Kişisel Sağlık Verilerinin Tutulması ve Güvenliğine İlişkin Yönetmelik

Kişisel sağlık verilerinin tutulması ve güvenliğine ilişkin yönetmelik

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Bu Yönetmelik;

a) Sağlık hizmeti sunucuları,

b) Kişisel sağlık verileri işlenen gerçek kişiler,

c) Sağlık hizmet sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişiler,

ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde kişisel sağlık verilerini işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişiler,

ile ilgili hükümleri kapsar.

Dayanak

MADDE 3 – (1) Bu Yönetmelik; 10/11/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 8 inci maddesinin birinci fıkrasının  (j) bendi ile 47 nci maddesi, 7/5/1987 tarihli ve  3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendine ve 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

b) Bakanlık: Sağlık Bakanlığını,

c) Bilgi güvenliği yetkilisi: İlgili kurumun üst düzey yöneticisi tarafından bilgi güvenliği politikalarının uygulanması için yetki verilen kişiyi,

ç) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,

d) İlgili kişi: Kişisel sağlık verisi işlenen gerçek kişiyi,

e) Kanun: 6698 sayılı Kanunu,

f) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi,

g) Kişisel sağlık verisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini,

ğ) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,

h) Komisyon: Bakanlık bünyesinde kurulan Kişisel Sağlık Verileri Komisyonunu,

ı) Kurul: Kişisel Verileri Koruma Kurulunu,

i) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,

j) Müsteşar: Sağlık Bakanlığı Müsteşarını,

k) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,

l) Siber Olaylara Müdahale Ekibi: Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birimi,

m) USVS: Bakanlıkça yayımlanan Ulusal Sağlık Veri Sözlüğünü,

n) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

o) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ö) Yönerge: Bakanlıkça yayımlanan Bilgi Güvenliği Politikaları Yönergesini,

ifade eder.

İKİNCİ BÖLÜM

Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar

Genel ilke ve esaslar

MADDE 5 – (1) Kişisel sağlık verileri, ancak bu Yönetmelikte ve Kanun’da öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

(3) Sağlık hizmet sunucularında görevli kişiler ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir ve erişebilir.

(4) Kişisel sağlık verilerini işleyen veya görevi gereği kişisel sağlık verilerine erişen herkes, bu verilerle ilgili olarak sır saklama yükümlülüğü altındadır.

(5) Sağlık hizmet sunucularında veri işleyen kişiler, kişisel sağlık verilerini sağlık hizmet sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri ile Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri dışında hiçbir yere kopyalayamaz veya kaydedemez.

(6) Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.

(7) Kişisel sağlık verileri anonim hale getirilmek kaydıyla; sağlık politikalarının belirlenmesi, sağlık maliyetlerinin hesaplanabilmesi, sağlık hizmetlerinin geliştirilmesi, bilimsel faaliyetler ve istatistiksel çalışmalarda kullanılmak üzere yayımlanabilir ve aktarılabilir.

(8) Sağlık hizmet sunucularınca kişisel sağlık verileri, merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde aktarılır.

(9) İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.

ÜÇÜNCÜ BÖLÜM

Kişisel Sağlık Verilerinin Korunması, İşlenmesi, Aktarılması ve Silinmesi

Kişisel sağlık verilerinin korunması

MADDE 6 – (1) Veri işleyen, bu görevinin gereği olarak öğrendiği verilerin mahremiyetini korumakla, veri işleme sürecine ilişkin olarak belirlenen kurallara ve standartlara uymakla yükümlüdür.

(2) Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır.

(3) Kişisel sağlık verilerinin ihlâlinden şüphe duyulması halinde Bakanlığa bildirim yapılır ve bu bildirimlerde, Genel Müdürlükçe hazırlanan ihlâl bildirim formu kullanılır. Bildirim, elektronik ortamda da yapılabilir.

(4) Bildirimi alan görevli; ihlâl edilen veri kategorileri, verileri ihlâl edilen kişi sayısı, ihlâlin muhtemel sonuçları ve alınması gereken önlemler hakkında en yakın yöneticiden başlamak üzere sıralı yöneticileri gecikmeksizin bilgilendirir. İhlâlin gerçekleştiği sistemin veri sorumlusu ve bilgi işlem görevlileri ile iletişime geçilir.

(5) İhlâl bildirimi ile ilgili olarak Genel Müdürlükçe idari inceleme yapılır ve idari incelemenin sonucu Kişisel Sağlık Verileri Komisyonuna bir raporla bildirilir.

(6) Yürütülen idari soruşturma neticesinde kişisel sağlık verileri ihlâl edilen ilgili kişilere, Komisyon tarafından uygun görülen bir yöntemle bilgi verilir.

