“Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar" hakkında Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Karar Özeti
Karar Tarihi | : | 11/05/2023 |
Karar No | : | 2023/787 |
Konu Özeti | : | Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar |
Kuruma intikal eden ihbarda özetle;
- Hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği,
- Ancak bu açık rızanın gerek içerik gerekse hizmet ettiği ilişki biçimi yönünden kişisel verilerin korunmasına dair mevzuata, tıp etiği değerlerine ve özel hastaneler için belirlenmiş reklam ve tanıtım sınırlamalarına dair birçok aykırılığı içinde barındırdığı,
- Hastalara ait sağlık verilerin ve görüntü kayıtlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği,
- Sağlık kuruluşlarının kendilerine başvuran hastalara ait kişisel verileri tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kalmak koşuluyla sadece sağlık hizmeti sunma amacıyla işleyebileceği ve Kanun’a dayanan ölçülü ve zorunlu hallerle sınırlı olarak üçüncü kişilere/kurumlara iletebileceği,
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı,
- Hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceği, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı
belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinden anlaşıldığı üzere özel hastanelerin tanıtım ve bilgilendirme yapmasının tamamen yasaklanmadığı, sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmalarının mümkün olduğu,
- Şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı,
- Bu itibarla gerçekleştirilen işlemlerde özel hastanelerin reklam, tanıtım kurallarına ilişkin herhangi bir aykırılığın söz konusu olmadığı,
- Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin, 6’ncı maddesinin ikinci fıkrasında ise özel nitelikli kişisel verilerin ilgili kişilerin açık rızaları alınmak koşuluyla işlenebileceğinin düzenlendiği, açık rıza formlarının imzalatılmasının hastalara dayatıldığı ileri sürülse de bu bilgilendirme faaliyetlerine katılım veyahut rıza belgelerini imzalamaları konusunda hastaların iradelerini sakatlayıcı nitelikte herhangi bir tutumun sergilenmediği,
- Hasta Hakları Yönetmeliği’nin 23’üncü maddesine istinaden gerçekleştirilen işlemlerin hasta hakkı ihlali olduğu iddia edilse de madde hükmünde bahsi geçen verilerin sağlık verileri olmadığı, sağlık hizmetinin verilmesi nedeniyle elde edilen hastalara ait diğer özel bilgiler olduğu,
- Bu verilerin sağlık verisi olduğu kabulü halinde dahi verilerin Kanun ile müsaade edilen haller dışında açıklanmasının yasaklandığı, 6698 sayılı Kanun’un 6’ncı maddesinin ikinci fıkrası ve 8’inci maddeleri uyarınca kişilerin açık rızaları alınarak verilerin işlenmesi ve aktarılmasının mümkün olduğu
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı kararı ile;
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükmü yer almakta olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin 1’inci fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak sayıldığı, anılan maddenin 2’nci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte 3’üncü fıkrada da “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne yer verildiği, Kanun’un 6’ncı maddesine göre somut olaya konu olan tanıtım yapılması amacıyla sağlık verilerinin işlenmesinin yalnızca ilgili kişilerin açık rızası ile mümkün olacağı,
- Somut olayda, veri sorumlusu tarafından “Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında Aydınlatılmış Onam Formu” kapsamında hastalardan açık rızaları talep edilmekte olup ilgili onam formunda pazarlama, reklam ve tanıtım süreçlerinin yürütülmesi kapsamında gerçekleştirilecek fotoğraf/video çekimlerinin kayıt altına alınacağı ve hizmet alınan, iş birliği yapılan veya anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın organları ile sosyal medya platformlarına aktarılabileceğinin belirtildiği,
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin 1’inci fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlandığı, bu anlamda açık rızanın; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması olmak üzere üç unsuru bulunmakta olup açık rızanın Kanun kapsamında geçerli bir işleme şartı olarak nitelendirilebilmesi için bu unsurları taşıması gerektiği,
- Öte yandan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (a) ve (c) bentlerinde kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma ve belirli, açık ve meşru amaçlar için işlenme ilkelerine uyulmasının zorunlu olduğunun düzenlendiği, bu çerçevede hukuka ve dürüstlük kuralına uygun olma ilkesinin; kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesini gerektirdiği, hukuka uygunluk kavramı ile genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uyumlu olunmasının amaçlandığı, bununla birlikte Madde 29 Veri Koruma Çalışma Grubu’nun amaçla sınırlı olma ilkesine ilişkin 03/2013 tarihli görüşünde; belirli, açık ve meşru amaçlar için işlenme ilkesi kapsamında bir amacın meşru olmasının, en geniş anlamda amaçların hukuki düzenlemelere uygun olması gerektiği anlamına geldiği, diğer bir ifadeyle bir işleme şartının mevcut olması ile birlikte diğer hukuk kurallarına da uyum sağlanmasının gerektiği, bu durumda kişisel verilerin işlenmesi, sektöre özgü bir düzenleme kapsamında ihlale yol açıyorsa işleme faaliyetinin hukuka uygun olduğunun söylenemeyeceği,
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan ;“Özel hastaneler; tıbbî deontoloji ve meslekî etik kurallarına aykırı şekilde, insanları yanıltan, yanlış yönlendiren ve talep yaratmaya yönelik, ruhsatında yazılı kabul ve tedavi ettiği uzmanlık dallarından başka hastaları kabul ve tedavi ettiği intibaını uyandıran, diğer hastaneler aleyhine haksız rekabet yaratan davranışlarda bulunamazlar ve bu mahiyette tanıtım yapamazlar. Özel hastaneler tarafından; sağlığı koruyucu ve geliştirici nitelikteki bilgilendirme ve tanıtımlar yapılabilir. Bilgilendirme ve tanıtım faaliyetleri kapsamında, yanıltıcı, abartılı, doğruluğu bilimsel olarak kanıtlanmamış bilgilere ve talep yaratmaya yönelik açıklamalara yer verilemez. Özel hastaneler; hizmet alanları ve sunacağı hizmetler ile açılış bilgileri ve benzeri konularda toplumu bilgilendirmek amacıyla tanıtım yapabilir ve ilan verebilir. Özel hastaneler tarafından oluşturulan internet sitelerinde; yer alan her türlü sağlık bilgisi, alanı ile ilgili bilgi ve tecrübeye sahip sağlık meslek mensupları tarafından verilmek zorundadır. Bu siteler aracılığıyla hiçbir şekilde tedavi edici sağlık hizmetine yönelik bilgiler verilemez. İnternet sayfalarında verilen bilginin, son güncelleme tarihi açıkça belirtilir.(…)” hükümlerinden anlaşılacağı üzere özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağının düzenlendiği,
- Söz konusu açık rıza kapsamında gerçekleştirilen ve veri sorumlusunun sosyal medya hesaplarından paylaşılan çekimler incelendiğinde genellikle hastalar tarafından yaşadıkları sağlık sorunu hakkında bilgi verildiği ve tedaviyi gerçekleştiren doktorun hastaya konulan tanı ve uygulanan tedavinin sonucu hakkında açıklamalarının yer aldığı, bu noktada ise “(…) Aydınlatılmış Onam Formu” ile pazarlama, reklam, tanıtım süreçlerinin yürütülmesi amacıyla kişisel verilerin işlenebilmesi için hastalardan açık rıza alındığının görüldüğü, bununla birlikte benzer bir konuda Reklam Kurulunun 20.08.2019 tarihli ve 2019/2602 dosya numaralı kararında özetle, bir özel hastanenin internet sitesinde yer alan tanıtımlarda hastanın yaşadığı sağlık sorununa ve doktorunun hasta hakkındaki açıklamalarına yer verilerek tedavinin başarılı bir şekilde sonuçlandığı yönündeki ifadeler vasıtasıyla sağlık kuruluşlarının mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetleri kapsamının aşıldığı ve reklam yapıldığı; bu tanıtımların kuruluşun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve diğer sağlık kuruluşları aleyhine haksız rekabete yol açıcı nitelikte olduğuna karar verildiği, bu doğrultuda sektöre özgü düzenlemeler kapsamında özel hastanelerin reklam yapma yasağı bulunmasına rağmen veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı,
- Diğer taraftan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (ç) bendinde genel ilkeler arasında sayılan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması anlamına geldiği, ölçülülük ilkesinin ise veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiği, bu kapsamda veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı,
- Bu bakımdan, veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması, bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacıyla hastaların açık rızaları doğrultusunda video çekimlerinin yapıldığı belirtilmiş olsa da söz konusu amaca ulaşabilmek için kişisel sağlık verilerinin işlenmesinin zorunlu olmadığı, zira herhangi bir kişisel veri işlenmeksizin yalnızca ilgili hastalıklar hakkında bilgilendirme yapılmasının mümkün olduğu, dolayısıyla ulaşılmak istenen amaç bakımından kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığı dikkate alındığında somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği
değerlendirmelerinden hareketle,
- Veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik Kanun’un 6’ncı maddesinin 2’nci fıkrası uyarınca ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin Kanun’un 6’ncı maddesi kapsamında herhangi bir dayanağının bulunmadığı, bu doğrultuda Kanun’un 12’nci maddesinin 1’inci fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendi gereğince 250.000 TL idari para cezası uygulanmasına,
- Kanun’un 15’inci maddesinin 7’nci fıkrası doğrultusunda söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.