BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
(1) Bu Yönetmeliğin amacı, Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanındaki sağlık verilerinin korunması ile güvenliğinin sağlanması ve paylaşılmasına ilişkin usul ve esasları düzenlemektir.
Kapsam
(1) Bu Yönetmelik;
a) Sosyal Güvenlik Kurumu ve sözleşmeli sağlık hizmet sunucularına ait bilgi işlem veri tabanlarındaki sağlık verilerinin korunması ile güvenliğinin sağlanmasına,
b) Sosyal Güvenlik Kurumu ve diğer kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler arasında sağlık verilerinin elektronik veya manyetik kayıt ortamında paylaşılmasına,
ilişkin usul ve esasları kapsar.
Dayanak
(1) Bu Yönetmelik 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 78 inci ve 100 üncü maddelerine dayanılarak hazırlanmıştır.
Tanımlar
(1) Bu Yönetmelikte geçen;
a) Alıcı: Paylaşıma açılacak verilerden, yapılacak sözleşme çerçevesinde yararlanan kamu kurum ve kuruluşları ile özel sektör kuruluşları ve gerçek ve tüzel kişileri,
b) Bakanlık: Çalışma ve Sosyal Güvenlik Bakanlığını,
c) Genel sağlık sigortalısı: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 60 ıncı maddesinde sayılan kişileri,
ç) Genel Sağlık Sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,
d) Kurum: Sosyal Güvenlik Kurumunu,
e) Kanun: 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununu,
f) Sağlık hizmeti: Genel Sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,
g) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler ile kamu ve özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,
ğ) Sağlık verisi: Genel sağlık sigortalısı ve bunların bakmakla yükümlü olduğu kişiler için Kanunun 63 üncü maddesi gereği finansmanı sağlanan sağlık hizmetlerine ilişkin her türlü veriyi,
ifade eder.
İKİNCİ BÖLÜM
Sağlık Verilerinin Güvenliği
Kişisel ve ticari sır niteliğindeki verilerin korunması
(1) Genel sağlık sigortalısına ait sağlık bilgilerinin gizliliği esastır. Sağlık verilerinin paylaşımında; Anayasada, kanunlarda ve uluslararası sözleşmelerde yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
Kurum veri tabanında yer alan bilgilerin güvenliğinin sağlanması
(1) Kurum, veri tabanında tutulan sağlık verilerinin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla, güvenlik politikalarının hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
(2) Kurumda yazılım geliştirme üzerine çalışan personel, verilecek özel izin dışında veri tabanına erişemez.
(3) Veri talebinde bulunan kamu kurum ve kuruluşları, özel sektör kuruluşları ve gerçek ve tüzel kişilerin kurum veri tabanının tamamına doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.
Sağlık hizmet sunucularında kaydı tutulan verilerin güvenliğinin sağlanması
(1) Sağlık hizmet sunucularının genel sağlık sigortalısına sunmuş olduğu sağlık hizmetlerine ilişkin kaydı tutulan sağlık verileri dahil her türlü kişisel bilgiler, ilgili mevzuatla izin verilen haller dışında veya kişilerin açıkça rızası olmaksızın, kurum, kuruluş ve üçüncü kişilerle paylaşılmaz. Kişiyi doğrudan veya dolaylı olarak tanımlamayan genel veya anonim veriler paylaşılabilir.
(2) Sağlık hizmet sunucularına ait bilgi işlem sistemlerinin yazılım ve donanımını sağlayan gerçek ve tüzel kişiler de yukarıda belirtilen hükümlere tabidir.
Veri üreten birimin sorumluluğu
(1) Veri üretimi, kurum veri tabanında yetkilendirilmiş kişiler tarafından yapılır. Veri üreten kişiler kurumca belirlenecek olan yöntemlere göre farklı düzeylerde yetkilendirilebilir. Üretilen veriler sadece veri talebinde bulunan özel sektör veya kamu kurumunun ilgili birimine iletilir. Üretilen verilerin muhafazası ve güvenliği veri üreten ve talep eden birimler tarafından sağlanır.
(2) Kurum, paylaşılan verilerin içeriğini kayıt altına almak ve muhafaza etmekten sorumludur.
Alıcının sorumluluğu
(1) Alıcı, kurumdan aldığı verilerin gizliliğini korumakla ve güvenliğini sağlamakla yükümlüdür. Alınan veriler talebe esas gerekçe dışında hiçbir amaçla kullanılamaz. Alıcı tarafın verileri teslim alabilmesi için noter aracılığı ile “Gizlilik Taahhüt Belgesi” imzalaması ve Kuruma vermesi zorunludur.
(2) Alıcı, Kurumdan alınan verileri mevzuata aykırı kullanması veya güvenliğini sağlayamaması durumunda doğacak hukuki sonuçlardan sorumludur. Alıcı, verilerin yetkisi olmayan kurum, kuruluş ve üçüncü kişilerin eline geçmemesi için gerekli tüm tedbirleri almakla yükümlüdür.
ÜÇÜNCÜ BÖLÜM
Verilerin Paylaşımı
Paylaşılmayacak veriler
(1) Genel sağlık sigortalısına ve sağlık hizmet sunucularına ait verilerin gizliliği esastır. Bu verilerin paylaşımında uluslararası sözleşmeler, Anayasa, kanunlar ve diğer mevzuatta yer alan özel hayatın gizliliğine ve ticari sır niteliğindeki verilerin korunmasına ilişkin hükümler esas alınır.
