Aylar: Ekim 2014

Sağlık Verilerinin Korunmasında Sağlık Bakanlığı’ndan Çağdaş Yaklaşım

Ben 1Sağlık Bakanlığı’nın hasta verilerini daha güvenli kılmak amaçlı olarak yeni bir yönetmelik çıkaracağına veya mevcut yönetmeliklerde bunu sağlayan değişikler yapacağına ilişkin bizzat Sağlık Bakanlığı tarafından yapılan açıklamalar, ülkemizde mahremiyet ve veri korunması sorunlarını yeniden gündeme getirdi.

Öncelikle Sağlık Bakanlığı’nı iki konuda tebrik etmek gerekiyor. Birincisi, bu konuda çok acil hukuki düzenleme ihtiyacı vardı. Hatta Devlet Denetleme Kurulu’nun sağlık verilerinin yeterince güvenli şekilde korunmadığına ilişkin eleştirileri olmuştu. İkincisi ise bu düzenlemeye ilişkin sürecin Sağlık Bakanlığı tarafından nisbeten daha şeffaf ve yoruma açık bir şekilde yürütülmesidir. Zira hepimizin bildiği gibi halkı ilgilendiren yasama faaliyetleri, ortak aklı yansıtması ve ihtiyaçlara cevap verebilmesi için hukuk fakültelerinden, hukuk uygulamacılarından ve ilgili sektörlerin aktörlerinden görüş alarak yapılmalıdır. Ancak, ne yazık ki ülkemizde çok önemli yönetmelikler ve hatta kanunlar görüş alınmadan veya çok kısıtlı görüş alınarak hazırlanır, torba yasalar içine serpiştirilir ve TBMM Genel Kurulunda yapılan nihai görüşmede ortaya atılıveren bir teklifle de tadil edilerek çıkarılır. Hele yönetmeliklerden ancak Resmi Gazete’de görünce haberimiz olur.

İşte Sağlık Bakanlığı’na iki noktada tebriğim gereğini yapmalarından ve nisbeten daha şeffaf olmalarındandır. Tabii bir taslak metin yayınlansa da ilgililer görüş verebilse çok daha iyi olurdu ama neyse… Ben bu makale vesilesiyle kendi üzerime düşeni yapmış olayım.

Ülkemizde ne yazık ki veri korunmasına ilişkin çıkarılmış spesifik bir yasal düzenleme bulunmamaktadır. Kişisel veriler ve mahremiyet Anayasa, Medeni Kanun, Ceza Kanunu, bankacılık mevzuatı hükümleri; sağlık verileri özelinde ise bunlara ek olarak Hasta Hakları Yönetmeliği, Yataklı Tedavi Kurumları İşletme Yönetmeliği gibi ikincil mevzuatla korunmaya çalışılmaktadır.

Oysa ki kişisel mahremiyet temel bir insan hakkıdır. Hele kişinin sağlık verileri hukuken kesin olarak gizli ve hassas bilgi olarak kabul edilir. Normal şartlar altında temel hukuk prensiplerine ve modern hukuki düzenlemelere göre kişinin sağlık bilgilerine ancak hekiminin ve acil durumlarda kişiye tıbbi müdahele yapmak durumunda buluanan hekimin erişimi bulunması gerekir.

Ne acıdır ki ülkemizde ise örneğin özel sigorta kuruluşları herkesin en ince sağlık detayına bir şekilde erişebilmektedir. Sigorta şirketleri sigorta sözleşmesi yaparken bir anda vatandaşların önüne yıllarca önce bir sebeple hastaneye basit bir sebeple yaptığı başvuruyu koyarak bununla ilgili tüm oluşmamış potansiyel tedavi masraflarını sigorta kapsamından çıkarabilmektedir.

