Yönetmelikle, SGK’nin ilgili bazı kanun ve kararnamelerde belirtilen vazife ve yetkileri kapsamında, tamamen yada kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde etmiş olduğu verilerin işlenmesinde uyulacak usul ve esaslar belirlendi.

Yönetmeliğe gore SGK, kendisine verilen görevleri yerine getirmek amacıyla kişisel verilerin, kişisel sıhhat verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde, “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme”, “işlendikleri amaçla bağlantılı, sınırı olan ve ölçülü olma”, “ilgili mevzuatta öngörülen yada işlendikleri amaç için lüzumlu olan süre kadar muhafaza edilme” ilkelerine uymak zorunda olacak.

SGK ile sözleşmeli sıhhat hizmeti sunucuları, kurum adına işledikleri kişisel sıhhat verilerini kurum veri kayıt sistemine aktarmakla yükümlü olacak, bu tarz şeyleri söz mevzusu sistem haricinde hiçbir yere kopyalayamayacak yada aktaramayacak.

VERİLERE ERİŞEN HERKESİN SIR SAKLAMA YÜKÜMLÜLÜĞÜ OLACAK

Kurum adına kişisel verileri, kişisel sıhhat verilerini ve ticari sır niteliğindeki verileri işleyen yada görevi gereği bu verilere erişen hepimiz, sır gizleme yükümlülüğü altında olacak ve veri gizliliğinin sağlanması amacıyla kurum ve Kişisel Verileri Koruma Kurulu (KVKK) tarafınca belirlenen önlemlere uymakla yükümlü olacak.

Kişisel verileri, kişisel sıhhat verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları, öğrendikleri bu verileri başkasına açıklayamayacak ve işleme amacı haricinde kullanamayacak. Bu yükümlülük, söz mevzusu kişilerin görevden ayrılmalarından sonrasında da devam edecek.

Bu yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafınca elde edildiğinin tespiti halinde veri sorumlusu, bu durumu en geç 72 saat içinde KVKK’ye, bu ihlalden etkilenen kişilere de makul olan en kısa sürede bildirecek.

KİŞİNİN KENDİSİNE AİT KİŞİSEL VERİ TALEPLERİ

Vatandaşlar, SGK’ye başvurarak kendisiyle ilgili kişisel verileri ile kişisel sıhhat verilerinin işlenip işlenmediğini öğrenebilecek, işlenmişse buna ilişkin data talep edebilecek, silinip yok edilmesini isteyebilecek.

Kişisel verileri ile kişisel sıhhat verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilecek olan vatandaşlar, bu verilerin yurt içi yada haricinde aktarıldığı üçüncü kişileri öğrenebilecek, tamamlanmamış yada yanlış işlenmiş olması halinde bunların düzeltilmesini isteyebilecek, işlenen verilerin yalnız otomatik sistemlerle çözümleme edilmesi suretiyle kendisi aleyhine ortaya çıkan sonuca itiraz edebilecek.

Vatandaşlar ek olarak verilerinin mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini de talep edebilecek.

Kişilerin verilerinin silinmesi yada yok edilmesi taleplerinde, kişisel verilerin işlenme şartlarının tamamının ortadan kalkıp kalkmadığı yönünde değerlendirme yapılarak silme, yok etme yada anonim hale getirme işlemlerinden hangisinin uygulanacağına karar verilecek.

Uygulanan yöntem ve öne sürülen nedeni, en geç 30 gün içinde ilgili kişiye yazılı olarak yada elektronik tebligat adresine bildirilecek.

SGK, kişinin kişisel verileri ile kişisel sıhhat verilerini, “kişinin kendisine yada noter onaylı muvafakatiyle yada e-Devlet uygulaması üstünden kimlik teyidi ile verilen izin ile öteki gerçek yada tüzel kişilere”, “mahkeme sonucu ile kişinin sıhhat verilerine erişim izninde yetkilendirilmiş kişilere”, “müvekkili tarafınca verilen hususi vekaletnamede avukatın kişisel veriler ile kişisel sıhhat verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına” aktarabilecek yada gerekçesini açıklayarak veri taleplerini reddedebilecek.

KURUM VE KURLUŞLARIN KİŞİSEL VERİ TALEPLERİ

SGK’nin işlediği kişisel veri ile ticari sır durumunda olan veriler, ilgili kişinin noter onaylı muvafakati yada e-Devlet uygulaması üstünden kimlik teyidiyle verilen izniyle ve kişiler adına vekaletle yetkilendirilenler tarafınca, kişisel veri yada ticari sır niteliğindeki veriler hususunda yetkiyi içeren hususi vekaletnamenin yada vasi atamaya ilişkin mahkeme kararının kuruma ibraz edilmesi koşuluyla gerçek yada tüzel kişilere aktarılabilecek.

Sadece 5502 sayılı Kanun’un 35’inci maddesi uyarınca 5018 sayılı “Kamu Mali Yönetimi ve Denetim Kanunu”nun ekindeki ilgili cetvellerde yer edinen kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasının, ilgili mevzuatında belirtilen görevleri yapabilmeleri için gerekseme duydukları kişisel sıhhat verisi dışındaki kişisel veriler ile ticari sır durumunda olan veriler aktarılabilecek.

Veri aktarım talepleri ilgili mevzuat birimine yazılı olarak iletilecek. İlgili mevzuat birimi lüzumlu görmüş olduğu durumlarda istenilen veriye ilişkin detaylı veri deseninin hazırlanmasını talep edebilecek.

Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç haricinde değişik bir amaçla kullanamayacak, çoğaltamayacak, üçüncü kişilere veremeyecek, satamayacak yada devredemeyecek.

Kişisel verilerin korunması hususuyla ilgili hükümlere aykırı hareket edenler hakkında 6698 sayılı Kanun’un 18’inci maddesi hükümleri uygulanacak ve durum KVKK’ye bildirilecek.

SGK tarafınca kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren yada bütünlüğünü bozanlar hakkında Türk Ceza Kanunu’nun ilgili maddeleri uyarınca kabahat duyurusunda bulunulacak.