Kişisel Sağlık Verileri Hakkında Yönetmelik’te Yapılan Son Değişiklikler

I. Giriş

3 Aralık 2025 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik’te Değişiklik Yapılmasına Dair Yönetmelik (“Yönetmelik Değişikliği”) ile Sağlık Bakanlığı ve ilgili kurum ve kuruluşlar tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenleyen 21 Haziran 2019 tarihli ve 30808 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik’te (“Yönetmelik”) bir kısım önemli değişiklik yapılmıştır. Bu kapsamda, kişisel sağlık verilerine erişim, çocuklara ilişkin veri işleme süreçleri, engelli bireylere yönelik düzenlemeler ve vekil sıfatıyla erişim gibi alanlarda önemli değişiklikler gerçekleştirilmiştir.

Yönetmelik Değişikliği’nin tam metnine buradan ulaşabilirsiniz.

II. Yönetmelik’te Yapılan Değişiklikler

1. Tanımlar Maddesine Yeni Eklenen İfade: Bakım Veren Kişi

Yönetmelik Değişikliği ile, Yönetmelik’in “tanımlar” başlıklı 4. maddesine “bakım veren kişi” tanımı eklenmiş olup bu kavramın, çocuğun velisi veya vasisi yahut bakım ve gözetiminden sorumlu olmak üzere yetkilendirilmiş gerçek veya tüzel kişileri ifade ettiği hüküm altına alınmıştır. Bu suretle, Yönetmelik Değişikliği ile Yönetmelik’te yer alan tanımların kapsamı genişletilmiştir.

2. Genel İlke: Geçmiş Sağlık Verilerinin Dökümünü Sunmaya Zorlanamama

Yönetmelik Değişikliği ile Yönetmelik’in 5. maddesinin 3. fıkrasında yer alan “sağlık hizmeti sunumu için gerekli olan” ibaresi, “Kanunun 6’ncı maddesinin üçüncü fıkrasında yer alan işleme şartları ile öngörülen” şeklinde değiştirilmiştir. Buna göre, kişilerin geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağı yönündeki ilke artık doğrudan Kişisel Verilerin Korunması Kanunu (“Kanun”) m. 6/3’te sayılan işleme şartlarına bağlanmıştır.

3. Kişisel Sağlık Verilerine Erişim Yetkisi Bulunan Kişiler

Yönetmelik Değişikliği ile, Yönetmelik’in “sağlık personelinin verilere erişimi” başlıklı 6. maddesinde önemli değişiklikler yapılmıştır. Bu kapsamda maddenin 2, 3, 4 ve 5. fıkraları yeniden düzenlenmiştir.

Yönetmelik Değişikliği öncesi, Yönetmelik’in 6. maddesinin 2. fıkrası; “e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.” hükmünü içermekteydi. Anılan hüküm uyarınca, e-Nabız hesabı bulunan kişilerin sağlık verilerine yalnızca kendi gizlilik tercihlerinin belirlediği çerçevede erişilebilmekteydi. Yönetmelik Değişikliği ile birlikte bu hüküm kaldırılmış ve erişim rejimi aşağıdaki şekilde ayrıntılı olarak yeniden düzenlenmiştir. Buna göre;

Kişisel sağlık verilerine, Kanun’un 6. maddesinin 3. fıkrasında öngörülen işleme şartlarıyla sınırlı olmak üzere, yalnızca aşağıda sayılan sağlık personeli tarafından erişim sağlanabilecektir:

Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
Kişinin sağlık hizmeti almak amacıyla başvurduğu hekim tarafından; sağlık hizmeti aldığı günler, konsültasyon veya kontrol muayene süresi dâhil olmak üzere alınan sağlık hizmetiyle doğrudan bağlantılı işlemler tamamlanıncaya kadar,
Kişinin sağlık hizmeti almak amacıyla başvurduğu sağlık hizmeti sunucusunda görevli hekimler tarafından; sağlık hizmeti aldığı günler, konsültasyon veya kontrol muayene süresi dâhil olmak üzere alınan sağlık hizmetiyle doğrudan bağlantılı işlemler tamamlanıncaya kadar,
Hastanın yatışının yapıldığı sağlık hizmet sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmet sunucusundan taburcu olana kadar,
Acil servis üzerinden girişi yapılan kişilerin, ilgili sağlık hizmeti ile sınırlı olmak üzere, giriş yapılan acil servisin bulunduğu sağlık tesisindeki görevli tüm hekimler tarafından taburcu olana kadar erişilebilir.

Bu düzenleme ile, kişisel sağlık verilerine kimler tarafından hangi sürelerle erişilebileceği detaylı şekilde düzenlenmiş; önceki dönemdeki belirsizlikler gidilerek erişim koşullarının hem personel hem de süre bakımından sınırları netleştirilmiştir.