Hemen tamamı yabancı sermayeli veya ortaklı olan sigorta şirketlerinde her birimizin sağlık bilgisinin ne işi olduğu, bunların hangi şartlarda saklandığı, kimlerle paylaşıldığı ve ne amaçla kullanıldığı bir kamu güvenliği ve kamu sağlığı sorunudur. Bunu bir örnek olarak veriyorum. Bu gizli ve hassas bilgiler kar amacı güden bu şirketlerin elinde ise ve bizlerin önüne sigorta sözleşmesi yaparken konabiliyorsa durum vahimdir.

Sayın Müsteşar Yardımcısı Dr. Şuayip Birinci tarafından yapılan açıklamalardan anladığımız kadarıyla, Sağlık Bakanlığı’nın, önemli ve olumlu düzenlemeleri olacak. Beklediğimiz bu düzenlemelere göre, kişinin sağlık verilerine kişiyi tedavi eden veya kişi tarafından yetkilendirilmiş hekimi erişebilecek. Kişi, kendi sağlık verilerine erişebilecek aile bireylerini veya erişim sağlamayı tercih edeceği kişileri kendisi belirleyebilecek. Bu şekilde erişim yetkisi sahip olan hekim ve bireyler dışında yetkisi erişim olursa bu gözlemlenebilecek.

E-devlet ve e-sağlık uygulamaları bireylerin daha iyi kamu hizmeti ve sağlık hizmeti almasını sağlayacak, aynı yerde olmayan uzman hekimlerin teşhis ve tedavi için çok daha etkin konsültasyon yapmasına imkan verecek, kişi nerede olursa olsun herhangi bir sebeple sağlık hizmeti almak üzere başvuracağı özel veya devlet kurumlarının çok daha etkili hizmet verebilmesini sağlayacak çok önemli, aynı zamanda da gelişen teknoloji bakımından da kaçınılmaz uygulamalardır.

Ancak bu veriler toplanır ve saklanırken hastanın ve ailesinin kişilik haklarının ve mahremiyetlerinin ta kendisi olan sağlık verileri en az sağlık hizmetleri alma hakları kadar korunmalıdır.

Avrupa Birliği (AB) kişisel verilerin korunması konusuna çok büyük önem vermektedir. Avrupa Birliği’nin İşleyişi Anlaşması’nın 16. Maddesi, Avrupa Birliği Temel Haklar Sözleşmesi’nin 8. Maddesi, AB Directive 95/46/EC, AB Komisyonu’nun 4 Kasım 2010 tarihli bildirisi ve AB Komisyonu’nun 25 Ocak 2012 tarihli Veri Koruma Direktifi’nde kapsamlı değişiklik teklifi bunu göstermekte ve bunlar bütün olarak önemli hukuki referans teşkil etmektedir.

Tüm bu düzenlemeler ve AB’nin Almanya, Birleşik Krallık gibi ülkelerindeki düzenlemeler hastanın kendi izni olmadan sağlık verilerine kimse tarafından erişilmesine izin vermiyor. Hasta hangi doktorun bu veriye erilebileceğini kendi seçerek yetkiyi veriyor.

ABD’de de benzer bir koruma seviyesi bulunuyor ve bu konuda eyalet hukuklarının yanı sıra çok ciddi standartlar getiren detaylı federal yasal düzenlemeler dikkat çekiyor.

Bu arada detaylara girmeden belirtmeliyim ki gerek ABD’de gerek AB üyesi ülkelerde devlete (bakanlıklara, devlet sağlık kurumlarına) ve özel tedavi kurumları ile sigorta şirketlerine açılan sağlık verisi gizliliği ihlali davaları bu hassasiyetin gelişmesinde büyük rol oynamış ve yasal düzenlemeleri yönledirmiştir.

Ülkemizde ne yazık ki ne veri koruma mevzuatı var, ne de bu mevzuatın uygulanmasından sorumlu ABD ve AB’de olan özerk düzenleyici ve denetleyici bir kurum var.

