Bultenler

KİŞİSEL VERİLERİ KORUMA KURULUNUN YENİ YAYINLANAN KARAR ÖZETLERİ

1) Sağlık Hizmetinden Faydalanabilmek İçin Zorunlu Tutulan Veri İşleme İzni Nedeniyle Özel Sağlık Kuruluşu Hakkında 300.000 TL İdari Para Cezası

Konu, 02/05/2023 tarihinde Kişisel Verileri Koruma Kurulu tarafından karara bağlanmıştır.

Şikayete konu olay; sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı belirtilerek şikayet yolu ile konu Kişisel Verileri Koruma Kurulu’na taşınmıştır.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup alınan cevabi yazıda;

  • Başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği,
  • Söz konusu görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği

belirtilerek internet sitesi üzerinden randevu taleplerinde kişisel verilerin işlenmesine dair süreç hakkında bilgi verilmiştir. Söz konusu sürece göre;

  • İnternet sitesinde üç farklı alandan randevu alınabildiği ve randevu almak isteyen kişilerin ad ve soyadlarını, T.C. kimlik numaralarını, doğum tarihlerini ve cep telefonu numaralarını ekrana girmeleri gerektiği,
  • Veri sorumlusu bir hastane işletmesi olduğu için hastanın kimlik bilgilerinin kontrolü ve aydınlatma metninin gönderileceği telefon numarasının tespiti adına randevu aşamasında talep edilen bu bilgilere ihtiyaç duyulduğu, içi boş olarak gelen kutucukları ise kişilerin rızalarına göre işaretleyebilecekleri,
  • Kişilerin “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğini işaretlediklerinde telefon numaralarına bir doğrulama kodu geldiği ve bu kodun girişi ile işleme devam edilebildiği,
  • Hastaneye dair duyurulardan randevu aşamasında haberdar olmak için talep edilen kişisel verilerin ise ad, soyad ve telefon numarasından ibaret olduğu, bu bilgilerin Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayalı olarak işlendiği,
  • Kişisel verilerin elde edilmesi sırasında Kanun’da açık rıza aranmadan işlenebilecek verilere ilişkin aydınlatma yükümlülüğünün ilgili kişiler talep etmese dahi yerine getirilmekte olduğu,
  • Kişisel verilerin işlenmesinde ayrıca Kanun’un 4’üncü maddesinde yer verilen temel ilkelere uygun davranıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Kararı ile;

  • İhbar ekinde gönderilen ekran görüntüleri incelendiğinde, veri sorumlusuna ait internet sitesinde randevu amacıyla doldurulan form sayfasında kişilere ait ad, soyad, T.C. kimlik numarası, doğum tarihi ve cep telefonu bilgileri talep edilmekle birlikte aynı sayfanın altında “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun yer aldığı, form bilgilerini içeren tablonun yeşil, kutucuğun ise (işaretlenmediği an itibariyle) kırmızı renkli olmasından hata uyarısının verilmiş olduğu ve işaretlenmediği sürece “ileri” butonunun çalışmadığının anlaşıldığı,
  • İddianın doğruluğunu teyit etmek amacıyla bahse konu sayfa ziyaret edildiğinde ihbar dilekçesinden farklı olarak, randevu formunun altında iki kutucuk bulunduğu ve bunlardan birinde “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” kutucuğunun, diğerinde ise “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” kutucuğunun yer aldığı,
  • İhbar dilekçesindeki görüntü ile Kurul incelemesinin başlatılması arasında geçen süre içerisinde veri sorumlusunca bahse konu sayfada düzenleme yapıldığının anlaşıldığı, bu kapsamda duyurulardan haberdar olmaya ilişkin tercihin zorunlu olmaktan çıkarıldığı,

değerlendirmelerinden hareketle,

  • İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
  • Ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’un 5’inci maddesinin 1 numaralı fıkrasında düzenlenen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına, karar verilmiştir.

Söz konusu karar özetinin tam metnine buradan ulaşabilirsiniz.

 

2) Bir Hastanenin Reklam Ve Tanıtım Faaliyetleri Kapsamında Gerçekleştirdiği Veri İşleme Faliyeti Nedeniyle 250.000 TL İdari Para Cezası

Konu, 11/05/2023 tarihinde Kişisel Verileri Koruma Kurulu tarafından karara bağlanmıştır.

İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na intikal ettirilen şikâyette özetle;

  • Hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği,
  • Ancak bu açık rızanın gerek içerik gerekse hizmet ettiği ilişki biçimi yönünden kişisel verilerin korunmasına dair mevzuata, tıp etiği değerlerine ve özel hastaneler için belirlenmiş reklam ve tanıtım sınırlamalarına dair birçok aykırılığı içinde barındırdığı,
  • Hastalara ait sağlık verilerin ve görüntü kayıtlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği,
  • Sağlık kuruluşlarının kendilerine başvuran hastalara ait kişisel verileri tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kalmak koşuluyla sadece sağlık hizmeti sunma amacıyla işleyebileceği ve Kanun’a dayanan ölçülü ve zorunlu hallerle sınırlı olarak üçüncü kişilere/kurumlara iletebileceği,
  • Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı,
  • Hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceği, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı

belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup alınan cevabi yazıda;

  • Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinden anlaşıldığı üzere özel hastanelerin tanıtım ve bilgilendirme yapmasının tamamen yasaklanmadığı, sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmalarının mümkün olduğu,
  • Şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması sebebiyle, hastalara aydınlatma yapılarak görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı,
  • Bu itibarla gerçekleştirilen işlemlerde özel hastanelerin reklam, tanıtım kurallarına ilişkin herhangi bir aykırılığın söz konusu olmadığı,

kısaca ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı kararı ile;

  • Bir özel hastanenin internet sitesinde yer alan tanıtımlarda hastanın yaşadığı sağlık sorununa ve doktorunun hasta hakkındaki açıklamalarına yer verilerek tedavinin başarılı bir şekilde sonuçlandığı yönündeki ifadeler vasıtasıyla sağlık kuruluşlarının mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetleri kapsamının aşıldığı ve reklam yapıldığı; özel hastanelerin reklam yapma yasağı bulunmasına rağmen veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı,
  • Kanun’un 4’üncü maddesinin 2’nci fıkrasının (ç) bendinde genel ilkeler arasında sayılan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması anlamına geldiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı,
  • Veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması, bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacıyla hastaların açık rızaları doğrultusunda video çekimlerinin yapıldığı belirtilmiş olsa da kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığı dikkate alındığında somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

  • Veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik Kanun’un 6’ncı maddesinin 2’nci fıkrası uyarınca ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin Kanun’un 6’ncı maddesi kapsamında herhangi bir dayanağının bulunmadığı, bu doğrultuda Kanun’un 12’nci maddesinin 1’inci fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendi gereğince 250.000 TL idari para cezası uygulanmasına,
  • Kanun’un 15’inci maddesinin 7’nci fıkrası doğrultusunda söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

Söz konusu karar özetinin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr