Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Giriş
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve 31755 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Yönetmelik, SGK’nın yanı sıra; SGK personelini, kişisel verileri işlenen gerçek kişileri, kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri, SGK’nın faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini, SGK adına kişisel verileri işleyen gerçek veya tüzel kişileri ve veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini de kapsar. Bu denli geniş bir kapsam öngörüldüğünden Yönetmeliğin detaylıca incelenmesi ve kapsam içerisinde yer alan aktörlerin hakları ile sorumluluk ve yükümlülüklerinin tespit edilmesi önem arz eder.
İşbu makale ile Yönetmeliğin çerçevesinin çizilmesi ve düzenlemelerin incelenmesi amaçlanmıştır.
Verilerin İşlenmesi ve Verilere Erişim
Yönetmelik, SGK nezdinde üretilen, işlenen veya arşivlenen her türlü bilgi ve belgenin işlenmesine ilişkin usul ve esasları, bu bilgi ve belgelere erişilmesi ve bunlara yönelik yapılan talepleri düzenler. Buna göre SGK nezdindeki verilerin kapsamını temel olarak (i) kişisel veriler, (ii) ilgili kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri kapsayan kişisel sağlık verileri ve (iii) bir ticari işletme veya şirketin herkes tarafından bilinmeyen ve elde edilemeyen, başta rakipleri olmak üzere üçüncü kişilere ve kamuya açıklanması halinde ilgili ticari işletme veya şirketin zarar görme ihtimali bulunan ve ticari işletme veya şirketin ekonomik hayattaki başarı ve verimliliği için ticari önem atfettikleri ticari sır niteliğindeki veriler oluşturur.
Yönetmelik madde 5 uyarınca SGK’nın, kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin görevlerini ifa amacıyla işlenmesi sırasında “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”, “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uymak zorunda olduğu düzenlenir.
Aynı madde ile ayrıca, SGK ile imzaladığı sözleşme uyarınca SGK adına kişisel veri işleyen sağlık hizmeti sunucuları ve yetkilendirilen kişilerin sır saklama yükümlülüğü düzenlenir. Buna göre, sağlık hizmeti sunucuları, SGK adına işledikleri kişisel sağlık verilerini SGK veri kayıt sistemine aktarmakla yükümlüdür ve bu verileri bu sistem dışında hiçbir yere kopyalayamaz veya aktaramazlar. SGK adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla SGK ve Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlere uymakla yükümlüdür. Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu SGK veri kayıt sistemine erişim izni verilebilmesi için, yetkilendirme dahilinde kullanıcı tanımlanması gerekir ve tanımlama ile yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır.
SGK’nın görevlerini yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerinin, üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin SGK ve Kişisel Verileri Koruma Kurulu tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmeyeceği düzenlenir. Ayrıca veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorguların da veri aktarımı olarak değerlendirilmeyeceği düzenlenir.
Yönetmelik kapsamındaki kişisel verilere yalnızca belirli amaçlar için görevlendirilen ve kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personeli tarafından erişilebileceği düzenlenir. Bu amaçlar, sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi, SGK alacaklarının takip ve tahsili, denetim, teftiş ve kontrol, verilerin işlenmesi, SGK mevzuatında yer alan sağlık ve sosyal sigorta hizmetlerine ilişkin kontrol parametrelerinin SGK veri kayıt sistemine aktarılması ve takibi, sağlık ve sosyal sigorta hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretilmesi ve risk analizi yapılması, sağlık ve sosyal sigorta politikalarının belirlenmesi, Kurum Hizmet Sunumu Genel Müdürlüğü’nde yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanmasıdır.
Kullanıcı tanımlaması ve yetkilendirmesi yapılan SGK personeli, kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere; şifre ile doğrudan erişim yetkisi verilmesi yoluyla erişebilir. Buna karşılık, kullanıcı tanımlaması ve yetkilendirmesi yapılmaksızın SGK personelinin görevi kapsamında talep ettiği kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere ancak ilgili mevzuat biriminin onayı sonrasında Kurum Hizmet Sunumu Genel Müdürlüğü tarafından uygun veri paylaşım metodu ile personelin bağlı olduğu ilgili birime iletilmesi yöntemiyle erişebilir. Verilere erişim yetkileri, personelin görev süresi ve kapsamı ile sınırlı olup, erişim yetkisinin sona ermesini gerektirecek bir durumun meydana gelmesi halinde yetkinin kaldırılması ile ilgili gerekli işlemler personelin görev yaptığı birim tarafından derhal yapılır.
Aktarım Talepleri
SGK, kişinin kişisel verileri ile kişisel sağlık verilerini;
- kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere,
- mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere, ve
- müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.
Buna ek olarak, kamu kurum veya kuruluşları tarafından yazılı veya elektronik ortamda talep edilen tek seferlik kişisel veriler ile ticari sır niteliğindeki veriler talep eden kamu kurum veya kuruluşlarının bulunduğu il müdürlüğünce karşılanır. İl müdürlüğü, yetkileri dahilinde SGK veri kayıt sisteminden temin edemedikleri verileri, işbu Yönetmelik hükümlerine göre temin ederek ilgili mercie teslim eder. Kamu kurum veya kuruluşları tarafından talep edilen sürekli nitelikteki kişisel veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için veri talebinde bulunanlar ile SGK arasında ilgili mevzuat biriminin koordinasyonunda aktarımın usulünü ve diğer gerekli hususları belirleyen protokolün imzalanması zorunludur.
SGK ayrıca kişisel sağlık verilerini, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.
Son olarak yargı makamları ve infaz mercileri tarafından talep edilen kişisel veri ile kişisel sağlık verisi talepleri taşra birimlerine yapılır. Aynı şekilde, taşra birimi, yetkileri dahilinde SGK veri kayıt sisteminden temin edemedikleri verileri, Hizmet Sunumu Genel Müdürlüğü’nden temin ederek ilgili mercie teslim eder.
Veri aktarım talepleri, ilgili mevzuat birimine yazılı olarak yapılır. İlgili kamu kurum ve kuruluşlarının talep ettikleri kişisel sağlık verisi dışındaki kişisel veriler, anonim veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için talebe ilişkin hukuki dayanağın SGK’ya yapılacak yazılı talepte belirtilmesi zorunludur. Veri taleplerinin kabul edilmesi halinde, veri erişimi ve gizliliğine ilişkin gerekli şartları içeren protokol ilgili mevzuat biriminin koordinasyonunda veri talebinde bulunanlarca imzalanır. Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamaz, çoğaltamaz, üçüncü kişilere veremez, satamaz veya devredemez.
Veri Sorumlusunun ve Verilere Erişenlerin Yükümlülükleri
Yönetmelik, Kişisel Verilerin Korunması Kanunu ile paralel olarak veri sorumlusuna, bu Yönetmelik kapsamındaki verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı bir şekilde erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü yükler. Aynı şekilde veri sorumlusu, tedbirlerin alınması hususunda veri işleyenler ile birlikte müştereken sorumludur. Veri sorumlusu ayrıca, Kişisel Verileri Koruma Kurulu tarafından belirlenen düzenlemelerin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları öğrendikleri verileri mevzuata aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Bu Yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde veri sorumlusu, bu durumu gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir.
Buna ek olarak, verilere erişen SGK personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar, verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar. SGK tarafından görüntülenmesi sağlanan ve aktarım yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır. Aktarılan verilerin yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...