Veri Koruma Kanunu Tasari2008’den beri TBMM önünde eski başbakanımız, yeni cumhurbaşkanımız Sayın R. Tayyip Erdoğan imzalı bir “Kişisel Verilerin Korunması Kanunu Tasarısı” duruyor. Bu çalışmanın asıl dayandığı tarihi bir tarafa bırakın, 2008’den 2015’e dönemin başbakanı, cumhurbaşkanı olmuş, hala bu tasarının kanunlaşmamış olmasını mantık açıklayamıyor. Doğruyu yapmak istiyorsak, yeni düzenlemelerde bunca zamandan sonra değişen şartları, ihtiyaçları ve yaşanmış olabilecek hak ihlallerini de düşünmeliyiz.

Uzun lafın kısası, Sağlık Bakanlığı, modern, insani, uluslararası standartlara uygun bir yasal düzenleme çalışması yapmaktadır. Ancak bunun nasıl uygulanacağı teknik olarak hayati önem taşımaktadır. Sağlık Bakanlığı’nın bu uygulamasının her sektöre örnek olmasını, bankacılık, finansal işlemler, sermaye piyasaları, iletişim gibi alanlarda açık yara olan veri koruması hususunun modern, etkin ve vizyoner yasal düzenlemelerle kapatılmasını diliyorum.

*Burçak Ünsal, sağlık, teknoloji, inovasyon, medya ve telekomünikasyon hukuku alanlarında çalışan New York ve İstanbul Barolarına kayıtlı bir avukattır. Hukuk lisans ve yüksek lisans dereceleri yanında Fen Bilimleri yüksek lisansı da bulunmaktadır. Ünsal, özel hukuk uygulamasının yanında akademik ve sivil toplum faaliyetlerinde de bulunmaktadır.

Watch Behind the Scenes, Not Just the Show on the Stage*

Ben 1The Constitutional Court of Turkey annulled two provisions in the omnibus bill enacted on 11 September 2014, amending among others the so-called Internet Law. (Click here for the background article of Burcak Unsal published in Your Middle East)

Let me give my conclusive statement at the very beginning: these annulments are insufficient and the Internet Law is still loaded with many provisions which cannot answer the needs of contemporary Turkey and that obstruct Turkey from attaining the goals established by the government for 2023, the 100th anniversary of the Republic.

Media, academicians and the general public generally focus on the issues which have already become popular magazine topics such as YouTube and Twitter bans. However, even a school child knows how to easily avert such bans at zero cost.

The real problem and the bitter truth which is most ignored is the excess of power to undermine the judiciary and providing juridical immunity to government officials.

Although we have candidly shared our opinions on the Internet Law since the day it was enacted back in 2007, the government chose to amend it three times in the last six months totally contrary to what it should have been. Most recently it was amended by an omnibus bill, in September and it was the first piece of legislation approved by Tayyip Erdoğan in his capacity as president.

Most of the amendments introduced in the Internet Law are against the Turkish Constitution, as well as a December 2012 ruling of the European Court of Human Rights condemning Turkey due to the coarse Internet Law, which it found inadequate to be even considered law.

The Constitutional Court has annulled the following provisions in the omnibus law:

  • Banning a web site by the regulatory authority at its own discretion due to its perception of national security, public order or prevention of crime without a court order.
  • Collection of individuals’ Internet traffic data by the regulatory authority.

What this decision will bring is that

  • The regulatory authority will not be able ban any web site at its own discretion without a court order, nor will it be able to collect any traffic data of individuals.

Sounds good! But, is it enough to bring Turkey to where it should have already been? Not even close!

