Sosyal Güvenlik Kurumu (“Kurum”) tarafından hazırlanan ve 19.02.2022 tarihli Resmi Gazete’de yayınlanan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”), yayın tarihi itibariyle yürürlüğe girmiştir.

1. Yönetmelik’in Konusu

Yönetmelik, Kurum’un görev ve yetkileri kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemektedir.  Yönetmelik ile aynı zamanda özel hukuk tüzel kişilerinin de veri işleme faaliyetlerine konu olabilecek bazı düzenlemeler getirilmiştir.

Bu kapsamda, Yönetmelik genel itibariyle Kurum nezdinde işlenen kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin, Kurum tarafından Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan ilkelere uygun şekilde işlenmesi ve aktarılması gerekliliğine değinmekle birlikte, özel hukuk tüzel kişilerine yükümlülük getiren bazı hükümler de mevcuttur.

2. Özel Hukuk Tüzel Kişilerini Kapsayan Düzenlemeler

Yönetmelik’in aşağıda yer alan maddelerinin, özel hukuk tüzel kişileri açısından uygulanabilir olduğu kanısındayız:

  • Madde 6: Bu maddede veri sorumlularının Yönetmelik kapsamındaki veriler ile ilgili genel yükümlülükleri düzenlenerek, kişisel sağlık verileri ile ticari sır niteliğindeki verilere ilişkin gizlilik yükümlülüğünün altı çizilmiştir.

Bu maddede, Kanun’da açıkça belirtilmeyen ancak Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararında değinilen bir husus açıkça belirtilmiştir: Yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde veri sorumlusunun, bu durumu gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurul’una, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirmesi gerekmektedir.

  • Madde 17: Bu madde, Kurum’dan ruhsat veya satış iznine sahip olduğu ürünlere (tıbbi cihaz, tıbbi sarf malzemeleri gibi) ait verilere ilişkin veri aktarımı talep edebilecek özel hukuk tüzel kişilerini ilgilendirmektedir.
  • Madde 20: Bu madde, genel olarak Kurum’dan veri aktarımı talep edecek özel hukuk tüzel kişilerinin uyması gereken hususları belirtmektedir.
  • Madde 21: Bu maddede, Kurum tarafından verilerin aktarıldığı kişi ve kurumların, bu verilerin gizliliğini korumak hususunda uyması gereken hususlar belirtilmektedir.

3. Sonuç

Yönetmelik genel anlamda Kurum nezdindeki verilerin işlenmesi ve aktarılmasına yönelik kuralları içermektedir. Bu çerçevede, Kurum’a veri korumaya yönelik önemli yükümlülükler getirilmekle birlikte, Kurum’dan veri talebinde bulunan veri sorumlusu özel hukuk tüzel kişilerinin de bu talebin iletilmesi ve verilerin işlenmesi hususunda Yönetmelik hükümlerini dikkate almaları gerekecektir.

Yönetmeliğe aşağıdaki linkten ulaşabilirsiniz:

https://www.resmigazete.gov.tr/eskiler/2022/02/20220219-4.htm

Batuhan Şahmay
Naz Ergörün
Behiç Ateş Gülenç