Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Şubat 2022 İdil Uz
% 0

Giriş

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve 31755 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi.

Yönetmelik, SGK’nın yanı sıra; SGK personelini, kişisel verileri işlenen gerçek kişileri, kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri, SGK’nın faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini, SGK adına kişisel verileri işleyen gerçek veya tüzel kişileri ve veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini de kapsar. Bu denli geniş bir kapsam öngörüldüğünden Yönetmeliğin detaylıca incelenmesi ve kapsam içerisinde yer alan aktörlerin hakları ile sorumluluk ve yükümlülüklerinin tespit edilmesi önem arz eder.

İşbu makale ile Yönetmeliğin çerçevesinin çizilmesi ve düzenlemelerin incelenmesi amaçlanmıştır.

Verilerin İşlenmesi ve Verilere Erişim

Yönetmelik, SGK nezdinde üretilen, işlenen veya arşivlenen her türlü bilgi ve belgenin işlenmesine ilişkin usul ve esasları, bu bilgi ve belgelere erişilmesi ve bunlara yönelik yapılan talepleri düzenler. Buna göre SGK nezdindeki verilerin kapsamını temel olarak (i) kişisel veriler, (ii) ilgili kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri kapsayan kişisel sağlık verileri ve (iii) bir ticari işletme veya şirketin herkes tarafından bilinmeyen ve elde edilemeyen, başta rakipleri olmak üzere üçüncü kişilere ve kamuya açıklanması halinde ilgili ticari işletme veya şirketin zarar görme ihtimali bulunan ve ticari işletme veya şirketin ekonomik hayattaki başarı ve verimliliği için ticari önem atfettikleri ticari sır niteliğindeki veriler oluşturur.

Yönetmelik madde 5 uyarınca SGK’nın, kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin görevlerini ifa amacıyla işlenmesi sırasında “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”, “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uymak zorunda olduğu düzenlenir.

Aynı madde ile ayrıca, SGK ile imzaladığı sözleşme uyarınca SGK adına kişisel veri işleyen sağlık hizmeti sunucuları ve yetkilendirilen kişilerin sır saklama yükümlülüğü düzenlenir. Buna göre, sağlık hizmeti sunucuları, SGK adına işledikleri kişisel sağlık verilerini SGK veri kayıt sistemine aktarmakla yükümlüdür ve bu verileri bu sistem dışında hiçbir yere kopyalayamaz veya aktaramazlar. SGK adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla SGK ve Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlere uymakla yükümlüdür. Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu SGK veri kayıt sistemine erişim izni verilebilmesi için, yetkilendirme dahilinde kullanıcı tanımlanması gerekir ve tanımlama ile yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır.

SGK’nın görevlerini yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerinin, üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin SGK ve Kişisel Verileri Koruma Kurulu tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmeyeceği düzenlenir. Ayrıca veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorguların da veri aktarımı olarak değerlendirilmeyeceği düzenlenir.

Yönetmelik kapsamındaki kişisel verilere yalnızca belirli amaçlar için görevlendirilen ve kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personeli tarafından erişilebileceği düzenlenir. Bu amaçlar, sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi, SGK alacaklarının takip ve tahsili, denetim, teftiş ve kontrol, verilerin işlenmesi, SGK mevzuatında yer alan sağlık ve sosyal sigorta hizmetlerine ilişkin kontrol parametrelerinin SGK veri kayıt sistemine aktarılması ve takibi, sağlık ve sosyal sigorta hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretilmesi ve risk analizi yapılması, sağlık ve sosyal sigorta politikalarının belirlenmesi, Kurum Hizmet Sunumu Genel Müdürlüğü’nde yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanmasıdır.

Kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personeli, kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere; şifre ile doğrudan erişim yetkisi verilmesi yoluyla erişebilir. Buna karşılık, kullanıcı tanımlaması ve yetkilendirmesi yapılmaksızın SGK personelinin görevi kapsamında talep ettiği kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere ancak ilgili mevzuat biriminin onayı sonrasında Kurum Hizmet Sunumu Genel Müdürlüğü tarafından uygun veri paylaşım metodu ile personelin bağlı olduğu ilgili birime iletilmesi yöntemiyle erişebilir. Verilere erişim yetkileri, personelin görev süresi ve kapsamı ile sınırlı olup, erişim yetkisinin sona ermesini gerektirecek bir durumun meydana gelmesi halinde yetkinin kaldırılması ile ilgili gerekli işlemler personelin görev yaptığı birim tarafından derhal yapılır.

Aktarım Talepleri

SGK, kişinin kişisel verileri ile kişisel sağlık verilerini;

  • kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere,
  • mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere, ve
  • müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.

Buna ek olarak, kamu kurum veya kuruluşları tarafından yazılı veya elektronik ortamda talep edilen tek seferlik kişisel veriler ile ticari sır niteliğindeki veriler talep eden kamu kurum veya kuruluşlarının bulunduğu il müdürlüğünce karşılanır. İl müdürlüğü, yetkileri dahilinde SGK veri kayıt sisteminden temin edemedikleri verileri, işbu Yönetmelik hükümlerine göre temin ederek ilgili mercie teslim eder. Kamu kurum veya kuruluşları tarafından talep edilen sürekli nitelikteki kişisel veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için veri talebinde bulunanlar ile SGK arasında ilgili mevzuat biriminin koordinasyonunda aktarımın usulünü ve diğer gerekli hususları belirleyen protokolün imzalanması zorunludur.

SGK ayrıca kişisel sağlık verilerini, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.

Son olarak yargı makamları ve infaz mercileri tarafından talep edilen kişisel veri ile kişisel sağlık verisi talepleri taşra birimlerine yapılır. Aynı şekilde, taşra birimi, yetkileri dahilinde SGK veri kayıt sisteminden temin edemedikleri verileri, Hizmet Sunumu Genel Müdürlüğü’nden temin ederek ilgili mercie teslim eder.

Veri aktarım talepleri, ilgili mevzuat birimine yazılı olarak yapılır. İlgili kamu kurum ve kuruluşlarının talep ettikleri kişisel sağlık verisi dışındaki kişisel veriler, anonim veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için talebe ilişkin hukuki dayanağın SGK’ya yapılacak yazılı talepte belirtilmesi zorunludur. Veri taleplerinin kabul edilmesi halinde, veri erişimi ve gizliliğine ilişkin gerekli şartları içeren protokol ilgili mevzuat biriminin koordinasyonunda veri talebinde bulunanlarca imzalanır. Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamaz, çoğaltamaz, üçüncü kişilere veremez, satamaz veya devredemez.

Veri Sorumlusunun ve Verilere Erişenlerin Yükümlülükleri

Yönetmelik, Kişisel Verilerin Korunması Kanunu ile paralel olarak veri sorumlusuna, bu Yönetmelik kapsamındaki verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı bir şekilde erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü yükler. Aynı şekilde veri sorumlusu, tedbirlerin alınması hususunda veri işleyenler ile birlikte müştereken sorumludur. Veri sorumlusu ayrıca, Kişisel Verileri Koruma Kurulu tarafından belirlenen düzenlemelerin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları öğrendikleri verileri mevzuata aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Bu Yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde veri sorumlusu, bu durumu gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir.

Buna ek olarak, verilere erişen SGK personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar, verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar. SGK tarafından görüntülenmesi sağlanan ve aktarım yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır. Aktarılan verilerin yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.



Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
Hukuk Postası
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.