Turkey and her Internet Law are still far far away from what could make Turkey achieve its ambitions in the 100th anniversary of the Republic in 2023, set by the government, because;

  1. The Internet Law provides juridical immunity to the chairman and the personnel of the regulatory authority, just as the chairman and the personnel of the Turkish intelligence agency obtained back in 2012. Now, the chairman of the regulatory authority cannot be put on trial unless the relevant minister allows. This is an explicit violation of one of the pillars of the rule of law mandating that the administration shall answer to independent courts for its wrongdoings.
  2. The courts which shall review content removal would be determined by the Supreme Council of Judges and Prosecutors. However, this does not comply with the need to establish specialized courts. It takes a lot of effort and years to establish specialized courts which will hear content removal cases and crimes committed on the Internet.
  3. The chairman of the regulatory authority is entitled to remove content or ban a web site at his/her own discretion based on his/her own moral values, without a court order, if he/she believes that the content violates personal rights.
  4. A judge may ban an entire web site or an Internet service (as Twitter or YouTube), if the judge believes that banning/removing a specific URL (such as a specific video or a tweet) would not be sufficient to fulfill the objective of the court order.
  5. “Notice-and-Take-down” has been entirely set aside by allowing anyone who claims that her privacy has been violated to directly apply to the regulatory authority for content removal, by-passing the courts, the person who posted the content and the platform where the content was posted (such as Twitter, YouTube, Blogger and etc.). Upon such individual content removal application, the regulatory authority simply orders the access provider to comply with the removal demand.

*Please click here for the original article published in Turkish in Diken. Diken’de yayınlanan orijinal makale için tıklayınız.

Magazin Perdesindeki Oyunu Değil, Perdenin Arkasını Görün!

Ben 1Anayasa Mahkemesi (“AYM”), 2 Ekim 2014’te “Eylül Torba Yasası” ile getirilen Internet Yasası’nı değiştiren bir kısım hükmü iptal etti.

En son söyleyeceğimi baştan söyleyeyim. AYM’nin iptal kararları yetersizdir ve Internet Yasası hala Türkiye’nin ihtiyaçlarını karşılayamayacak, hükumetimizin koyduğu 2023 hedeflerine ulaşmakta bize ayak bağı olacak hükümlerle doludur. Yine de AYM Kararı hayati önemdedir ve sevindiricidir.

Özellikle medya, akademisyenler ve insanımız “YouTube kapatıldı, Twitter kapatıldı” gibi işin artık magazinleşmiş tarafında. Oysa ki, bir ortaokul çocuğu bile bu “kapatılmayı” zahmetsizce, masrafsızca aşabilir.

Asıl problem ve en az üzerinde durulan acı gerçek yürütmenin yargı alanına tecavüzü ve yürütmenin yargı denetiminden çıkarılmasıdır.

2007 senesinde ilk yasalaştığı günden beri en samimi iyi niyetlimizle halkımız için, Internet eko-sistemi için ve devletimizin çıkarları için hukuk çerçevesinde hep görüşlerimizi belirttik. Ancak, yıllar geçti ve medyadaki adıyla “Internet Yasası”, 2014 içinde altı ayda olması gerekenin yüzseksen derece aksi yönüne doğru tam üç defa değiştirildi. Son olarak Internet Yasası, Eylül ayında Sayın Cumhurbaşkanı R. Tayyip Erdoğan’ın Cumhurbaşkanı olduktan sonraki belki ilk onadığı yasa olan “Torba Yasa” ile değiştirildi.

Bu değişikliklerin çoğu, Avrupa İnsan Hakları Mahkemesi’nin (“AİHM”) Türkiye’yi haksız bulduğu Aralık 2012 tarihli bir hükümde “kanun olma yeterliliği taşımadığı” belirtilen Internet Yasası’nı hiç kimseye fayda sağlamayacak şekilde ve içlerinde benim de bulunduğum birçok hukukçuya göre Anayasa’ya aykırı olarak yapıldı.

