Tanım: Sağlık verileri, 6698 sayılı KVKK m.6/3 kapsamında özel nitelikli kişisel veri sayılır ve açık rıza olmaksızın ancak kanunen izin verilen hallerde işlenebilir. İhlalinde idari para cezası, tazminat ve TCK m.136 kişisel verileri hukuka aykırı ele geçirme suçu gündeme gelir.
6698 sayılı Kişisel Verilerin Korunması Kanunu m.6 uyarınca sağlık verileri “özel nitelikli kişisel veri” olarak sınıflandırılır ve normal kişisel verilerden çok daha sıkı koruma rejimine tâbidir. Rehberde sağlık verisinin tanımı, işleme şartları, aydınlatma yükümlülüğü, veri ihlali bildirimi ve tazminat yolları ele alınır.
Sağlık Verisinin Tanımı ve Kapsamı
KVKK m.6/1 uyarınca sağlık verileri özel nitelikli veri sayılır. Sağlık verisi kapsamına şunlar girer: (i) tanı ve tedavi bilgileri, (ii) tetkik ve tahlil sonuçları, (iii) reçete ve ilaç kullanımı, (iv) fiziksel muayene bulguları, (v) psikiyatrik değerlendirmeler, (vi) genetik veri (KVKK m.6/1 ayrıca düzenler), (vii) cinsel sağlık verileri, (viii) alkol-madde kullanım kayıtları, (ix) kronik hastalık bilgileri, (x) engellilik durumu, (xi) fotoğraf, MR, X-ray, USG görüntüleri. Kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilebilen tüm sağlık verisi KVKK korumasındadır. Anonimleştirilmiş (kişi kimliği çıkarılmış) veriler kapsam dışındadır; ancak anonimleştirme sürecinin geri dönülemez olması gerekir.
İşleme Şartları (m.6/3)
Özel nitelikli veriler kural olarak ilgilinin açık rızası olmaksızın işlenemez (KVKK m.6/2). Ancak sağlık verileri bakımından m.6/3 özel bir istisna öngörür: sağlık verileri, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu istisna yalnızca sağlık profesyonelleri, SGK gibi finansörler, Sağlık Bakanlığı gibi idari birimler için geçerlidir. Klinik, web sitesi ya da pazarlama amaçlı kullanım bu istisna kapsamında değildir; açık rıza aranır.
Aydınlatma Yükümlülüğü (m.10)
Hasta, veri sorumlusu (klinik, hastane, hekim, laboratuvar) tarafından KVKK m.10 uyarınca veri işlemeden önce aydınlatılmalıdır. Aydınlatma metninde belirtilmesi gerekenler: (i) veri sorumlusunun kimliği, (ii) verinin işlenme amaçları, (iii) aktarılacağı üçüncü kişiler (SGK, sigorta şirketi, referans laboratuvar, bulut hizmet sağlayıcı, yurtdışı), (iv) veri toplama yöntemi ve hukuki sebebi, (v) ilgilinin KVKK m.11 kapsamındaki hakları. Aydınlatma metni formda yer almalı, hasta tarafından okunmalı ve bilgilendirme gerçekleşmelidir. Aydınlatma ile birlikte açık rıza alınması gerekiyorsa bu ayrı bir irade beyanıdır; aydınlatma ile rıza tek bir formda birleştirilemez (KVKK kılavuzu).
Veri İhlali Bildirimi (m.12)
KVKK m.12/5 uyarınca veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ilgililere ve kurula en kısa sürede bildirmelidir. KVKK 2019 Kararı uyarınca bu süre 72 saattir (öğrenmeden itibaren). İhlal bildirimi zorunlu olan haller: (i) sistem sızıntısı ile veri çalınması, (ii) kötü amaçlı yazılım (ransomware) saldırısı, (iii) belgelerin çalınması veya kaybolması, (iv) e-mail yoluyla yanlış alıcıya gönderim, (v) yetkisiz erişim. Sağlık verisi ihlali özellikle ağır sonuçlar doğurduğundan KVKK ihlal bildirimlerinin büyük çoğunluğu sağlık sektöründendir. İhlal bildirimi yapılmaması veya geç yapılması KVKK m.18 kapsamında idari para cezasına yol açar; 2026 yılı itibarıyla cezalar milyonlarca TL’ye ulaşabilir.
