Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (Kurum) web sitesinde 24.04.2023 tarihinde 40 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan 2 tanesinin özetini sizlerle paylaşmaktayız.

1)Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması hakkında Kişisel Verileri Koruma Kurulunun 23/12/2022 tarihli ve 2022/1358 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı,
  • Siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • Söz konusu internet sitesinin şirkete ait olduğu ancak Türkiye’deki operasyonlarından başka bir şirketin sorumlu olduğu,
  • KVKK aydınlatma metnine sitede paylaşılan link aracılığı ile ulaşılabildiği ve bu metinde kişisel verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu,
  • Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğu olduğu, onay alınan bilgilerin yalnızca komisyon sözleşmesi kapsamında doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından kendi kabulleri ile siteye iletildiği,
  • İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin işlenmesinin veri sorumlusu açısından zaruri olduğu,
  • Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’da yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlemesi sebebiyle veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına,
  • Sitede çerezlerle işlenen kişisel veriler bakımından Kanun’un ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) ilgili hükümlerine uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin Kanun’un ve Tebliğ’in ilgili hükümlerine uygun biçimde düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

2) Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi hakkında Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/86 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu, 
  • Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle tarafından işe iade davası açıldığı ve aynı zamanda Kanun kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu, 
  • Şirket tarafından verilen cevabın yeterli olmadığı, işe başlanırken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, belgelerde yer alan açıklamaların muğlaklıklar içerdiği bu durumun Tebliğ’e aykırılık oluşturduğu, 
  • Şirketin yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği”ne de aykırı davrandığı, İş Kanunu’nu ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği, 
  • e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına sunulan: “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı, 
  • Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • İlgili kişinin iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı ve yine kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği, şirketin bu eylemden denetim esnasında haberdar olduğu,
  • İlgili kişinin gerek gizlilik ve Kanun’a dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, kendisinin işveren nezdinde, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilerine hukuka aykırı olarak erişilmesini engellemek; kişisel verilere, üçüncü kişiler tarafından erişilmesini ve paylaşılmasını da engelleyerek güvenli bir şekilde korunmasını sağlamak; kişisel verilerin üçüncü bir tarafla paylaşılması gereken süreçlerde gerek Kanun gerekse Kişisel Veri Koruma Politikası ile şirket tarafından belirlenen diğer ilke ve kararlara uyum hususunda azami özeni göstermek ve olağan iş akışı dışında değerlendirilebilecek şüpheli paylaşımları şirket içinde ilgili birimlere bildirmek hususunda görevlendirdiği kişi konumunda olduğu, 
  • İlgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği ve iş akdinin haklı nedenle feshedildiği, ilgili kişinin şirket aleyhine işe iade davası ikame ettiği,
  • Dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı, bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları,
  • Şirketlerinin mahrem bilgi ve sırları hakkında bilgi edinme olanağına sahip, bu bilgileri kendi veya rekabet gücü bulunan farklı bir firma adına ekonomik bir değer olarak kullanabilecek duruma gelen çalışanlarına getirilen gizlilik yükümlülüklerinin şirket iç düzenlemelerinde ve ikili sözleşmelerde yer aldığı,
  • Şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikasında, Bilgi ve Yazılım Alışverişi Politikasında, Kabul Edilebilir Kullanım Politikasında düzenlendiği, tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu,
  • Nitekim, Kurulun da şirket sunucularından kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmalara erişim sağlanmasında hukuka aykırılık görülmediğine dair kararlarının mevcut olduğu ve bunlarda; “şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan e-postaların kişisel içerik taşımayacağının” vurgulandığı,
  • Kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” veri işleme şartlarına dayalı olarak gerçekleştirildiği ve Kanun’un ilgili maddelerindeki şartları sağlayan bu işleme faaliyeti için açık rıza alınmasını gerektirir hallerin istisnası kapsamında kaldığı, kaldı ki elde edilen bulgu ve olası sonuçlarının da, işleme faaliyetinin şirketlerinin haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini ortaya koyduğu kanaatinde oldukları,
  • Şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin, hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak; güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve herhalde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği ve yine yukarıda bahsedilen muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği, bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı,
  • Ayrıca bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, Kurumsal Denetim Aktivite Raporunun Teknoloji birimi/unvanlı Bilgi Güvenliği Teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
  • Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’da yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
  • E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’da yer alan ’’işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma’’ ilkesine de aykırılık teşkil etmediği,
  • İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’da yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı

hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

Veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına,

E-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’a aykırılık barındırmadığı, bu kapsamda, ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.

Ayrıca Kurum’un web sitesinde 14.08.2023 tarihinde 2 adet yeni kurul karar özetleri yayınlanmıştır. Bu kararları sizlerle paylaşmaktayız.

1)Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti

İlgili kişinin şikayetinde özetle:

  • Veri sorumlusu olan sağlık kuruluşuna ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu,
  • Tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • Başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği,
  • Söz konusu görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği

belirtilerek internet sitesi üzerinden randevu taleplerinde kişisel verilerin işlenmesine dair süreç hakkında bilgi verilmiştir. Buna göre;

  • Kişilerin “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğini işaretlediklerinde telefon numaralarına bir doğrulama kodu geldiği ve bu kodun girişi ile işleme devam edilebildiği,
  • Kişilere gelen kısa mesajda internet sitesinde de ilan edilen aydınlatma metninin uzantısının görüntülendiği,
  • Randevu almak isteyen kişilerin “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel verilerinin kullanılmasına ve benimle iletişime geçilmesine onay veriyorum” kutucuğunu işaretlemelerinin kendi tercihlerine bırakıldığı ve bu kutucuk işaretlenmeksizin de ilerlenip randevu oluşturulabildiği,
  • Randevu sürecinde Kanun’da yer alan; “Bir sözleşmenin kurulması/ifasıyla ilgili olmak kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olması”, “Hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması” ve “Meşru menfaatler için veri işlemenin zorunlu olması” şartlarına dayanılarak kişisel verilerin işlenmekte olduğu,
  • İlgili kişiye sağlık hizmetinin verilmesine yönelik bir randevu oluşturulabilmesi ve randevu bilgilerinin kişiye gönderilebilmesi için kişinin adı, soyadı, T.C. kimlik numarası, doğum tarihi ve iletişim bilgilerinin bulunmasının şart olduğu ve diğer taraftan kalite denetimi ve hasta-hekim planlaması için de doğru randevunun oluşturulmasının işleyiş verimliliği için bir gereklilik olduğu,
  • Hastaneye dair duyurulardan randevu aşamasında haberdar olmak için talep edilen kişisel verilerin ise ad, soyad ve telefon numarasından ibaret olduğu, bu bilgilerin Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayalı olarak işlendiği,
  • Kişisel verilerin elde edilmesi sırasında Kanun’da açık rıza aranmadan işlenebilecek verilere ilişkin aydınlatma yükümlülüğünün ilgili kişiler talep etmese dahi yerine getirilmekte olduğu,
  • Kişisel verilerin işlenmesinde temel ilkelere uygun davranıldığı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İhbarın gerçekleştiği tarih itibariyle kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun uyarınca hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
  • Ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’da yer alan açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun Kanun uyarınca hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği dikkate alındığında,
  • Veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına,
  • Randevu başvuru formunun altında yer alan hem aydınlatma metninin okunduğu hem de kişisel verilerin işlenmesine onay verildiğini belirten ifade çıkarılarak yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu tarafından açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

2) Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Kararı

İlgili kişinin şikayetinde özetle:

  • Hastalara imzalatılan onam formlarıyla hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği,
  • Hastalara ait sağlık verilerinin ve görüntü kayıtlarının, Kanun uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği ve sağlık kuruluşlarının kendilerine başvuran hastalara ait kişisel verileri tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde sadece sağlık hizmeti sunma amacıyla işleyebileceği ve Kanun’a dayanan ölçülü ve zorunlu hallerle sınırlı olarak üçüncü kişilere/kurumlara iletebileceği,
  • Özel Hastaneler Yönetmeliği uyarınca sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının Kanun uyarınca hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı,
  • Özel hastanenin bu onam ile açık rıza vermeyi dayattığı belirtilerek gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunması özeti:

  • Özel Hastaneler Yönetmeliği uyarınca özel hastanelerin tanıtım ve bilgilendirme yapmasının tamamen yasaklanmadığı, sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmalarının mümkün olduğu,
  • Şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı,
  • Bu itibarla gerçekleştirilen işlemlerde özel hastanelerin reklam, tanıtım kurallarına ilişkin herhangi bir aykırılığın söz konusu olmadığı,
  • Kanun uyarınca özel nitelikli kişisel verilerin ilgili kişilerin açık rızaları alınmak koşuluyla işlenebileceğinin düzenlendiği, açık rıza formlarının imzalatılmasının hastalara dayatıldığı ileri sürülse de bu bilgilendirme faaliyetlerine katılım veyahut rıza belgelerini imzalamaları konusunda hastaların iradelerini sakatlayıcı nitelikte herhangi bir tutumun sergilenmediği,
  • Bahsi geçen verilerin sağlık verileri olmadığı, sağlık hizmetinin verilmesi nedeniyle elde edilen hastalara ait diğer özel bilgiler olduğu,
  • Bu verilerin sağlık verisi olduğu kabulü halinde dahi verilerin Kanun ile müsaade edilen haller dışında açıklanmasının yasaklandığı Kanun uyarınca ancak kişilerin açık rızaları alınarak verilerin işlenmesi ve aktarılmasının mümkün olduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağının düzenlendiği,
  • Veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı,
  • Veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı,
  • Bu bakımdan, veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması, bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacıyla hastaların açık rızaları doğrultusunda video çekimlerinin yapıldığı belirtilmiş olsa da somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği,
  • Reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca yasak dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin herhangi bir dayanağının bulunmadığı,
  • Bu doğrultuda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,
  • Söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’a ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Stj. Av. Cemre Zeynep EROĞUZ – Stj. Hatice Sena KAHYA

TARLAN AVUKATLIK BÜROSU

                                                                   AV. AYLİN TARLAN

Leave a comment