SGK adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olacak ve veri gizliliğinin sağlanması amacıyla kurum ve Kişisel Verileri Koruma Kurulu (KVKK) tarafından belirlenen önlemlere uymakla yükümlü olacak. 

Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları, öğrendikleri bu verileri başkasına açıklayamayacak ve işleme amacı dışında kullanamayacak. Bu yükümlülük, söz konusu kişilerin görevden ayrılmalarından sonra da devam edecek.

SGK tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında Türk Ceza Kanunu'nun ilgili maddeleri uyarınca suç duyurusunda bulunulacak.

SGK, kişinin kişisel verileri ile kişisel sağlık verilerini, "kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere", "mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere", "müvekkili tarafından verilen özel vekaletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına" aktarabilecek veya gerekçesini açıklayarak veri taleplerini reddedebilecek.

Ancak  5018 sayılı "Kamu Mali Yönetimi ve Kontrol Kanunu"nun ekindeki ilgili cetvellerde yer alan kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasının, ilgili mevzuatında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları kişisel sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğinde olan veriler aktarılabilecek.

Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamayacak, çoğaltamayacak, üçüncü kişilere veremeyecek, satamayacak veya devredemeyecek.

Kişisel verilerin korunması hususuyla ilgili hükümlere aykırı hareket edenler hakkında 6698 sayılı Kanun'un 18'inci maddesi hükümleri uygulanacak ve durum Kişisel Verileri Koruma Kurumu'na (KVKK) bildirilecek.