa çıkardığı tescillenmiş oldu” dedi.
Sayıştay raporu satışı belgeliyor
Sayıştay raporunda, Genel Sağlık Sigortası verilerinin üçüncü kişilerle paylaşılması işleminin bir paylaşım değil satış işlemi olduğu, kurulun söz konusu veri taleplerini ücret mukabili karşılanmasına karar verebileceği belirtilirken,
“Sağlık verilerinin üçüncü şahıslar ile paylaşılmasına yönelik süreçte yaşanan belirsizliklerden bir diğerini ise söz konusu verilerin fiyatlandırılması hususu oluşturmaktadır. Kurum tarafından genel sağlık sigortalıları ve bunların bakmakla yükümlü olduğu kişilere ait kurum bilgi işletim sisteminde kayıtlı sağlık verilerinin ücret mukabili paylaşılmasına yönelik raporumuzun düzenlendiği tarihe kadar beş farklı firma ile sözleşme akdedilmiş ve bu sözleşmeler kapsamında yapılan veri paylaşımları sonucunda bugüne kadar kurum toplamda yaklaşık 65 bin TL gelir elde edilmiştir”
ifadeleri yer alıyor. SGK’nın faaliyet raporunda da veri paylaşımı sözleşmesi imzalanan firmalar arasında İsen’e ait DataMed Bilgi Yönetimi Limited Şirketi’nin ismi de bulunuyor.
SGK satamayacağı bilgileri satmış, bundan sonra ne olur?
Doğrusu biz de merakla bekliyoruz ne olacağını. Sonuçta 5-6 sene önce SGK bu ülkenin tek genel sigorta kurumu olarak, elindeki milyonlarca sağlık verisinin gizliliğini koruması gerekirken, bunları satmış. Eğer Özgür Özel’in yukarıdaki açıklamasına bakılırsa da, bunların içinde mahrem bilgiler bulunuyormuş. Dolayısıyla SGK yapmaması gereken bir şey yapmış.
Ayrıca olayın DataMed tarafı da var. Acaba onlar ellerine aldıkları veriyi ne yaptılar? Mesela bir sağlık sigortası firmasına mı sattılar? Eğer böyleyse onların durumu nedir?
2016 yılında Kişisel Verilerin Korunması Kanunu çıkarıldı ama olay ondan önceki bir süreci kapsıyor.
Hukukçular bu aşamadan sonra ilgili hukuk kurumlarının re’sen dava açmasını beklediklerini belirtiyorlar. En azından SGK’ya.
TTB başvurdu, Danıştay daha önce satılamaz kararı yayınladı
Bugünlerde yöneticilerinin gözaltına alındığı ve isminin başında “Türkiye” ifadesinin çıkarılmasının tartışıldığı Türkiye Tabipleri Birliği (TTB) var ya, onlar daha önce SGK’nın (dolayısıyla hükümetin) bu konudaki yanlışına karşı harekete geçmişler ve Danıştay’a başvurmuşlardı.
Yukarıdaki Sayıştay raporundan da görüldüğü üzere, anlaşma yapılan tek şirket DataMed değildi. Toplamda 5 şirketle anlaşma yapıldığı, giderek başka şirketlere satış yapılacağı da görülüyordu. Bu nedenle TTB 2015 yılında Danıştay’a başvurmuştu.
Danıştay da Türk Tabipleri Birliği'nin (TTB) başvurusu üzerine, SGK'nın sağlık verilerini işleyemeyeceği, paylaşamayacağı ve satamayacağı kararı vermişti [3].
Sağlık verileri paylaşılırsa ne olur?
Hasta verilerinin elde edilmesi bazen o kişinin "iş hayatı" ya da "özel hayatı" açısından kısıtlayıcı, sınırlayıcı ya da bireyin reddedilmesini sağlayacak hale gelebiliyor. Bu nedenle de özenle korunması ve ancak gerekli olduğu kadarının ortaya çıkarılması lazımken, bu konuda hayli hatalı davranış söz konusu. Örneğin işverene verilen sağlık raporlarında hastalığın belirtilmesinin bir sakınca olduğu düşünülüyor. Ya da kendisi hakkında ön yargı oluşmasına neden olan cinsel ya da diğer sağlık sorunları.
Kişisel sağlık verilerini satın alanlar hastane, ilaç firmaları, sağlık sigortası firmaları olabiliyor. Bunlar bu yolla kazançlarını maksimize etmeyi planlıyorlar.
Örneğin kısa bir süre önce, yabancı ilaç firmalarının pahalı ilaç kullanan kişilerin sağlık verilerini eczaneler üzerinden toparlamaya çalıştığını yayınlamıştık [4]. Düşünün ki, bu firmalar bu bilgilerle acaba ne yapıyorlardı?
Sağlık verileri o kadar kıymetli ki, geçen yıl Güneydoğu Anadolu bölgesinde hastanelere iş yapan bir firmanın da bilgileri çaldığı ortaya çıkmıştı [5]. Zaten güvenlik firmaları da, hackerların iyi korunmayan sağlık verilerinin arkasında olduğunu ve bunun önemli bir gelir kaynağı olduğunu açıklıyorlar [6].
SGK'nın özel hastanelere uyguladığı damar ya da avuç içi tanıma sistemleri de, kişisel verilerin gizliliği kapsamında eleştiriliyor.
6698 Sayılı KVKK
Bu olaydan çok sonra, 2016 yılında Kişisel Verilerin Korunması Kanunu TBMM’den geçti ve yürürlüğe girdi [7]. Kanunda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayılıyor. Bu kanuna göre sağlık verileri ancak anonimleştirilerek (isim ve adres gibi bilgiler hariç) paylaşılabilir.
[1] CHP Milletvekili Atıcı, SGK'nın Veri Paylaşım Kararını Sert Sözlerle Eleştirdi
[2] Sayıştay Denetim Raporu'na Göre SGK Kişisel Verileri Satmış
[3] AYM İptal Etti, Danıştay Karar Verdi; 'SGK Sağlık Bilgilerini İşleyemez, Paylaşamaz, Satamaz'
[4] Yabancı İlaç Firmaları --Türkiye’de Yasak Olmasına Rağmen-- 3 bin TL Üstü İlaç Kullanan Hasta Bilgisi Topluyorlar
[5] Seçmen Verilerinden Sonra Sağlık Verileri Sızdı; HIV Sonuçları ya da Kürtaj Kayıtları Var
[6] Siber Suç Ekonomisi Sağlık Sektöründeki İyi Korunmayan Verilerle ‘Büyüyor’
[7] Kişisel Verilerin Korunması (KVK) Kanunu Yürürlüğe Girdi
[8] 6698 Sayılı Kişisel Verileri Koruma Kanunu