Loader
  • 2023 September 15
  • 7 dakika okuma süresi
  • Dinle

Kişisel Verileri Koruma Kurulu Yeni Kararlar Yayımladı

Kişisel Verileri Koruma Kurulu Yeni Kararlar Yayımladı

14.08.2023 tarihinde Kişisel Verileri Koruma Kurumu [“Kurum”] sitesinde yayımlanan Kişisel Verileri Koruma Kurulu [“Kurul”] kararları uyarınca, veri işleme işlemleri sırasında hukukun genel ilkelerinin, yani meşru ve ölçülü bir amaç taşıma zorunluluğunun ve dürüstlük kuralının öneminin altı çizildi. Kararlarda ayrıca Kişisel Verileri Koruma Kanunu’nun [“KVKK”] tanımladığı açık rızanın şartları irdelendi.

Açık Rıza Alınırken Dürüstlük Kuralına Göre Yorum Yapılmalıdır

Kurul tarafından verilen 02.05.2023 tarihli 2023/692 No’lu Karar, özel bir sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanmasına ve veri işleme sırasından KVKK’da sayılan genel ilkelerin ihlal edilmesine ilişkin.

Kurum, veri sorumlusu olan sağlık kuruluşuna ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğuna dair sunulan şikâyet üzerine inceleme yapmıştır.

Kurul kararında açık rızaya ilişkin kuralları tekrarlarken özetle, KVKK “Tanımlar” başlıklı md. 3/ f. 1-a uyarınca açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmakta olduğunu ve bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konması gerektiğini, bununla birlikte açık rıza bir irade beyanı olduğundan kişinin özgür bir şekilde rıza göstermesi gerektiğini açıklamıştır.

Ayrıca, açık rıza alınması sırasında KVKK md. 4’te yer verilen hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sayılan genel ilkelere uyulmasının zorunlu olduğu ifade edilmiştir.

Sonuç olarak bahsi geçen uygulamanın, ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu ortaya koyduğu, ayrıca açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı, bu durumun ayrıca KVKK md. 4’te yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği tespiti ile veri sorumlusuna 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar, açık rızanın KVKK düzenlemesine uygun şekilde özgür irade ile alınması gerektiğini göstermesi ve veri sorumlularının her bir veri işleme faaliyeti için KVKK’da sayılan genel ilkelere de uygun hareket etme zorunluluğunu tekrar etmesi bakımından önemlidir.

Veri İşleme Meşru ve Ölçülü Bir Amaç Taşımalıdır

Kurul’un 11.05.2023 tarihli ve 2023/787 No.’lu kararı ise bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almış olsa da sektörel düzenlemeler gereği sağlık verilerin işlenmesinin hukuka aykırılığına dairdir.

Kurul tarafından yapılan inceleme neticesinde; veri sorumlusu tarafından “Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında Aydınlatılmış Onam Formu” kapsamında hastalardan açık rızaları talep edildiği, ilgili onam formunda pazarlama, reklam ve tanıtım süreçlerinin yürütülmesi kapsamında gerçekleştirilecek fotoğraf/video çekimlerinin kayıt altına alınacağı ve hizmet alınan, iş birliği yapılan veya anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın organları ile sosyal medya platformlarına aktarılabileceğinin belirtildiği tespit edilmiştir.

KVKK “Genel İlkeler” başlıklı md. 4’te kişisel verilerin ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükmü yer almakta olup KVKK md. 4/f. 2- a ve c’de kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma ve belirli, açık ve meşru amaçlar için işlenme ilkelerine uyulmasının zorunlu olduğu, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesinin gerekeceği özel olarak ele alınmıştır.

Sonuç olarak, veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik KVKK md. 6/f. 2 fıkrası uyarınca ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca 27.03.2002 tarihli Resmî Gazete’de yayımlanan Özel Hastaneler Yönetmeliği md. 60’ta yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin KVKK md. 6 kapsamında herhangi bir dayanağının bulunmadığı, bu sebeple veri sorumlusuna 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar, açık rızanın alınmış olmasının tek başına yeterli olmadığını, veri işlemenin meşru ve ölçülü bir amaç taşıması gerektiğini ve veri sorumlusunun sadece KVKK’ya değil, diğer mevzuat hükümlerine de uygun veri işlemekle yükümlü olduğunu ve Kurul’un bu yönde bir hukuka uygunluk denetimi yaptığını göstermesi bakımından önemlidir.