Yönetmelikle, SGK'nin ilgili bazı kanun ve kararnamelerde belirtilen görev ve yetkileri kapsamında, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esaslar belirlendi.
Yönetmeliğe göre SGK, kendisine verilen görevleri yerine getirmek amacıyla kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde, "hukuka ve dürüstlük kurallarına uygun olma", "doğru ve gerektiğinde güncel olma", "belirli, açık ve meşru amaçlar için işlenme", "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma", "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uymak zorunda olacak.
SGK ile sözleşmeli sağlık hizmeti sunucuları, kurum adına işledikleri kişisel sağlık verilerini kurum veri kayıt sistemine aktarmakla yükümlü olacak, bunları söz konusu sistem dışında hiçbir yere kopyalayamayacak veya aktaramayacak.
Verilere erişen herkesin sır saklama yükümlülüğü olacak
Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olacak ve veri gizliliğinin sağlanması amacıyla kurum ve Kişisel Verileri Koruma Kurulu (KVKK) tarafından belirlenen önlemlere uymakla yükümlü olacak.
Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları, öğrendikleri bu verileri başkasına açıklayamayacak ve işleme amacı dışında kullanamayacak. Bu yükümlülük, söz konusu kişilerin görevden ayrılmalarından sonra da devam edecek.
Bu yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti halinde veri sorumlusu, bu durumu en geç 72 saat içinde KVKK'ye, bu ihlalden etkilenen kişilere de makul olan en kısa sürede bildirecek.
Kişinin kendisine ait kişisel veri talepleri
Vatandaşlar, SGK'ye başvurarak kendisiyle ilgili kişisel verileri ile kişisel sağlık verilerinin işlenip işlenmediğini öğrenebilecek, işlenmişse buna ilişkin bilgi talep edebilecek, silinip yok edilmesini isteyebilecek.
Kişisel verileri ile kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilecek olan vatandaşlar, bu verilerin yurt içi veya dışında aktarıldığı üçüncü kişileri öğrenebilecek, eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteyebilecek, işlenen verilerin yalnız otomatik sistemlerle analiz edilmesi suretiyle kendisi aleyhine ortaya çıkan sonuca itiraz edebilecek.
Vatandaşlar ayrıca verilerinin mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini de talep edebilecek.
Kişilerin verilerinin silinmesi veya yok edilmesi taleplerinde, kişisel verilerin işlenme şartlarının tamamının ortadan kalkıp kalkmadığı yönünde değerlendirme yapılarak silme, yok etme veya anonim hale getirme işlemlerinden hangisinin uygulanacağına karar verilecek.
Uygulanan yöntem ve gerekçesi, en geç 30 gün içinde ilgili kişiye yazılı olarak veya elektronik tebligat adresine bildirilecek.
SGK, kişinin kişisel verileri ile kişisel sağlık verilerini, "kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere", "mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere", "müvekkili tarafından verilen özel vekaletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına" aktarabilecek veya gerekçesini açıklayarak veri taleplerini reddedebilecek.
Kurum ve kuruluşların kişisel veri talepleri
SGK'nin işlediği kişisel veri ile ticari sır niteliğinde olan veriler, ilgili kişinin noter onaylı muvafakati veya e-Devlet uygulaması üzerinden kimlik teyidiyle verilen izniyle ve kişiler adına vekaletle yetkilendirilenler tarafından, kişisel veri veya ticari sır niteliğindeki veriler hususunda yetkiyi içeren özel vekaletnamenin veya vasi atamaya ilişkin mahkeme kararının kuruma ibraz edilmesi koşuluyla gerçek veya tüzel kişilere aktarılabilecek.
Ancak 5502 sayılı Kanun'un 35'inci maddesi uyarınca 5018 sayılı "Kamu Mali Yönetimi ve Kontrol Kanunu"nun ekindeki ilgili cetvellerde yer alan kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasının, ilgili mevzuatında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları kişisel sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğinde olan veriler aktarılabilecek.
Veri aktarım talepleri ilgili mevzuat birimine yazılı olarak iletilecek. İlgili mevzuat birimi gerekli gördüğü durumlarda istenilen veriye ilişkin detaylı veri deseninin hazırlanmasını talep edebilecek.
Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamayacak, çoğaltamayacak, üçüncü kişilere veremeyecek, satamayacak veya devredemeyecek.
Kişisel verilerin korunması hususuyla ilgili hükümlere aykırı hareket edenler hakkında 6698 sayılı Kanun'un 18'inci maddesi hükümleri uygulanacak ve durum KVKK'ye bildirilecek.
SGK tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında Türk Ceza Kanunu'nun ilgili maddeleri uyarınca suç duyurusu yapabilecek.