Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yonetmelik 20 Ekim 2016 PERŞEMBE
Resmi Gazete
Sayı : 29863
YONETMELİK
Sağlık Bakanlığından:
KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN
SAĞLANMASI HAKKINDA YONETMELİK
BİRİNCİ BOLUM
Amac, Kapsam, Dayanak ve Tanımlar
Amac
MADDE 1 - (1) Bu Yonetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim icin kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin guvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları duzenlemektir.
Kapsam
MADDE 2 - (1) Bu Yonetmelik;
a) Sağlık hizmeti sunucuları,
b) Kişisel sağlık verileri işlenen gercek kişiler,
c) Sağlık hizmet sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gercek ve tuzel kişiler,
c) Bunlar dışında kalan ve bir mevzuat cercevesinde kişisel sağlık verilerini işleyen kamu kurum ve kuruluşları ile ozel hukuk gercek ve tuzel kişiler,
ile ilgili hukumleri kapsar.
Dayanak
MADDE 3 - (1) Bu Yonetmelik; 10/11/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Gorevleri Hakkında Kanun Hukmunde Kararnamenin 8 inci maddesinin birinci fıkrasının (j) bendi ile 47 nci maddesi, 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 uncu maddesinin birinci fıkrasının (f) bendine ve 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 - (1) Bu Yonetmelikte gecen;
a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek dahi hicbir surette kimliği belirli veya belirlenebilir bir gercek kişiyle ilişkilendirilemeyecek hale getirilmesini,
b) Bakanlık: Sağlık Bakanlığını,
c) Bilgi guvenliği yetkilisi: İlgili kurumun ust duzey yoneticisi tarafından bilgi guvenliği politikalarının uygulanması icin yetki verilen kişiyi,
c) Genel Mudurluk: Sağlık Bilgi Sistemleri Genel Mudurluğunu,
d) İlgili kişi: Kişisel sağlık verisi işlenen gercek kişiyi,
e) Kanun: 6698 sayılı Kanunu,
f) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri ucuncu kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,
g) Kişisel sağlık verisi: Kimliği belirli veya belirlenebilir gercek kişiye ilişkin her turlu sağlık bilgisini,
ğ) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parcası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden duzenlenmesi, acıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri uzerinde gercekleştirilen her turlu işlemi,
h) Komisyon: Bakanlık bunyesinde kurulan Kişisel Sağlık Verileri Komisyonunu,
ı) Kurul: Kişisel Verileri Koruma Kurulunu,
i) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
j) Musteşar: Sağlık Bakanlığı Musteşarını,
k) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya ureten gercek kişiler ile kamu hukuku ve ozel hukuk tuzel kişilerini,
l) Siber Olaylara Mudahale Ekibi: Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli onlemleri alma veya aldırma, bu tur olaylara karşı mudahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi guvenliğini sağlamaya yonelik calışmaları yapmak veya yaptırmakla yukumlu olan birimi,
m) USVS: Bakanlıkca yayımlanan Ulusal Sağlık Veri Sozluğunu,
n) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gercek veya tuzel kişiyi,
o) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaclarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yonetilmesinden sorumlu olan gercek veya tuzel kişiyi,
o) Yonerge: Bakanlıkca yayımlanan Bilgi Guvenliği Politikaları Yonergesini,
ifade eder.
İKİNCİ BOLUM
Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar
Genel ilke ve esaslar
MADDE 5 - (1) Kişisel sağlık verileri, ancak bu Yonetmelikte ve Kanun'da ongorulen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve durustluk kurallarına uygun olma,
b) Doğru ve gerektiğinde guncel olma,
c) Belirli, acık ve meşru amaclar icin işlenme,
c) İşlendikleri amacla bağlantılı, sınırlı ve olculu olma,
d) İşlendikleri amac icin gerekli olan sure kadar muhafaza edilme.
(3) Sağlık hizmet sunucularında gorevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir.
(4) Kişisel sağlık verilerini işleyen veya gorevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yukumluluğu altındadır.
(5) Sağlık hizmet sunucularında veri işleyen kişiler, kişisel sağlık verilerini sağlık hizmet sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her turlu sistemleri ile Bakanlığın ulke genelinde hizmet vermek amaclı kurulan sistemleri dışında hicbir yere kopyalayamaz veya kaydedemez.
(6) Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, guvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.
(7) Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel calışmalarda kullanılmak uzere yayımlanabilir ve aktarılabilir.
(8) Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkca belirlenen usul ve esaslara uygun bir şekilde aktarılır.
(9) İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi halinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.
UCUNCU BOLUM
Kişisel Sağlık Verilerinin Korunması, İşlenmesi, Aktarılması ve Silinmesi
Kişisel sağlık verilerinin korunması
MADDE 6 - (1) Veri işleyen, bu gorevinin gereği olarak oğrendiği verilerin mahremiyetini korumakla, veri işleme surecine ilişkin olarak belirlenen kurallara ve standartlara uymakla yukumludur.