Öte yandan, Yönetmelik Değişikliği öncesi aynı maddenin 3. fıkrası, e-Nabız hesabı bulunmayan kişiler için ayrı bir erişim rejimi öngörmekteydi. Bu kapsamda, söz konusu kişilerin sağlık verilerine erişim belirli süre ve koşullarla sınırlandırılmıştı. Erişim yetkisi yalnızca bazı hekim gruplarına ve zaman bakımından sınırlayıcı hükümler çerçevesinde sağlanmıştır. Böylece, e-Nabız hesabı bulunan kişiler ile bulunmayanlar arasında erişim kuralları ve süreleri bakımından farklılık taşıyan iki aşamalı bir sistem uygulanmaktaydı.

Yönetmelik Değişikliği ile birlikte 3. fıkra hükmü tamamen kaldırılarak yerine aşağıdaki düzenleme getirilmiştir:

“e-Nabız hesabı üzerinden güvenlik ayarı tercihinde bulunan kişilerin sağlık verilerine, kendi güvenlik ayarları çerçevesinde erişim sağlanır. İlgili kişiler, güvenlik ayarları ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Güvenlik ayarları ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz. Bu fıkranın ilk cümlesi, ikinci fıkranın (ç) ve (d) bentlerinde belirtilen hallerde Kanunun 6’ncı maddesinin üçüncü fıkrasında yer alan işleme şartları ile sınırlı olmak kaydıyla uygulanmaz.”

Bu değişiklikle, erişim rejimi artık kişinin e-Nabız hesabının olup olmaması üzerinden farklılaştırılmamaktadır. Yeni düzenleme ile Yönetmelik’in 6. maddesinde düzenlenen kişisel sağlık verilerine erişim, artık tamamen yeknesak bir modele tabi olup e-Nabız hesabı bulunup bulunmamasından bağımsız olarak yalnızca Yönetmelik’te belirlenen hekim grupları tarafından ve belirlenen zaman dilimleri içinde gerçekleştirilebilecektir.

Yönetmelik’in 6. maddesinin 4. fıkrasında yapılan değişiklik ile kişisel sağlık verilerine erişimin artık kişinin aktif onayına bağlı olduğu açık şekilde hüküm altına alınmıştır:

“Sunulan güvenlik tercihlerindeki durumlarda sağlık verilerine erişilmesini istemeyen kişilerin geçmiş sağlık verilerine, kişinin kendisi tarafından profilinde beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.”

Bu hüküm ile sağlık verilerinin görüntülenmesini engelleyen güvenlik ayarı bulunan kişiler bakımından ilave bir doğrulama ve onay mekanizması getirilmiştir. Artık geçmiş sağlık verilerine erişim; (i) Kişiye mobil doğrulama kodu gönderilmesi, (ii) Bu kodun kişinin bizzat hekimle paylaşması ve (iii) Hekim tarafından sistemde doğrulanması şartları birlikte sağlandığında mümkün olabilecektir. Bu sistem, pasif gizlilik tercihinden farklı olarak kişinin erişim için bilinçli bir irade beyanı göstermesini zorunlu kılmaktadır. Dolayısıyla veri sahibinin sağlık geçmişine erişim, hekim tarafından tek taraflı olarak yapılamamakta; kişisel veri sahibinin açık ve aktif onayı aranmaktadır.

Ayrıca, 6. maddenin 5. fıkrası da tümüyle değiştirilmiş olup tutukluluk/hükümlülük gibi nedenlerle doğrulama koduna erişemeyen kişiler bakımından güvenlik ayarlarından bağımsız olarak aile hekimi ve başvurduğu hekimler tarafından erişim sağlanabileceği hükme bağlanmıştır.

4. Çocukların Kişisel Verilerine Erişim Konusunda Değişiklikler

Yönetmelik’in “çocukların sağlık verilerine erişim” başlıklı 8. maddesinin 2. fıkrasında değişiklik yapılmış ve maddeye yeni bentler eklenmiştir.

Değişiklik öncesi söz konusu 2. fıkra yalnızca, anne ve babanın boşanması hâlinde velâyet hakkı kendisine bırakılmayan tarafın çocuğun sağlık verilerine erişimine ilişkin bir çerçeve sunmaktaydı. Yapılan değişiklik ile söz konusu düzenleme genişletilmiş ve sürece ilişkin senaryolar daha ayrıntılı biçimde ele alınmıştır.

Öncelikle, 2. fıkra değiştirilerek boşanma davası devam ederken tedbiren velâyet hakkı kendisine bırakılan tarafın çocuğun sağlık verilerine erişim yetkisine sahip olacağı açık şekilde hükme bağlanmış, böylelikle boşanma davası sürecindeki geçici velâyet düzenlemelerine ilişkin belirsizlik giderilmiştir. Buna göre;

“Boşanma davası devam ederken velâyet hakkı tedbiren üzerine bırakılan taraf çocuğun sağlık verilerine erişebilir.”