Tazminat ve Yaptırımlar
Sağlık verisi ihlali halinde uygulanabilecek yaptırımlar: (i) İdari para cezası (m.18): KVKK tarafından uygulanır; aydınlatma yükümlülüğüne, veri güvenliğine ilişkin yükümlülüklere ve ihlal bildirimine uymamak ayrı ceza kalemleri. (ii) Cezai yaptırım (m.17): TCK m.135-140 uyarınca kişisel verilerin hukuka aykırı kaydı ve yayılması suçları gündeme gelir. (iii) Tazminat (m.12, TBK m.49 vd.): kişilik hakkı ihlali nedeniyle maddi ve manevi tazminat. (iv) Disiplin yaptırımı: 6023 s. K. uyarınca hekim meslek etiği ihlali. Tazminat davası asliye hukuk mahkemesinde açılır; sağlık verisi ihlali özellikle kişilik hakkının ağır ihlali kabul edilir. Veri sorumlusu sıfatı kliniklere/hastanelere ait olduğundan dava onlara karşı yöneltilir; hekim kişisel kusuru varsa ayrı sorumlu olur.
İlgili Mevzuat ve Temel Hükümler
| Kaynak | Hüküm | Konusu |
|---|---|---|
| 1982 Anayasa | m.17 | Kişinin dokunulmazlığı, maddi-manevi bütünlük |
| 1982 Anayasa | m.56 | Sağlık hakkı |
| 4721 s. TMK | m.24-25 | Kişilik hakkının korunması |
| 6098 s. TBK | m.49-76 | Haksız fiil ve tazminat |
| 6098 s. TBK | m.502-514 | Vekâlet sözleşmesi (hekim-hasta) |
| 6098 s. TBK | m.470-486 | Eser sözleşmesi (estetik, diş uygulaması) |
| 5237 s. TCK | m.83-85 | Taksirle öldürme ve yaralama |
| 5237 s. TCK | m.257 | Kamu görevlisinin görevi kötüye kullanması |
| 1219 s. Kanun | m.1-13 | Tababet ve şuabatı sanatlarının icrası |
| 1219 s. Kanun | m.70 | Hastanın rızası ve aydınlatılması |
| 6023 s. Kanun | m.39-40 | Türk Tabipleri Birliği disiplin yetkisi |
| Hasta Hakları Yön. | m.1-43 | Hasta hakları ve uygulama esasları |
| 6023 Deontoloji Tüz. | m.1-54 | Tıbbi Deontoloji Nizamnamesi |
| 6698 s. KVKK | m.6 | Sağlık verileri özel nitelikli veri |
| 5510 s. SSGSSK | m.63-73 | SGK sağlık yardımları ve SUT |
| 2219 s. Hususi Hast. | m.1-42 | Özel hastanelerin kuruluşu ve denetimi |
| Zor. Mesl. Sig. Tar. | 1219 m.Ek 12 | Hekim zorunlu mesleki sorumluluk sigortası |
Yetkili Kurumlar ve Başvuru Kanalları
- Sağlık Bakanlığı İl Müdürlüğü: Hasta Hakları Birimi’ne idari başvuru, soruşturma açma.
- Yüksek Sağlık Şûrası: Hekim sorumluluğunda ilke kararı ve görüş (1219 s. Kanun).
- Türk Tabipleri Birliği (TTB) ve Tabip Odaları: Disiplin soruşturması (6023 s. Kanun m.39).
- Adli Tıp Kurumu: Malpraktis iddialarında uzman bilirkişi raporu; İhtisas Kurulları.
- Asliye Hukuk / Tüketici Mahkemesi: Özel hastane ve hekime karşı tazminat davaları.
- İdare Mahkemesi: Kamu hastanesi malpraktis davaları (İYUK m.13 tam yargı).
- Cumhuriyet Başsavcılığı: TCK m.83-85 kapsamında ceza soruşturması.
- KVKK: Sağlık verileri ihlalinde veri koruma şikayeti (6698 s. K. m.14).
İlgili İçerikler
- Sağlık Hukuku Avukatı İstanbul
- Tıbbi Malpraktis ve Hasta Hakları
- Aydınlatılmış Onam
- Özel Hastane Sorumluluğu
Sıkça Sorulan Sorular
Sağlık verisi her zaman açık rıza gerektirir mi?
Hayır. KVKK m.6/3 uyarınca sağlık hizmetinin yürütülmesi amacıyla sır saklama yükümlülüğü altındaki kişilerce işlenmesi açık rızasız mümkündür. Ancak pazarlama, reklam ve istatistiki araştırma gibi amaçlarda açık rıza şarttır.
Veri ihlali bildirimi kaç saat içinde yapılmalıdır?
KVKK Kurulu 2019 Kararı uyarınca veri sorumlusu, ihlali öğrenmesinden itibaren 72 saat içinde Kurul’a ve ilgili kişilere bildirmekle yükümlüdür.
Hastane veri ihlali yaparsa hasta ne yapabilir?
KVKK’ya şikayet başvurusu yapabilir; kişilik hakkı ihlali nedeniyle asliye hukuk mahkemesinde maddi-manevi tazminat davası açabilir. Veri sorumlusuna idari para cezası uygulanır; kasıtlı ihlalde TCK m.135-140 ceza soruşturması başlar.