Bu makaleyi kaleme alırken AYM kararını vermiş olmasına rağmen, bundan haberi dahi olmayan bir çok yorumcu 3 Ekim 2014 gecesi (Kurban Bayramı arefesi) ekranları doldurup TİB Başkanı’nın site kapatma yetkisinin ne kadar hukuki ve doğru olduğunu anlatmakta, buna karşı olanlar da yine bu AYM kararından habersiz bu düzenlemelerin hatalı olduğundan bahsediyordu. Bu sebeple dayanamadım, gerçekten bilmek isteyenlerle Bayram’ın ilk günü de olsa paylaşmak amacıyla bu makaleyi kaleme aldım.

Anayasa Mahkemesi Torba Yasa’da şunları iptal etti:

  • TİB’in kendisine hiçbir şikayet dahi gelmeden, bizzat kendi takdiriyle, yargı kararı olmadan bir sitenin hukuka aykırı olduğunu, milli güvenliğe aykırı olduğunu “düşünmesi”, kamu düzeninin korunması, suç işlenmesinin önlenmesi gibi “amaçlarla”, söz konusu siteyi dört saat içinde kapatabilme yetkisi.
  • TİB tarafından kişilere ait Internet trafik bilgilerinin toplanması.

Bu kararın sonucu ne olacak?

  • TİB mahkeme kararı olmadan milli güvenliği ve kamu düzenini koruma gibi gerekçelerle (!) kapatma kararı alamayacak ve mahkeme kararı olmadan kişilerin Internet trafik bilgilerini (hangi sitenin ne kadar süreyle ziyaret edildiği, hangi sitelerden gelip gidildiği, kullanıcı bilgisayarına ilişkin tanımlamalar vs) saklayamayacak.

Pekiyi, AYM’nin bu kararıyla olması gereken noktaya geldik mi?

Hayır, ne yazık ki olması gerekenden fersah fersah uzaktayız. Çünkü;

  1. TİB Başkanı’na ve personeline, aynı 2012’de MİT Yasasında yapılan değişiklikle getirildiği gibi yargı muafiyet getirilmektedir. Yani TİB Başkanı yasaya aykırı işlem yapsalar dahi yargılanmaları ancak ilişkili Bakan’ın izniyle, memurların yargılanmaları ise kurumun izniyle mümkün olabilecek. Bu açıkça hukuk devletinin temeli olan “idarenin işlemleriyle yargı denetimine tabi olması” prensibinin ihlalidir.
  2. İçerik kaldırma başvuruları ancak HSYK tarafından belirlenecek Sulh Ceza Mahkemelerine yapılabilmesi. Bu durum uzman mahkeme kurma gereğine aykırıdr. Söz konusu başvurulara konu hakkında uzmanlaşmış hakimlerin/mahkemelerin bakması gerekir. Bu konuda uzmanlaşma da bir kanun maddesi çıkarmak kadar kolay değildir!
  3. TİB Başkanı kendi takdiriyle, kendi dünya görüşüyle, kendisine şikayet dahi gelmeden bir sitenin özel hayatı ihlal ettiğini “düşünmesi” halinde, bu siteyi kapatabiliyor. Mahkemeye ancak site kapatıldıktan sonra kendisi kararını götürüyor.
  4. Hakim, spesifik bir web sayfasına (URL bazlı) erişimin engellenmesi yöntemiyle ihlâl olarak düşünülen durumun engellenemeyeceğini düşünürse, internet sitesindeki TÜM YAYININ engellenmesine karar verebiliyor.
  5. “Uyar – Kaldır” olarak anılan, Internet’e içeriği koyana ve içeriği koyduğu yere başvurma yöntemi tamamen kaldırılacak. Herkes doğrudan mahkemeye (ya da yukarıda anlatılan durumda TİB’e gidecek), mahkeme kararı 24 saat içinde verecek ve engelleme emrini Erişim Sağlayıcılar Birliği’ne uygulatacak. Yani Twitter, Facebook, YouTube, Bloglar ve bunlara içerik sağlayan kullanıcılar tamamen süreç dışı bırakılıyor.