Yönetmelik Değişikliği ayrıca, boşanma süreci tamamlandıktan sonra erişim yetkisinin kapsamını da iki ayrı durumu dikkate alarak düzenlemiştir:

3. fıkra ile, boşanmanın gerçekleşmesi halinde velâyet hakkı kendisine bırakılan tarafın çocuğun sağlık verilerine erişebileceği hükme bağlanmıştır. Böylece çocuğun sağlık verilerine erişim yetkisinin, boşanma sonucunda velâyete sahip olan tarafa ait olacağı netleştirilmiştir.

4. fıkra ile ise velâyet hakkı kendisine bırakılmayan anne veya babanın çocuğun sağlık verilerine erişimini sınırlı şekilde mümkün kılan bir başvuru mekanizması oluşturulmuştur. Buna göre, velâyet hakkı bulunmayan tarafın veri erişimine talebiyle Sağlık Bilgi Sistemleri Genel Müdürlüğü’ne başvurması halinde, söz konusu başvuru değerlendirilir ve uygun görülmesi durumunda yalnızca çocuğun sağlık durumuna ilişkin çıkarımlar yapılabilecek bilgiler — lokasyon, adres veya iletişim bilgileri gibi verileri içermeyecek şekilde — talep sahibi ile paylaşılabilir. Bu yeni düzenleme, velâyet hakkı bulunmayan anne veya babanın tamamen erişim dışında bırakılmasını engellemekte, ancak paylaşılacak veri türünü çocuğun üstün yararı ve gizliliği gözetilerek önemli ölçüde sınırlandırmaktadır.

5. Engelli Raporu Bulunan Bireylerin Sağlık Verilerine Erişim

Yönetmelik Değişikliği ile Yönetmelik’in 9. maddesinin başlığı “sağlık verilerine hasta yakınları ile sağlık hizmeti alan kişi yakınlarının erişimi” olarak değiştirilmiş ve engelli raporu bulunan kişilere ilişkin aşağıdaki şekilde özel bir düzenleme eklenmiştir:

“Engelli raporu bulunan kişilerin sağlık verilerine, Yönetmelik’te tanımlanan bakım veren kişiler tarafından da erişim sağlanabilir.”

Bu değişiklikle, engelli raporu olan bireylerin sağlık verilerine yalnızca hasta yakınlarının değil, bakım ve gözetim sorumluluğunu üstlenen kişilerin de erişebilmesine imkan tanınmıştır.

6. Avukatların Sağlık Verilerine Erişimi

Yönetmelik Değişikliği ile Yönetmelik’in 10. maddesi yürürlükten kaldırılmıştır. Değişiklik öncesinde bu madde, “sağlık verilerine avukatların erişimi” başlığını taşıyor ve avukatların müvekkillerine ait sağlık verilerini genel vekâletname ile talep edemeyeceğini düzenliyordu. Buna göre, sağlık verilerinin avukata aktarılabilmesi için vekâletnamede açıkça özel nitelikli kişisel verilerin işlenmesine ve aktarılmasına yönelik rızayı içeren özel bir hükmün bulunması zorunluydu.

10. maddenin kaldırılması tek başına avukatların genel vekâletname ile tüm sağlık verilerine sınırsız erişebileceği anlamına gelmemektedir. Uygulamada sağlık hizmeti sunucularının Kanun m. 6/3 çerçevesinde özel nitelikli kişisel verilerin işlenmesine ilişkin açık rıza, özel yetki içeren vekâletname veya mahkeme kararı gibi güvenceler aramaya devam etmesi beklenmektedir.

III. Sonuç

Yönetmelik Değişikliği ile kişisel sağlık verilerine erişim kuralları yeniden şekillendirilmiş; erişim yetkisi bulunan kişi grupları, çocuklar ve engelli bireyler bakımından veri işleme süreçleri ile avukatların erişim koşulları yeniden düzenlenmiştir. Düzenleme, veri güvenliğinin güçlendirilmesi, erişim mekanizmalarının netleştirilmesi ve veri sahibinin kontrolünün artırılması amacıyla önemli değişiklikler içermektedir. Uygulamada, sağlık hizmeti sunucuları ve veri işleyen tarafların yeni hükümlere uyum sağlaması ve süreçlerini bu doğrultuda güncellemesi gerekmektedir.

Dr. iur. Onur Ergönen, Ortak Avukat
Gamze Güngör Bulut, Kıdemli Avukat
Işıl Gizem Demirtaş, Avukat

	Maslak Mah. Eski Büyükdere Cad. No:7 Giz 2000 Plaza Kat: 17 34398 Sarıyer İstanbul
	+90 (212) 358 07 00