HUKUK & DANIŞMANLIK
Sosyal Güvenlik Kurumu Neznindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Yönetmelik, 19 Şubat 2022 tarihinde Resmî Gazete’de yayımlanmıştır. Bu Yönetmeliğin amacı; Sosyal Güvenlik Kurumu’nca (SGK) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemektir. Yönetmelik, 5502 sayılı Sosyal Güvenlik Kurumu’na İlişkin Bazı Düzenlemeler Hakkında Kanun md. 35 hükmü ile 6698 Sayılı KVKK’na dayanılarak hazırlanmıştır.
Yönetmelik uyarınca, Sosyal Güvenlik Kurumu (“Kurum”) kendisine verilen görevlerin yerine getirilmesi amacıyla kişisel verilerin, kişisel sağlık verilerinin, ticari sır niteliğindeki verilerin işlenmesinde;
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- Mevzuatta öngörülen süre veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme ilkelerine uymak zorundadır.
- Kurumla sözleşmeli sağlık hizmeti sunucuları, Kurum adına işledikleri kişisel sağlık verilerini Kurum veri kayıt sistemine aktarmakla yükümlüdür.
- Sağlık Hizmeti Sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz.
- Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup, veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.
- Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde ayrıca Kurul tarafından yapılan düzenlemelere uyulması zorunludur. Ancak veri aktarımında 5502 sayılı Kanunun 35’inci maddesi hükmü saklıdır.
- Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu Kurum veri kayıt sistemine erişim izni verilebilmesi için, yetkilendirme dahilinde kullanıcı tanımlanması gerekir. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar veri sorumlusu tarafından belirlenir.
- Kuruma verilen görevlerin yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kurul tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.
Bu Yönetmelik kapsamındaki kişisel verilere;
a) Sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi,
b) Kurumun alacaklarının takip ve tahsili,
c) Denetim, teftiş ve kontrol,
ç) Verilerin işlenmesi,
d) Kurum mevzuatında yer alan sağlık ve sosyal sigorta hizmetlerine ilişkin kontrol parametrelerinin Kurum veri kayıt sistemine aktarılması ve takibi,
e) Sağlık ve sosyal sigorta hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretilmesi ve risk analizi yapılması,
f) Sağlık ve sosyal sigorta politikalarının belirlenmesi,
g) HSGM’de yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanması,
amacıyla bu işlemlerde görevlendirilen ve 5’inci maddenin altıncı fıkrası kapsamında kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personeli tarafından erişilebilir.
– Veri işleyenler tarafından hizmet ifası niteliğindeki veri kayıt sistemi sorgulamaları, Yönetmeliğin md. 8 hükmünde belirtildiği üzere veri aktarımı olarak nitelendirilmemektedir.
– Kuruma verilen görevlerin yerine getirilebilmesine yönelik iş ve işlemlerin diğer kamu kurum ve kuruluşları ile üniversite, enstitü, oda, dernek gibi paydaşlar ile birlikte gerçekleştirilmesi amacıyla;
a) Kurumca imzalanan işbirliği protokolü, hizmet alım sözleşmesi/protokolü kapsamındaki çalışmalarda,
b) Genel Sağlık Sigortası ile Sosyal Sigortalar uygulamalarına ilişkin iş ve işlemlerin yürütülmesine yönelik olarak oluşturulan komisyonlarda,
Kurum dışından görev alan kişilerin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerine izin verilmemekle beraber bu kişilerin anonim verilere erişimleri, veri aktarımı olarak değerlendirilmez.
Yönetmeliğin md. 10’da yer alan düzenlemesi uyarınca herkes, Kuruma başvurarak kendisiyle alakalı kişisel verilerle kişisel sağlık verileri hakkında;
- Bu verilen İşlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- Silinmesini, yok edilmesini isteme, -(c)
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, -(e)
- Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- İşlenenlerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
- (c) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
haklarına sahiptir.
Yukarıda c bendinde belirtilen silme ve yok etme talebiyle kuruma başvurulduğu takdirde, işlenme şartlarının tamamen ortadan kalkıp kalkmadığına ilişkin mevzuat birimi tarafından değerlendirme yapılır. Silme, yok etme veya anonim hale getirme işlemlerinden hangisinin uygulanacağına karar verilir, akabinde ise; uygulanacak yöntem gerekçesiyle birlikte 30 gün içerisinde ilgili kişiye yazılı olarak veya e-tebliğ adresine bildirilir.
Kurum, bu madde kapsamında görevlendirilen kişiler ile ilgili olarak, bu Yönetmelik ve 6698 sayılı Kanunun md. 12 kapsamında veri güvenliğine ilişkin teknik ve idari tedbirleri almak, ilgili mevzuat hükümlerine uygun hareket edilmesini sağlamak zorundadır.
– Kurum, kişisel sağlık verilerini; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.
– Kurum, Kurum veri kayıt sisteminde tuttuğu verilerin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla güvenlik önlemlerinin hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
Veri aktarım talebinde bulunan gerçek ve tüzel kişilerin Kurum veri kayıt sistemine doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.
HSGM, veri taleplerini karşılarken gerekli güvenlik önlemlerini alır. Kurum veri kayıt sistemine şifre ile erişimler, gerçek kişi (ad-soyad veya domain kullanıcı adı) kullanıcı şifreleri kullanılarak Kurumun belirlediği güvenlik önlem ve uygulamaları çerçevesinde yapılır. Erişimler, HSGM tarafından güvenlik önlemleri çerçevesinde kayıt altına alınır.
İlginizi Çekebilir: