Muzdarip olunan bir hastalığın teşhisi ve tedavisi için bir özel sağlık kurumuna müracaat edildiğinde, müracaat anından sunulan sağlık hizmetinin sona ermesine, hatta bundan sonraki belirli bir sürenin geçmesine kadar olan zaman içerisinde kişisel sağlık verileri, çeşitli işleme faaliyetlerine konu olmaktadır. Örneğin; hasta girişinin yapılması, hasta öyküsünün alınması (anamnez), fizik muayene, tahlil ve tetkik yapılması sırasında kişisel sağlık verilerinin elde edilmesi ve kaydedilmesi, sunulan sağlık hizmeti ücretinin kısmen veya tamamen SGK tarafından karşılanması aşamasında kişisel sağlık verilerinin SGK'ya aktarılması, hastanın taburcu edilmesinden sonra hasta dosyasının tıbbi arşivde kalması safhasında kişisel sağlık verilerinin saklanması söz konusudur.
Özel sağlık kurumları tarafından gerçekleştirilen bu kişisel sağlık verisi işleme faaliyetleri, bilgisayar ve internet teknolojileri ile mobil teknolojilerde meydana gelen gelişmeler ile birlikte günümüzde, geçmişe oranla oldukça kolaylaşmış ve yaygınlaşmıştır. Bu durum, kişisel sağlık verilerinin yetkisiz kişiler tarafından ele geçirilmesi riskini de beraberinde getirmiştir. Bundan dolayı özel sağlık kurumları kapsamında gerçekleştirilen kişisel sağlık verisi işleme faaliyetlerinin hukuka uygun bir şekilde gerçekleştirilmesi, hem hastanın kişisel verilerinin korunması hakkının sağlanması hem de hasta-sağlık görevlisi ve hasta-özel sağlık kurumu arasındaki güven ilişkisi korunarak etkin sağlık hizmetinin temini bakımından son derece önemlidir.
KSVHY md.2 uyarınca yönetmeliğin kapsamı “kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetleri” dir. Özel sağlık kurumları da kişisel sağlık verisi işleyen özel hukuk kişilerinden olduğundan KSVHY' ye tabidir.
KSVHY md.4'te çeşitli tanımlar öngörülmüştür. Bunlardan açık veri, “ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veri”, açık sağlık verisi, “açık veri haline getirilen sağlık verisi”, ilgili kullanıcı, “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler”, KamuNET, “kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen proje”, kimliksizleştirme, “kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi”, maskeleme, “kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler” olarak tanımlanmaktadır
İkinci bölümde genel ilke ve esaslar yer almaktadır. Bu bölümün içeriğini oluşturan “Genel İlke ve Esaslar” kenar başlıklı 5.maddede kişisel sağlık verilerinin işlenmesinde uyulması gereken ilkeler başta olmak üzere KVKK'da düzenlenen esaslara uyulması gerektiği, sağlık hizmeti sunumu bakımından gerekli olan haller dışında kimsenin önceki sağlık verilerinin dökümünü sunma yahut göstermeye zorlanamayacağı, yetkisi olmayan kişilerin banko, gişe ve masa gibi bölümlerde bulunmasını ve eş zamanlı olarak yakın konumda sağlık hizmeti alanların birbirlerine ait kişisel verileri görme, duyma, öğrenme veya ele geçirmesini önleyecek nitelikte fiziki, teknik ve idari tedbirlerin sağlık hizmeti sunucularınca alınacağı , sağlık hizmeti sunucularınca, hastanın kişisel sağlık verilerini ihtiva eden materyal üzerinde gerekli kısmi kimliksizleştirme yahut maskeleme uygulanacağı ve mezkur materyalin yetkisi bulunmayan kişilerin eline geçmesi durumunda kime ait olduğunun belirlenmesini zorlaştıracak başka tedbirlerin alınacağı, ilgili kişinin hakları, veri sorumlusuna başvuru ve aydınlatma yükümlülüğünün yerine getirilmesi hususunda KVKK ve ilgili ikincil düzenlemelere uyulacağı ifade edilmiştir.
Üçüncü bölümde kişisel sağlık verilerine erişim ile ilgili hükümler yer almaktadır. Bu bölümde sırasıyla sağlık personelinin, bakanlık birimlerinin, ebeveynlerin, hasta yakınlarının ve avukatların verilere erişimi ile mirasçıların ölen kimsenin verilerine erişimi düzenlenmektedir.
Üçüncü bölümde kişisel sağlık verilerine erişim ile ilgili hükümler yer almaktadır. Bu bölümde sırasıyla sağlık personelinin, bakanlık birimlerinin, ebeveynlerin, hasta yakınlarının ve avukatların verilere erişimi ile mirasçıların ölen kimsenin verilerine erişimi düzenlenmektedir.
Yönetmeliğin dördüncü bölümünde kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması; beşinci bölümünde bilimsel amaçlarla işleme ve açık sağlık verisi; altıncı bölümünde veri güvenliği ve nihayet yedinci bölümünde ise yönetmeliğin ihlali halinde öngörülen yaptırımlar ile ilgili hükümler yer almaktadır.
Türk hukukunda KSVHY dışında da kişisel sağlık verilerinin korunması bakımından önem arz eden çeşitli düzenlemeler bulunmaktadır. Bu düzenlemelerin en önemlisi “Hasta hakları Yönetmeliği” 'dir. HHY'de yer alan kişisel sağlık verilerinin korunmasına yönelik düzenlemeler arasında, md.5/f’de yer alan hastanın özel ve aile hayatının gizliliğinin korunmasına, md.16’da yer alan hasta kayıtlarını inceleme ve örnek alma hakkına, md.17’de yer alan kayıtların düzeltilmesini isteme hakkına , md.18-20’de yer alan hastaya kendi durumu hakkında bilgi verilmesine, md.21’de yer alan hastanın mahremiyetine saygı gösterilmesine ve md.23’de yer alan hasta bilgilerinin gizli tutulmasına ilişkin hükümler sayılabilir.
Belirttiğimiz bu düzenlemeler dışında da kişisel sağlık verilerinin korunmasına yönelik düzenlemeler vardır. Bu düzenlemelere 3359 sayılı Sağlık Hizmetleri Temel Kanunu md.3/f, 5258 sayılı Aile Hekimliği kanunu md.5/3, Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi , Tıbbi Deontoloji Nizamnamesi md.4, Türk Tabipler Birliği Hekimlik Meslek Etiği Kuralları md.9 hükümleri örnek verilebilir.