A. GİRİŞ
21 Haziran 2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik (“Yönetmelik”), 3 Aralık 2025 tarihli ve 33096 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik (“Değişiklik Yönetmeliği”) ile esaslı revizyonlara uğramıştır.
İşbu değişikliklerin temel amacı; sağlık hizmetlerinin sürekliliğini temin etmek, uygulamada karşılaşılan bürokratik engelleri bertaraf etmek ve Yönetmelik hükümlerini 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile tam uyumlu hale getirmektir. Aşağıda, mevzuatın önceki hali ile yeni düzenlemeler karşılaştırmalı olarak analiz edilmiştir:
B. DEĞİŞİKLİKLERİN MUKAYESELİ ANALİZİ
1. Avukatların Sağlık Verilerine Erişim Usulü
Yönetmelik’in yeni düzenleme ile mülga olan 10. maddesi uyarınca, avukatların müvekkillerine ait sağlık verilerine genel vekaletname ile erişmesi mümkün kılınmamakta ve Yönetmelik kapsamında vekaletnamede özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına dair açık rıza gösteren özel bir hüküm bulunması şart koşulmaktaydı.
Yeni düzenleme ile Yönetmelik’in 10. maddesi yürürlükten kaldırılmıştır. Bu ilga ile birlikte, avukatların sağlık verilerine erişimi KVKK’nın genel hükümlerine ve özellikle KVKK’nın 6. maddesinin 3. fıkrasında düzenlenen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına tabi hale gelmiştir. Artık vekaletnamede özel bir açık rıza beyanı aranmaksızın, avukatlık görevinin ifası kapsamında genel vekaletname ile sağlık verilerine erişim avukatlar için hukuken mümkün hale gelmiştir.
2. Sağlık Personelinin Veri Erişim Yetkisi ve Süreleri
Yönetmelik’in değişiklik öncesi 6. maddesi tahtında; hekimlerin hasta verilerine erişimi, sağlık hizmetinin gerekliliğinden ziyade randevu günü veya yirmi dört saatlik kesin süreler ile tahdit edilmişti. Söz konusu zaman odaklı kısıtlamanın, tedavi süreçlerinin devamlılığı ilkesiyle bağdaşmadığı ve uygulamada aksaklıklara sebebiyet verdiği görülmüştür.
Değişiklik Yönetmeliği ile Yönetmelik’in 6. maddesinin 2. fıkrası yeniden tanzim edilerek zaman odaklı erişim usulü ilga edilmiş ve yerine süreç odaklı bir erişim rejimi ihdas edilmiştir. Yeni düzenleme uyarınca erişim yetkileri şu şekilde hüküm altına alınmıştır:
- Aile Hekimleri: Kendisine kayıtlı kişilerin sağlık verilerine herhangi bir süre sınırı aranmaksızın erişim yetkisini haizdir.
- Muayene ve Tedavi Süreci: İlgili hekimin veri erişim yetkisi; muayene, tetkik, konsültasyon ve tedaviyle doğrudan bağlantılı tıbbi işlemler tamamlanıncaya kadar devam edecektir.
- Yatan Hastalar: Hastanın sağlık tesisinden taburcu edilmesine kadar, ilgili serviste görevli tüm hekimlerin erişimi mümkündür.
- Acil Servis: Acil servise giriş yapan hastalar taburcu olana kadar, ilgili sağlık tesisinde görevli tüm hekimler verilere erişim yetkisine sahiptir.
3. E-Nabız Gizlilik Tercihleri ve Erişim Güvenliği
Mülga düzenlemede, veri erişim kuralları kişinin e-Nabız hesabının bulunup bulunmamasına göre ikili bir ayrıma tabi tutulmaktaydı. Değişiklik Yönetmeliği ile getirilen yeni düzenleme ile Yönetmelik’in 6. maddesi tadil edilerek e-Nabız hesabı ayrımı kaldırılmış ve tüm ilgili kişiler bakımından yeknesak bir gizlilik rejimi öngörülmüştür:
- İlgili kişinin geçmiş sağlık verilerine erişimi gizlemesi (sınırlandırması) halinde; hekimin bu verilere erişimi, ancak hastanın sistemde kayıtlı telefonuna iletilen doğrulama kodunun hekimle paylaşılması ve sisteme girilmesi suretiyle hukuken mümkün olacaktır.
- Yatarak tedavi görenler ve acil servisten giriş yapan hastalar bakımından; sağlık hizmetinin gecikmesinde sakınca bulunan haller gözetilerek, gizlilik ayarlarına bakılmaksızın ve doğrulama kodu şartı aranmaksızın hekim erişimine cevaz verilmiştir.