(2) Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkca belirlenen tum onlemleri alır.
(3) Kişisel sağlık verilerinin ihlalinden şuphe duyulması halinde Bakanlığa bildirim yapılır ve bu bildirimlerde, Genel Mudurlukce hazırlanan ihlal bildirim formu kullanılır. Bildirim, elektronik ortamda da yapılabilir.
(4) Bildirimi alan gorevli; ihlal edilen veri kategorileri, verileri ihlal edilen kişi sayısı, ihlalin muhtemel sonucları ve alınması gereken onlemler hakkında en yakın yoneticiden başlamak uzere sıralı yoneticileri gecikmeksizin bilgilendirir. İhlalin gercekleştiği sistemin veri sorumlusu ve bilgi işlem gorevlileri ile iletişime gecilir.
(5) İhlal bildirimi ile ilgili olarak Genel Mudurlukce idari inceleme yapılır ve idari incelemenin sonucu Kişisel Sağlık Verileri Komisyonuna bir raporla bildirilir.
(6) Yurutulen idari soruşturma neticesinde kişisel sağlık verileri ihlal edilen ilgili kişilere, Komisyon tarafından uygun gorulen bir yontemle bilgi verilir.
(7) Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması ve yetkilendirme dahilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her turlu işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar, Genel Mudurlukce belirlenir.
(8) Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkca belirlenen standartlara uygun olarak tutulur.
Kişisel sağlık verilerinin işlenmesi
MADDE 7 - (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yurutulmesi, sağlık hizmetleri ile finansmanının planlanması ve yonetimi amacıyla, sır saklama yukumluluğu altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin acık rızası aranmaksızın işlenebilir.
(2) Kişisel sağlık verilerinin, ilk fıkrada sayılan amaclar dışında anonim hale getirilmeden işlenmesi icin ilgili kişiye ait verilerin işlenme gerekcesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir.
(3) İlgili kişi, aksi yonde bir hukuki duzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması icin vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz.
(4) Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli onlemler de alınır.
Kişisel sağlık verilerinin aktarılması
MADDE 8 - (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yurutulmesi, sağlık hizmetleri ile finansmanının planlanması ve yonetimi amacıyla, Kurul tarafından belirlenen onlemlerin de alınması ve ucuncu fıkrada ongorulen şartların sağlanması suretiyle, kanunlarında acıkca ongorulmuş olması halinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.
(2) Kişisel sağlık verileri; birinci fıkrada ongorulen haller dışında ancak anonim hale getirilmek suretiyle aktarılabilir.
(3) Kanun ile belirlenmiş olan gorev ve sorumluluklarını yerine getirmek uzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulunu ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.
(4) Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her turlu talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda ongorulen hukumler cercevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir.
Kişisel sağlık verilerinin silinmesi
MADDE 9 - (1) Bu Yonetmelik, 6698 sayılı Kanun ve ilgili diğer kanun hukumlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi uzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.
(2) Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyac halinde adli mercilere verilebilmesini mumkun kılmak icin, Bakanlıkca kurulan merkezi bir sistemde veri butunluğu bozulmadan arşivlenir. Arşivlenen verilere bu amaclar dışında erişim engellenir.
(3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 yıl sonra yerel veri tabanından silinebilir.
(4) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hukumler saklıdır.
DORDUNCU BOLUM
Veri Sahibi ve Veri Sorumlusu
Veri sahibi
MADDE 10 - (1) Veri sahibi, 4 uncu maddede tanımlanan ilgili kişidir.
(2) Veri sahibi, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel sağlık verisi işlenip işlenmediğini oğrenme,
b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel sağlık verilerine erişim ve bu verileri isteme,
c) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını oğrenme,
d) Yurt icinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı ucuncu kişileri bilme,
e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması halinde bunların duzeltilmesini isteme,
f) 9 uncu maddede ongorulen şartlar cercevesinde kişisel verilerin silinmesini isteme,
g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin aktarıldığı ucuncu kişilere bildirilmesini isteme,
ğ) İşlenen kişisel sağlık verilerinin munhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya cıkmasına itiraz etme,
h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
haklarına sahiptir.
(3) Veri sahibinin, ikinci fıkranın (a), (b), (c), (c) veya (d) bentlerinde sayılan haklarından biri veya birkacını kullanması halinde ilgili bilgi kendisine, acık ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir.
Veri sorumlusu
MADDE 11 - (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amacla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amacla aktarılabileceği,
c) Kişisel veri toplamanın yontemi ve hukuki sebebi,
d) 10 uncu maddede sayılan diğer hakları,
konularında bilgi vermekle yukumludur.