(7) Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması ve yetkilendirme dâhilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar, Genel Müdürlükçe belirlenir.

(8) Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur.

Kişisel sağlık verilerinin işlenmesi

MADDE 7 – (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(2) Kişisel sağlık verilerinin, ilk fıkrada sayılan amaçlar dışında anonim hale getirilmeden işlenmesi için ilgili kişiye ait verilerin işlenme gerekçesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir.

(3) İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz.

(4) Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır.

Kişisel sağlık verilerinin aktarılması

MADDE 8 – (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.

(2) Kişisel sağlık verileri; birinci fıkrada öngörülen haller dışında ancak anonim hale getirilmek suretiyle aktarılabilir.

(3) Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.

(4) Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir.

Kişisel sağlık verilerinin silinmesi

MADDE 9 – (1) Bu Yönetmelik, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.

(2) Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde veri bütünlüğü bozulmadan arşivlenir. Arşivlenen verilere bu amaçlar dışında erişim engellenir.

(3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 yıl sonra yerel veri tabanından silinebilir.

(4) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

DÖRDÜNCÜ BÖLÜM

Veri Sahibi ve Veri Sorumlusu

Veri sahibi

MADDE 10 – (1) Veri sahibi, 4 üncü maddede tanımlanan ilgili kişidir.

(2) Veri sahibi, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel sağlık verisi işlenip işlenmediğini öğrenme,

b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel sağlık verilerine erişim ve bu verileri isteme,

ç) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme,

e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f) 9 uncu maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini isteme,

g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

ğ) İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

(3) Veri sahibinin, ikinci fıkranın (a), (b), (c), (ç) veya (d) bentlerinde sayılan haklarından biri veya birkaçını kullanması hâlinde ilgili bilgi kendisine, açık ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir.

Veri sorumlusu

MADDE 11 – (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 10 uncu maddede sayılan diğer hakları,

konularında bilgi vermekle yükümlüdür.

(2) Veri sorumlusu;

a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel sağlık verilerinin muhafazasını sağlamak,

ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının önüne geçmek,

amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.

(3) Veri sorumlusu, kişisel sağlık verilerinin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(5) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel sağlık verilerini, Kanun ve bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(6) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede Komisyona bildirir. Komisyon, gerekmesi hâlinde bu durumu Bakanlığın internet sitesinde ya da uygun göreceği başka bir yöntemle ilân edebilir.

(7) Veri sorumlusu, gerekmesi hâlinde bulunduğu ilde görev yapan bilgi güvenliği yetkilisi ve Siber Olaylara Müdahale Ekibi yetkilisi ile işbirliği yapar.

BEŞİNCİ BÖLÜM

Kişisel Sağlık Verileri Komisyonu ve Genel Müdürlük

Kişisel Sağlık Verileri Komisyonu

MADDE 12 – (1) Kişisel sağlık verilerine ilişkin hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, görüş belirtmek, anlaşmazlıkları çözümlemek, veri aktarımına ilişkin başvuruları değerlendirmek, şikayetleri incelemek ve gerekli denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonu oluşturulur.

(2) Komisyon, Müsteşarın veya görevlendirdiği Müsteşar Yardımcısının başkanlığında, Hukuk Müşavirliği, Sağlık Hizmetleri Genel Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili yetkilendirdikleri birer üyeden  oluşur.

(3) Komisyon gerekli hallerde toplantıya çağrılır. Komisyon tarafından alınacak kararlar, gereği yapılmak üzere ilgililere gönderilir.

(4) Komisyon, kişisel sağlık verilerinin hukuka uygun olarak işlenmesi ve mahremiyetinin korunması için kapsamda bulunan yerlerde denetim yapabilir. Bu denetime ilişkin usul ve esaslar Bakanlıkça belirlenir.

Genel Müdürlüğün görevi

MADDE 13 – (1) Aşağıda belirtilen görevler, Genel Müdürlük tarafından yürütülür.

a) Kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kurar,

b) Sağlık hizmeti sunan tüm kamu ve özel sağlık kuruluşları ile sağlık meslek mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından merkezi sağlık veri sistemine gönderilmesini sağlar,

c) Tüm sistemlerin entegrasyonu için gerekli teknik düzenlemeleri yapar,

ç) Ülke çapında sağlık durumu ve sağlık hizmetlerine ilişkin her türlü verinin depolanmasını ve aktarımını mümkün kılan bilgi sistemleri ile ilgili standartları belirler,

d) İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan bir kişisel sağlık kaydı sistemi kurar,

e) Sistemlere içeriden veya dışarıdan yetkisiz erişimleri engellemek üzere üst düzey güvenlik önlemlerinin alınmasını sağlar,

f) Sistemlerin yönetimi ve organizasyonuna ilişkin belgeleri internet sayfasında yayımlar ve gerektiğinde bu konuda eğitim ve yönlendirme çalışmaları yapar,

g) Bu Yönetmelikle ilgili tüm hususlarda bilgilendirici içeriğin yer aldığı bir internet sayfası hazırlar,

ğ) Sistemlerin kullanımında oluşabilecek teknik sorunların çözümü için çağrı merkezi kurar veya kurdurur ve internet ortamından destek verir.

