I. KARAR ÖZETLERİ

1. 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti:

Özel Bir Sağlık Kuruluşunun Sunulan Sağlık Hizmetin Alınmasını Açık Rıza Şartına Bağlanması Hakkında

Kişisel verileri Koruma Kurumu'na ("Kurum") iletilen ihbar dilekçesinde özetle; veri sorumlusu olan sağlık kuruluşuna ait internet sayfasında, randevu almak için form doldurulması esnasında, sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere, başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, bu kapsamda veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.

Kurul tarafından yapılan değerlendirmede;

  1. Randevu alınırken açık rıza verilmesine ilişkin onay kutucuğunun işaretlenmediği durumlarda "ileri" butonunun çalışmadığı,
  2. Sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı,
  3. "Belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür iradeyle açıklanma" şartlarını taşıması gereken açık rızanın ilgili kişiler bakımından bu niteliklerini kaybettiği

dikkate alınarak bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 4'üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği değerlendirmelerinden hareketle;

  1. İlgili kişilerden açık rıza alınmaksızın randevu işlemlerinin tamamlanamaması nedeniyle açık rızanın unsurlarından "özgür irade ile verilme" unsurunun sakatlandığı, bu durumun genel ilkelerden olan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
  2. Ayrıca veri sorumlusunun sunacağı hizmet kapsamında işlemesi gereken kişisel veriler için açık rıza dışındaki işleme şartlarına dayanabilecekken açık rıza şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde ve bu durumun da hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edeceği gerekçesiyle,

Veri sorumlusu hakkında 300.000 Türk lirası idari para cezası uygulanmasına karar verilmiştir. Ayrıca, randevu başvuru formunda yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

2. 11/05/2023 tarihli ve 2023/787 sayılı Karar Özeti:

Bir Hastanenin Reklam ve Tanıtım Faaliyetleri Kapsamında Sağlık Verileri de Dahil Kişisel Verilerin İşlenmesine İlişkin Hastalardan Açık Rıza Alınması Hakkında

Kuruma iletilen ihbarda özetle; hastalara imzalatılan onam formlarında hastaya ait görüntülerin veri sorumlusu Hastane tarafından medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği, veri sorumlusunun bağlı olduğu özel mevzuatta sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı ifade edilmiştir. Kurul tarafından yapılan değerlendirmede;

  1. Hukuka ve dürüstlük kuralına uygun olma ilkesinin; kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesini gerektirdiği,
  2. Bu durumda kişisel verilerin işlenmesi, sektöre özgü bir düzenleme kapsamında ihlale yol açıyorsa işleme faaliyetinin hukuka uygun olduğunun söylenemeyeceği,
  3. Benzer bir konuda Reklam Kurulunun 20.08.2019 tarih ve 2019/2602 numaralı kararında, bir hastanenin yaptığı tanıtımlarda hastanın sağlık sorununa ve doktorunun hasta hakkındaki açıklamalarına yer verilerek tedavinin başarılı sonuçlandığı yönündeki ifadelerinde sağlık kuruluşlarının mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetleri kapsamının aşıldığı ve reklam yapıldığı; bu tanıtımların kuruluşun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve diğer sağlık kuruluşları aleyhine haksız rekabete yol açıcı nitelikte olduğuna karar verildiği,
  4. Özel Hastaneler Yönetmeliği'nin 60'ıncı maddesine göre özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağı, Aydınlatılmış Onam Formu" ile pazarlama, reklam, tanıtım süreçlerinin yürütülmesi amacıyla kişisel verilerin işlenebilmesi için hastalardan açık rıza alındığının görüldüğü,
  5. Bu doğrultuda sektöre özgü düzenlemeler kapsamında özel hastanelerin reklam yapma yasağı bulunmasına rağmen veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı, diğer taraftan ölçülülük ilkesinin ise veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği değerlendirmelerinden hareketle Kurul,

Özel nitelikli kişisel veri işleme faaliyeti açısından ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu gerekçesiyle veri sorumlusu hakkında 250.000 Türk lirası idari para cezası uygulanmasına, söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, bugün kadar işlenen ve muhafaza edilen kişisel verilerin imha edilmesi, kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesi hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

II. KARARLAR KAPSAMINDA DİKKAT EDİLMESİ GEREKEN HUSUSLAR

Kurul'un vermiş olduğu bu kararlar neticesinde;

  1. Veri sorumlusu tarafından sunulacak hizmetin ilgili kişinin açık rıza vermesi şartına bağlı olduğu durumlarda, açık rızanın unsurlarından olan "özgür iradeyle açıklanma" şartı sağlanmamış olacaktır. Bu durum, Kanun'un 4'üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edecektir.
  2. Veri sorumlusu tarafından sunulacak hizmet kapsamında işlenmesi gerekli olan kişisel verilerin, Kanun'da sayılan diğer işleme şartlarından birine dayanılarak işlenebilmesinin mümkün olduğu hallerde, açık rıza şartına dayanılarak veri işleme faaliyeti yapılması aldatıcı ve hakkın kötüye kullanımı niteliğinde olduğundan Kanun'un 4'üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edecektir.
  3. Genel ilkeler arasında yer alan hukuka ve dürüstlük kuralına uygun olma ilkesi, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesini gerektirmektedir. Bu kapsamda veri işleme faaliyeti, Kanun'da yer alan işleme şartlarından birine dayansa bile, diğer hukuk kuralları uyarınca getirilen ilkelere de uyumlu olmalıdır. Veri işleme faaliyetinin yürütüldüğü sektöre özgü bir düzenleme bulunuyorsa, bu düzenleme kapsamında ihlale yol açıyorsa işleme faaliyetinin hukuka uygun olduğu söylenemeyecektir.
  4. Veri sorumlusunun, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında, amacı çerçevesinde ölçülülük ilkesi bağlamında ilgili kişiden minimum düzeyde bilgi talep etmesi gerekmektedir. İlgili kişiden açık rıza alınsa bile, bu açık rıza aşırı miktarda veri toplama faaliyeti yapılmasını meşrulaştıramayacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.