- Tutukluluk veya hükümlülük gibi kişinin telefonuna ve dolayısıyla doğrulama koduna erişemediği hallerde; herhangi bir güvenlik ayarı kontrolü yapılmaksızın KVKK’nın 6. maddesinin 3. fıkrası sınırları dahilinde veri erişimi serbest bırakılmıştır.
4. Boşanma Sürecinde ve Sonrasında Çocukların Verilerine Erişim
Yönetmelik’in 8. maddesinin 2. fıkrasının değişiklik öncesi halinde, velayet hakkı uhdesinde bulunmayan ebeveynin müşterek çocuğun sağlık verilerine erişim usulüne ilişkin sarih bir düzenleme yer almamakta ve uygulama da Sağlık Bilgi Sistemleri Genel Müdürlüğü’nün idari takdir yetkisi ve belirlediği sınırlar çerçevesinde yürütülmekte idi.
Söz konusu normatif boşluk, uygulamada hukuki belirsizliklere ve tereddütlere mahal verdiğinden yeni düzenleme ile Yönetmelik’in 8. maddesinde yapılan değişiklikle erişim yetkileri netleştirilmiştir:
- Boşanma davası devam ederken geçici velayet hakkı verilen taraf veya dava sonucunda velayeti alan taraf, çocuğun sağlık verilerine doğrudan erişebilecektir.
- Velayet hakkı uhdesinde bulunmayan ebeveynin, müşterek çocuğun sağlık verilerine doğrudan erişim yetkisi bulunmamaktadır. Erişim taleplerinin Genel Müdürlüğe iletilmesi gerekmekte olup talebin idarece uygun görülmesi halinde, velayet sahibi ebeveyn ile çocuğun adres, lokasyon ve iletişim bilgileri maskelemek suretiyle, münhasıran çocuğun sağlık durumuna ilişkin verilerin paylaşımı sağlanacaktır. İşbu düzenleme ile; çocuğun ve velayet sahibinin can güvenliği ve mahremiyeti ile diğer ebeveynin bilgi edinme hakkı arasında hukuki bir denge tesisi amaçlanmıştır.
5. Bakım Veren Kişiler ve Engelli Bireylerin Verileri
Değişiklik öncesi dönemde Yönetmelik’in “Tanımlar” başlıklı 4. maddesinde “bakım veren kişi” tanımı yer almamakta ve engelli bireylerin sağlık verilerine, vasisi dışındaki bakım verenlerin erişimi konusunda yasal boşluk bulunmaktaydı.
Yeni düzenleme ile Yönetmelik’in 4. maddesine “bakım veren kişi” tanımı eklenmiş; bu tanım uyarınca bakım veren kişi; “çocuğun velisi veya vasisi ya da bakım ve gözetiminden sorumlu olarak yetkilendirilmiş gerçek ya da tüzel kişiler” olarak ifade edilmiştir. Ayrıca, engelli raporu bulunan kişilerin sağlık verilerine, bu kişilere fiilen bakım verenlerin de erişebilmesi hüküm altına alınarak süreç kolaylaştırılmıştır.
6. Veri Saklama Süreleri ve Diğer Hükümler
Yönetmelik’in 11. maddesinde düzenlenen vefat eden kişilerin sağlık verilerinin 20 yıl saklanmasına ilişkin süre 20 yıldan 30 yıla çıkarılmıştır.
7. Diğer Değişiklikler
Yönetmelik’in 5. maddesinin 3. fıkrasında veri işleme şartlarında yer alan “sağlık hizmeti sunumu için gerekli olan” ibaresi kaldırılarak, yerine doğrudan KVKK’nın 6. maddesinin 3. fıkra hükümlerine atıf yapılmıştır. Böylece veri işlemenin yasal dayanağı, KVKK’daki “sır saklama yükümlülüğü altında bulunan kişiler tarafından tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi” şartına bağlanmıştır.
C. SONUÇ
3 Aralık 2025 tarihli Resmî Gazete’de yayımlanan Değişiklik Yönetmeliği; kişisel sağlık verilerinin işlenmesi, korunması ve aktarılması rejiminde, KVKK’nın amir hükümleri ve güncel hukuki gereklilikler doğrultusunda esaslı bir değişikliğine gidildiğini göstermektedir.
Yapılan bu değişiklikler ile bir yandan avukatların veri erişiminde aranan “özel yetki/açık rıza” gibi şekli şartların ilgası suretiyle hak arama hürriyetinin kapsamı genişletilmiş; diğer yandan sağlık profesyonellerinin erişim yetkilerinin zaman kısıtlı sistemden süreç odaklı sisteme evrilmesiyle kamu hizmetinin sürekliliği ilkesi tahkim edilmiştir.
Bu çerçevede, sağlık hizmeti sunucuları başta olmak üzere ilgili tüm veri sorumlularının, aydınlatma metinlerini, veri saklama ve imha politikalarını işbu yeni düzenlemelere uyumlu hale getirmeleri önem arz etmektedir.