(2) Aşağıda yer alan bilgiler paylaşılmaz:
a) Paylaşılması ulusal güvenliği tehdit edebilecek nitelikte olan bilgiler,
b) Milli İstihbarat Teşkilatı Müsteşarlığı personeli ile bakmakla yükümlü oldukları kişilere ait her türlü veriler,
c) Genel sağlık sigortalısına ait kişisel bilgileri içeren veriler,
ç) Rekabet hukuku ilkelerine aykırılık teşkil eden firma, ürün, marka ve ilgili diğer bilgileri içeren veriler.
(3) Sağlık hizmet sunucularına ait veriler, ancak kurum adı belirtilmeden, doğrudan veya dolaylı tanımlamaya yol açmayacak şekilde bölge veya alan adı olarak verilebilir.
İstisnai durumlar
(1) Aşağıda belirtilenlerin veri talebinde bulunması halinde 10 uncu madde hükümleri uygulanmaz.
a) Cumhuriyet Başsavcılıkları, mahkemeler ve Sayıştay Başkanlığı,
b) Kurumun denetim ve kontrol ile görevlendirdiği personel,
c) Yasal görev ve yetkilerine uygun olmak şartıyla 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarının denetim birimleri tarafından genel sağlık sigortası uygulamaları ile yapacakları soruşturma, inceleme ve teftişlerle ilgili görevlendirilen personel,
ç) Kurum sağlık politikalarıyla ilgili olarak iş ve işlemleri yürüten veya bununla ilgili çalışma yapan kurum personeli.
(2) Firma, ürün veya marka barındıran veriler, talep halinde firmanın kendisine verilebilir. Ayrıca bu veriler sınırları açıkça belirtilmiş olmak ve veri talep eden firma tarafından rekabete aykırı olmadığına dair Rekabet Kurumundan bir karar alınmak kaydıyla ve ilgili firmanın noterlikçe onaylanan açık rızası ve muvafakati çerçevesinde kurum, kuruluş ve üçüncü kişiler ile paylaşılabilir.
DÖRDÜNCÜ BÖLÜM
Veri Taleplerine Başvuru ve Veri Taleplerinin Karşılanması
Başvuru ve anlaşma
(1) Veri paylaşımından yararlanmak isteyen alıcı, Kuruma yazılı olarak başvurur. Yapılan başvurularda talep edilen bilgilerin kullanılma gerekçesi ve varsa yasal dayanağının açıkça belirtilmesi zorunludur.
(2) Kurum, veri tabanında tutulan bilgileri, mevzuat ile getirilen sınırlamalar ve bu Yönetmelikte belirtilen usul ve esaslara göre alıcıyla yapacağı sözleşme çerçevesinde paylaşabilir.
Veri taleplerinin karşılanması
(1) Veri taleplerine ilişkin başvurular yazılı olarak Kuruma yapılır.
(2) Verilerin paylaşımı hizmetlerinin koordinasyonu Kurum tarafından yapılır.
(3) Bu Yönetmeliğin kapsamına giren ve Kurum tarafından paylaşımı onaylanan verilere ilişkin;
a) Üniversitelerin kurumsal projelerinde,
b) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa göre genel yönetim kapsamındaki kamu idareleri ile Bakanlığın ilgili ve bağlı kuruluşlarının yayımladıkları süreli istatistik bültenlerinde,
c) Uluslararası kuruluşların Kurumun işbirliği yaptığı çalışmalarda,
kullanılmak üzere, 9/10/2003 tarihli ve 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde gerçek ve tüzel kişilerin spesifik analize gerek olmaksızın karşılanabilecek basit veri talepleri ve mütekabiliyet ilkesi çerçevesinde diğer ülkelerin resmi kurumlarının talepleri ücretsiz olarak karşılanır.
Sözleşme kapsamındaki veri taleplerinin karşılanması
(1) Bu Yönetmeliğin kapsamına giren veri talepleri, Kurumun ön değerlendirmesine tabidir. Ön değerlendirme sonrasında uygun görülen veri taleplerinin karşılanması için alıcı, sözleşme yapmak üzere davet edilir.
(2) Sözleşmeler Kurum Başkanı veya yetkilendireceği personel tarafından imzalanır.
(3) Veriler, CD, DVD, sabit disk, taşınabilir bellek gibi elektronik veya manyetik kayıt ortamında şifrelenerek alıcıya gönderilir.
(4) Veri paylaşımı kapsamında edinilen bilgilerin her türlü kullanımında alıcının Kurumu kaynak göstermesi zorunludur.
BEŞİNCİ BÖLÜM
Çeşitli ve Son Hükümler
Sorumluluk
(1) Kurum tarafından sağlanan verilerin herhangi bir biçimde yetkisiz kişilerin eline geçmesi ve/veya amacı dışında kullanımından doğacak her türlü hukuki, mali veya cezai sorumluluk alıcıya aittir.
(2) Alıcının edindiği verileri kaynak göstermeden kullanması halinde Kurum tazminat isteme hakkına sahiptir.
Düzenleme yetkisi
(1) Bu Yönetmeliğin uygulanmasına ilişkin usul ve esaslar Kurum Yönetim Kurulunca belirlenir.
Yürürlük
(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
(1) Bu Yönetmelik hükümlerini Çalışma ve Sosyal Güvenlik Bakanı yürütür.