Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 Sayılı Karar Özeti


“Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 Sayılı Karar Özeti

 

Karar Tarihi : 30/06/2020
Karar No : 2020/507
Konu Özeti : Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi

 

Kuruma intikal eden şikayette; ilgili kişinin vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep ettiği fakat talebinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesi ile 5502 sayılı Sosyal Güvenlik Kurumu Kanununun 35 inci maddesinin beşinci fıkrası dayanak gösterilerek ve 4721 sayılı Türk Medeni Kanununa ilişkin sükna hakkı, intifa hakkı ve nafaka alacağının devredilmediği belirtilerek reddedildiği, ancak bu hususların talebi ile hiçbir ilgisinin olmadığı, ölen kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş mirasçılara geçtiği, hukuki varlığı sona eren ölen bir kişinin 6698 sayılı Kanuna dayanılarak gerçek kişi ve ilgili kişi kavramları ile ilişkilendirilmesinin fiilen ve hukuken söz konusu olmadığı, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi göz önüne alındığında verilerin sadece yargı yolu ile alınması gerektiğine ilişkin açık bir düzenleme, yöntem ya da kısıtlama bulunmadığı,  veri sorumlusu kamu kurumu tarafından verilen yanıtta Kişisel Sağlık Verileri Hakkında Yönetmeliğin yalnızca Sağlık Bakanlığını bağladığının ifade edildiği ancak, bir yönetmeliğin yalnızca onu çıkaran Bakanlığı bağlayabileceğinin düşünülemeyeceği, bu yönetmeliğin vatandaşı doğrudan ilgilendiren ve idarenin uygulaması gereken açık bir düzenleme olduğu hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir. 

İlgili kişinin dilekçesi ekinde yer alan veri sorumlusu kamu kurumu tarafından ilgili kişiye verilen cevap yazısında; 

  • 5502 sayılı Kanunun 35 inci maddesinin beşinci fıkrasında; “Bu Kanun ve diğer mevzuatla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati veya e-devlet uygulaması üzerinden kimlik teyidi ile verilen izni olmadan gerçek veya tüzel kişilerle paylaşamaz. … Kurum, kişisel sağlık verilerini kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi  ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi halinde Sağlık Bakanlığı ile paylaşır….” hükümlerine yer verildiği, 
  • Ayrıca veri sorumlusu kamu kurumunun hukuk müşavirliğinden alınan görüşte;“… bir kişinin yaşamı sırasında üçüncü kişilerden bir çok hak ve alacağı olabilir. Bu haklardan intifa hakkı, sükna hakkı, nafaka alacağı gibi hak ve alacaklar hak sahibi kişinin ölümü ile kendiliğinden sona erer. Bu nedenle kendiliğinden sona eren bu tür hak ve alacaklar mirasçılara geçmez. … Bu itibarla, ölen kişinin mirasçılarına kişisel verilerinin… verilmesinin hukuken mümkün olmadığı ancak dava konusu yapılması durumunda mahkeme kanalıyla istenmesi halinde … verilmesinin uygun olacağı”na ilişkin mütalaa verildiği, 
  • Sağlık Bakanlığı tarafından çıkarılan Yönetmelik hükümlerinin normlar hiyerarşisi yönünden Sağlık Bakanlığını bağladığı, bu nedenlerle ilgili kişinin babasına ilişkin kişisel sağlık verilerinin ancak yargı makamları tarafından istenmesi halinde verilebileceğinin 

ifade edildiği görülmüştür. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Kanunun gerekçesinde; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı, bu sebeple, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler olarak değerlendirildiği,
  • 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
  • 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin birinci fıkrasının; “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.” hükmünü amir olduğu, 
  • Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile; 

    -6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine,
    -Öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin 1 inci fıkrasında “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir” hükmü kapsamında … vefat eden eşi … yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin bilgilendirilmesine…karar verilmiştir.
    ” 

değerlendirmelerinden hareketle, 

  • İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir