“Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/01/2022 tarihli ve 2022/31 sayılı Karar Özeti
Karar Tarihi | : | 18/01/2022 |
Karar No | : | 2022/31 |
Konu Özeti | : | Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi |
İlgili kişinin Kuruma intikal eden şikâyetinde özetle;
- e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) 6’ncı maddesinin (1) numaralı fıkrasındaki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği,
- Öte yandan kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun) 5’inci maddesinin (1) numaralı fıkrası gereği ilgili kişinin açık rızasının alınmasının veya aynı maddenin (2) numaralı fıkrasında sayılan açık rızanın aranmadığı özel şartlardan birinin sağlanmasının gerektiği, ancak somut hadisede ne kendisinin açık rızasının alındığı ne de 6698 sayılı Kanun’da gösterilen özel şartların sağlandığı,
- 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunun belirtildiği ancak kişisel verilerinin e-posta adresine ileti gönderilmek suretiyle işlenmesinden ötürü bu hükmün ihlal edildiğinin ortada olduğu,
- Veri sorumlusu tarafından ilgili kişiye verilen cevapta 6563 sayılı ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında herhangi bir bilgiye yer verilmediğinden, kampanya ve reklamcılık faaliyetleri çerçevesinde ticari elektronik ileti gönderimine ilişkin yapılan savunmanın yerinde olmadığı
hususları ifade edilmiş ve 6698 sayılı Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine başvuru yapması sonucunda elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kayıt edildiği,
- Bu veri işleme faaliyetinin, 6698 sayılı Kanun’un 5’inci maddesi uyarınca, ilgili kişi ile hastane arasında akdedilen sözleşme sebebiyle “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına ve 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için (veri işlemenin) zorunlu olması” şartına dayalı olarak gerçekleştirildiği,
- İlgili kişinin e-posta adresinin HBYS ve hastaneler arası iletişim ortamı olan MEDULA yazılımı aracılığı ile Sosyal Güvenlik Kurumu (SGK) sistemlerine aktarıldığı,
- İlgili kişinin başvurusuna verilen yanıtta belirtildiği üzere, söz konusu e-posta gönderiminin birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığı ve sehven ilgili kişinin onayı dışında gerçekleştiği,
- Mevcut durumun bir daha tekrar etmemesi adına, ilgili kişinin e-posta adresinin, kendisinin talebi üzerine, ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığı ve ilgili kişiye bir daha e-posta gönderilmeyeceğinin taahhüt edildiği,
- İlgili personele uyarı yazısının verilmiş olmasının yanı sıra birtakım başka ek tedbirlerin de alındığı, örneğin artık hasta kaydı sırasında kişilerin HBYS kaydının tamamlanabilmesi ve aydınlatma yapılabilmesi adına, hasta kayıt işlemi yaptıran ilgili kişi alıcılara SMS gönderilmesi uygulamasına başlandığı, bahse konu SMS içeriğinde 6698 sayılı Kanun ile 6563 sayılı ETK kapsamında onay vermek isteyen ilgili kişiler için ayrı ayrı, iki adet tek kullanımlık onay kodunun yer almakta olduğu, bu kodların personele iletilmesi durumunda 6698 sayılı Kanun ve 6563 sayılı ETK kapsamında açık rıza ve onay alındığına dair HBYS üzerinde kayıt oluşturulduğu,
- Bununla birlikte, ilgili kişilerin hastaneye vermiş oldukları e-posta adresini doğrulamak üzere yeni bir sistemin ilerleyen süreçte kullanıma alınacağı, buna göre ilgili kişilerin vermiş oldukları e-posta adresini doğrulamak üzere kendilerine doğrulama linki içeren bir e-posta gönderileceği, bu linke tıklanmaması halinde ilgili kişinin e-posta adresinin HBYS kayıtlarına alınmayacağı,
- Tüm bunların dışında; veri sorumlusunun hastanelerini ziyaret eden hastalara ait kişisel verilerin işlenmesini detaylıca ele alan aydınlatma metninin daha kapsamlı hale getirilerek veri sorumlusunun internet sitesinde yayınlandığı, ilgili kişilerle reklam amaçlı iletişime geçilmesine olanak tanıyan Misafir İletişim Açık Rıza Beyanı belgesinin düzenlenerek ilgili kişilere sunulduğu, personel eğitimlerine devam edildiği ve eğitim içeriklerinin Kurulun güncel kararları doğrultusunda periyodik olarak güncellendiği, veri sorumlusuna bağlı hastaneler ve genel merkezde faaliyet gösteren Kişisel Verilerin Korunması ve Bilgi Güvenliği Kurulunun teşkil edildiği, bu Kurula seçilenler için özel bir Görevlendirme ve Taahhütname belgesi hazırlandığı,
- Kişisel Verileri İşleme ve İmha Politikası başta olmak üzere tüm politikaların yeni ihtiyaçlar doğrultusunda güncellendiği
belirtilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/01/2022 tarih ve 2022/31 sayılı Kararı ile;
- Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
- Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
- İlgili kişinin şikâyeti hakkında veri sorumlusu tarafından “İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine yapılan başvuru sırasında, hasta kaydı açılırken elde edildiği” bilgisinin verildiği,
- Bu durumun ise 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ile (ç) bendinde yer alan “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne istinaden gerçekleştirildiğinin ifade edildiği,
- Hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, 6698 sayılı Kanun ile birlikte diğer sair mevzuata da bir aykırılık teşkil etmediği, ancak somut hadisede ilgili kişinin iletişim bilgisinin, herhangi bir tıbbî bilginin kendisine veya yakınına iletilmesi için değil bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığı, ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticarî amaçlı olduğunun görüldüğü,
- 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin işlendikleri amaçla sınırlı, bağlantılı ve ölçülü şekilde işlenebileceğinin açıkça belirtildiği, veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesi hukuka uygun olsa da bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız bir şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğinin görüldüğü
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına
karar verilmiştir.