Bakanlık bünyesinde faaliyet göstermekte olan sağlık hizmeti sunucularının Sağlık Bilgi Yönetim Sistemi (SBYS) alımlarında yol
göstermek, şartnamelerde ve yüklenici firma ile imzalanacak olan sözleşmelerde yer alması tavsiye edilen hükümleri içeren dokümanın "Kişisel Verilerin Korunması" isimli
20. başlığı altında dokuz adet madde bulunuyor:
20. KİŞİSEL VERİLERİN KORUNMASI
20.1. Anayasa’nın 20 nci maddesinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, kişisel verilerin korunmasına ilişkin hükümlerine azami düzeyde hassasiyet gösterilir.
20.2. Kişisel verilerin ve kişisel sağlık verilerinin işlenmesinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4 üncü maddesinde yer alan genel ilkelere; ayrıca kişisel verilerin işlenmesinde Kanun’un 5 inci maddesinde, kişisel sağlık verilerinin işlenmesinde ise Kanun’un 6 ncı maddesinde yer alan hükümlere riayet edilir.
20.3. Kişisel verilerin ve kişisel sağlık verilerinin aktarılmasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8 inci ve 9 uncu maddesinde yer alan hükümlere riayet edilir.
20.4. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin birinci fıkrası uyarınca veri sorumlusu (İdare); verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
20.5. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin ikinci fıkrası uyarınca veri sorumlusu (İdare), kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişiler (yüklenici) ile birlikte müştereken sorumludur.
20.6. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin üçüncü fıkrası uyarınca veri sorumlusu (İdare), kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısı ile bu Kanun hükümlerine uyumluluğun sağlanıp sağlanmadığı hususunda veri sorumlusu (İdare) veri işleyeni (yüklenici) denetleyebilir.
20.7. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin dördüncü fıkrası uyarınca veri sorumlusu (İdare) ile veri işleyen (yüklenici), öğrendiği kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
20.8. Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
20.9. 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine uygunsuzluk nedeniyle Kişisel Verileri Koruma Kurulu tarafından verilecek idari para cezaları ile ilgili kişiler tarafından açılacak davalarda hükmedilecek maddi ve manevi tazminat davaları, kusurlu olması hâlinde veri işleyen (yüklenici) tarafından ödenir.