ALTINCI BÖLÜM

Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı Sistemi

Merkezi sağlık veri sistemi

MADDE 14 – (1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine aktarılması, veri sorumlusunun görev ve yetkisindedir.

(2) Merkezi sağlık veri sisteminin doğru bir şekilde çalışması, yeni servis entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu sisteme doğru, eksiksiz ve gecikmeksizin aktarılması için sağlık hizmet sunucularının kullandığı yazılımlar, Bakanlıkça belirlenen standartlar ile uyumlu olmak zorundadır.

(3) Bu Yönetmelik kapsamındaki kişi ve kurumlar;

a) Bakanlıkça verilen yetki belgesine sahip,

b) Bakanlıkça yayımlanan yazılım sürüm notlarına, yeni standartlara ve geliştirmelere uyumlu,

c) Bakanlık tarafından kullanılan sistemlere uyumlu,

yazılım kullanırlar.

(4) Bu madde uyarınca kullanılacak yazılımların Bakanlıkça belirlenen şartlara ve yayımlanan standartlara uygunluğu, Bakanlıkça denetlenir.

(5) Üçüncü fıkrada öngörülen yükümlülüğün yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi hâlinde ilgili veri sorumlusu yazılı olarak uyarılır. Uyarıyı gerektiren problemin yedi gün içerisinde giderilmemesi hâlinde uyarı tekrarlanır. İkinci uyarıdan itibaren yedi günün sonunda uyarıyı gerektiren problemin giderilmemiş olması hâlinde, Kanun’un 14 üncü maddesi uyarınca veri sorumlusu hakkında Kurul’a şikayette bulunulur. Veri sorumlusunun kamu çalışanı olması hâlinde disiplin hükümleri uygulanır.

Kişisel sağlık kaydı sistemi

MADDE 15 – (1) İsteyen her vatandaş; kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını yönetmek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verdiği üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir.

(2) Kullanıcı hesabı e-devlet üzerinden oluşturulabileceği gibi, ilgili kişinin başvurusu üzerine aile hekimi tarafından da oluşturulabilir.

(3) İlgili kişi tarafından yetki verilmesi halinde kişisel sağlık verilerine ilgili kişinin belirleyeceği kişiler tarafından da erişilebilir.

(4) Anne veya babanın, onbeş yaş altındaki çocuklarının kişisel sağlık verilerine erişimleri için diğer ebeveynin onayı gerekir. Evliliğin sona ermiş olması hâlinde velayet hakkını kullanma yetkisine sahip bulunan ana veya baba, çocuğun kişisel sağlık verilerine erişimi için diğer tarafın onayına ihtiyaç duymaz.

(5) İlgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine ilişkin sağlık verilerini yönetebilir, bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir.

YEDİNCİ BÖLÜM

Bildirim Yükümlülüğü

Bildirim yükümlülüğü

MADDE 16 – (1) Sağlık personeli istihdam eden sağlık hizmet sunucuları, istihdam ettiği personele ait bilgileri ve personel hareketlerini onbeş gün içerisinde Bakanlığa bildirmekle yükümlüdürler.

(2) Bildirim, Bakanlıkça belirlenecek yöntem aracılığı ile yapılır.

(3) Birinci fıkrada öngörülen yükümlülüğün belirlenen süre içerisinde yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi hâlinde sorumlu kişi, kurum veya kuruluş, yazılı olarak uyarılır. Uyarıyı gerektiren problemin onbeş gün içerisinde giderilmemesi hâlinde uyarı tekrarlanır. İkinci uyarıdan itibaren onbeş günün sonunda uyarıyı gerektiren problemin giderilmemiş olması hâlinde sorumlu kişi, kurum veya kuruluş hakkında genel hükümlere göre işlem tesis edilir.

SEKİZİNCİ BÖLÜM

Çeşitli ve Son Hükümler

Yaptırım

MADDE 17 – (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.

(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Özel hukuk kişileri hakkında ilgili mevzuata göre işlem yapılır.

Hüküm bulunmayan hâller

MADDE 18 – (1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde, Kurul tarafından çıkarılacak ilgili yönetmelikler uygulanır.

Yürürlük

MADDE 19 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 20 – (1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.