(2) Veri sorumlusu;
a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini onlemek,
b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini onlemek,
c) Kişisel sağlık verilerinin muhafazasını sağlamak,
c) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının onune gecmek,
amaclarıyla, uygun guvenlik duzeyini temin etmeye yonelik olarak Bakanlıkca belirlenen her turlu tedbiri almak zorundadır.
(3) Veri sorumlusu, kişisel sağlık verilerinin kendi adına başka bir gercek veya tuzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte muştereken sorumludur.
(4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yonetmelik hukumlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(5) Veri sorumluları ile veri işleyen kişiler, oğrendikleri kişisel sağlık verilerini, Kanun ve bu Yonetmelik hukumlerine aykırı olarak başkasına acıklayamaz ve işleme amacı dışında kullanamazlar. Bu yukumluluk gorevden ayrılmalarından sonra da devam eder.
(6) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa surede Komisyona bildirir. Komisyon, gerekmesi halinde bu durumu Bakanlığın internet sitesinde ya da uygun goreceği başka bir yontemle ilan edebilir.
(7) Veri sorumlusu, gerekmesi halinde bulunduğu ilde gorev yapan bilgi guvenliği yetkilisi ve Siber Olaylara Mudahale Ekibi yetkilisi ile işbirliği yapar.
BEŞİNCİ BOLUM
Kişisel Sağlık Verileri Komisyonu ve Genel Mudurluk
Kişisel Sağlık Verileri Komisyonu
MADDE 12 - (1) Kişisel sağlık verilerine ilişkin hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, goruş belirtmek, anlaşmazlıkları cozumlemek, veri aktarımına ilişkin başvuruları değerlendirmek, şikayetleri incelemek ve gerekli denetimleri yapmak uzere, Musteşara bağlı olarak gorev yapacak Kişisel Sağlık Verileri Komisyonu oluşturulur.
(2) Komisyon, Musteşarın veya gorevlendirdiği Musteşar Yardımcısının başkanlığında, Hukuk Muşavirliği, Sağlık Hizmetleri Genel Mudurluğu, Sağlık Bilgi Sistemleri Genel Mudurluğu, Yonetim Hizmetleri Genel Mudurluğu, Acil Sağlık Hizmetleri Genel Mudurluğu, Turkiye Kamu Hastaneleri Kurumu, Turkiye Halk Sağlığı Kurumu, Turkiye İlac ve Tıbbi Cihaz Kurumu ve Turkiye Hudut ve Sahiller Sağlık Genel Mudurluğunun bu işle ilgili yetkilendirdikleri birer uyeden oluşur.
(3) Komisyon gerekli hallerde toplantıya cağrılır. Komisyon tarafından alınacak kararlar, gereği yapılmak uzere ilgililere gonderilir.
(4) Komisyon, kişisel sağlık verilerinin hukuka uygun olarak işlenmesi ve mahremiyetinin korunması icin kapsamda bulunan yerlerde denetim yapabilir. Bu denetime ilişkin usul ve esaslar Bakanlıkca belirlenir.
Genel Mudurluğun gorevi
MADDE 13 - (1) Aşağıda belirtilen gorevler, Genel Mudurluk tarafından yurutulur.
a) Kişisel sağlık verilerinin tutulacağı merkezi veri sistemini kurar,
b) Sağlık hizmeti sunan tum kamu ve ozel sağlık kuruluşları ile sağlık meslek mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından merkezi sağlık veri sistemine gonderilmesini sağlar,
c) Tum sistemlerin entegrasyonu icin gerekli teknik duzenlemeleri yapar,
c) Ulke capında sağlık durumu ve sağlık hizmetlerine ilişkin her turlu verinin depolanmasını ve aktarımını mumkun kılan bilgi sistemleri ile ilgili standartları belirler,
d) İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri ucuncu kişilerin erişimini sağlayan bir kişisel sağlık kaydı sistemi kurar,
e) Sistemlere iceriden veya dışarıdan yetkisiz erişimleri engellemek uzere ust duzey guvenlik onlemlerinin alınmasını sağlar,
f) Sistemlerin yonetimi ve organizasyonuna ilişkin belgeleri internet sayfasında yayımlar ve gerektiğinde bu konuda eğitim ve yonlendirme calışmaları yapar,
g) Bu Yonetmelikle ilgili tum hususlarda bilgilendirici iceriğin yer aldığı bir internet sayfası hazırlar,
ğ) Sistemlerin kullanımında oluşabilecek teknik sorunların cozumu icin cağrı merkezi kurar veya kurdurur ve internet ortamından destek verir.
ALTINCI BOLUM
Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı Sistemi
Merkezi sağlık veri sistemi
MADDE 14(1) Sağlık hizmet sunucuları, sağlık hizmeti almak uzere kendilerine muracaat eden kişilere ait verileri, Bakanlık tarafından cıkarılan mevzuat ile belirlenmiş sureler icerisinde, kullandıkları yazılıma Bakanlıkca belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkca belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine gondermek zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine aktarılması, veri sorumlusunun gorev ve yetkisindedir.
(2) Merkezi sağlık veri sisteminin doğru bir şekilde calışması, yeni servis entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu sisteme doğru, eksiksiz ve gecikmeksizin aktarılması icin sağlık hizmet sunucularının kullandığı yazılımlar, Bakanlıkca belirlenen standartlar ile uyumlu olmak zorundadır.
(3) Bu Yonetmelik kapsamındaki kişi ve kurumlar;
a) Bakanlıkca verilen yetki belgesine sahip,
b) Bakanlıkca yayımlanan yazılım surum notlarına, yeni standartlara ve geliştirmelere uyumlu,
c) Bakanlık tarafından kullanılan sistemlere uyumlu,
yazılım kullanırlar.
(4) Bu madde uyarınca kullanılacak yazılımların Bakanlıkca belirlenen şartlara ve yayımlanan standartlara uygunluğu, Bakanlıkca denetlenir.
(5) Ucuncu fıkrada ongorulen yukumluluğun yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde ilgili veri sorumlusu yazılı olarak uyarılır. Uyarıyı gerektiren problemin yedi gun icerisinde giderilmemesi halinde uyarı tekrarlanır. İkinci uyarıdan itibaren yedi gunun sonunda uyarıyı gerektiren problemin giderilmemiş olması halinde, Kanun'un 14 uncu maddesi uyarınca veri sorumlusu hakkında Kurul'a şikayette bulunulur. Veri sorumlusunun kamu calışanı olması halinde disiplin hukumleri uygulanır.
Kişisel sağlık kaydı sistemi
MADDE 15 - (1) İsteyen her vatandaş; kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını yonetmek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuclarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verdiği ucuncu kişilerle paylaşmak icin Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi uzerinde kullanıcı hesabı oluşturabilir.
(2) Kullanıcı hesabı e-devlet uzerinden oluşturulabileceği gibi, ilgili kişinin başvurusu uzerine aile hekimi tarafından da oluşturulabilir.
(3) İlgili kişi tarafından yetki verilmesi halinde kişisel sağlık verilerine ilgili kişinin belirleyeceği kişiler tarafından da erişilebilir.
(4) Anne veya babanın, onbeş yaş altındaki cocuklarının kişisel sağlık verilerine erişimleri icin diğer ebeveynin onayı gerekir. Evliliğin sona ermiş olması halinde velayet hakkını kullanma yetkisine sahip bulunan ana veya baba, cocuğun kişisel sağlık verilerine erişimi icin diğer tarafın onayına ihtiyac duymaz.
(5) İlgili kişi, kişisel sağlık kaydı sistemi uzerinden kendisine ilişkin sağlık verilerini yonetebilir, bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin duzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir.
YEDİNCİ BOLUM
Bildirim Yukumluluğu
Bildirim yukumluluğu
MADDE 16 - (1) Sağlık personeli istihdam eden sağlık hizmet sunucuları, istihdam ettiği personele ait bilgileri ve personel hareketlerini onbeş gun icerisinde Bakanlığa bildirmekle yukumludurler.
(2) Bildirim, Bakanlıkca belirlenecek yontem aracılığı ile yapılır.
(3) Birinci fıkrada ongorulen yukumluluğun belirlenen sure icerisinde yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde sorumlu kişi, kurum veya kuruluş, yazılı olarak uyarılır. Uyarıyı gerektiren problemin onbeş gun icerisinde giderilmemesi halinde uyarı tekrarlanır. İkinci uyarıdan itibaren onbeş gunun sonunda uyarıyı gerektiren problemin giderilmemiş olması halinde sorumlu kişi, kurum veya kuruluş hakkında genel hukumlere gore işlem tesis edilir.
SEKİZİNCİ BOLUM
Ceşitli ve Son Hukumler
Yaptırım
MADDE 17 - (1) Bu Yonetmelikle korunan kişisel verilere ilişkin suclar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine gore işlem yapılır.
(2) Bu Yonetmelik gereklerini yerine getirmeyen kamu gorevlileri icin bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Ozel hukuk kişileri hakkında ilgili mevzuata gore işlem yapılır.
Hukum bulunmayan haller
MADDE 18 - (1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yonetmelikte hukum bulunmayan hallerde, Kurul tarafından cıkarılacak ilgili yonetmelikler uygulanır.
Yururluk
MADDE 19 - (1) Bu Yonetmelik yayımı tarihinde yururluğe girer.
Yurutme
MADDE 20 - (1) Bu Yonetmelik hukumlerini Sağlık Bakanı yurutur.