“Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında” Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Kararı
Genel

“Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında” Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Kararı

Bu bültenimizde, Kişisel Verileri Koruma Kurulu’nun 14 Ağustos 2023 tarihinde yayınladığı 11 Mayıs 2023 tarihli 2023/787 sayılı kararını kişisel verilerin işlenmesinde açık rızanın etkisini dikkate alarak inceleyeceğiz.

KURUM KARARINA KONU OLAYLAR ÖZETİ

Kişisel Verileri Koruma Kuruluna (“Kurul”) “Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza alınmasının hukuka aykırı olduğuna yönelik ihbar” yapılmıştır. İhbara göre bir özel hastanenin hastalara onaylattığı formda hastanın kendisine ait görüntü ve videoların hastanenin anlaşmalı olduğu medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair açık rıza istenmiştir. Söz konusu açık rızanın özgür iradeye dayalı olmadığı gibi Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığından bahisle ihbar dilekçesi Kurum’a sunulmuştur.

Bu kapsamda Kurul Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiştir. Veri sorumlusu kısaca iddai edilen tüm hususlara itiraz ederek şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığını belirtmişlerdir.

Bu kapsamda söz konusu açık rızada Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri ve özel hastaneler için belirlenen reklam ve tanıtım sınırlamalarına dair aykırılıklar olup olmadığı Kurulca değerlendirilmiştir.

 

AÇIK RIZA NEDİR? NE ZAMAN ALINIR?

Kişisel verileri Koruma Kanunu’nun yürürlüğe girmesiyle birlikte kişisel verilerin işlenmesi konusunda kilit bir rol oynayan ‘’Açık Rıza’’ kavramı kanunda yer edindiği haliyle ‘’belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’’ olarak tanımlanır. Bu çerçevede açık rıza kişinin sahip olduğu verinin veri sorumlusu veya veri işleyen tarafından işlenmesine özgür iradesi ile onay vermesidir.

Kanunun 3. Maddesi açık rızada bulunması gereken unsurları belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma olarak saymıştır. Açık rızanın geçerli olması için net bir şekilde hangi konuya dair istenildiğinin belirtilmesi gerekir. Konusu belli olmayan açık rızalar kanun kapsamında rıza olarak kabul edilmez. Kişi yalnızca rıza ile hangi verisinin işlendiğini değil, açık rıza verdikten sonra olacaklar için de bilgilendirmelidir. Burada verilen bilgi ‘’aydınlatma yükümlülüğü’’ çerçevesinde olacaktır. Bu unsurlar kişiye cebir, tehdit, hata ve hile gibi eylemler olmadan tamamen özgür bir şekilde onaylattırıldığında ise tüm unsurlar karşılanacaktır ve kanun kapsamında geçerli bir ‘’Açık Rıza’’ onayı alınmış olacaktır.

Bir veri işleme faaliyetine başlamadan önce açık rıza alınması gerekip gerekmediğinin üzerinde durulmalıdır. Eğer veri özel nitelikli kişisel veri ise bu noktada kişisel veri işleme faaliyetinin açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığına bakılır. Eğer bu şartlardan birine dayanmıyorsa açık rıza alınması gerekmektedir. Bu bağlamda açık rıza; bir veri işleme faaliyetini hukuka uygun hale getirecektir.

KURUL KARARI

Kurul aşağıdaki nedenlere dayanarak ilgili sağlık kuruluşunun kişisel verileri hukuka aykırı olarak işlediğine karar vermiştir.

 Kurul benzer olan 20/08/2019 tarihli ve 2019/2602 dosya numaralı kararı örnek göstererek hastaların yaşadıkları sağlık sorunlarını, yapılan tedaviyi ve doktorun tedavi sırasındaki tutumunu anlatan görüntülerin tanıtım faaliyetleri hukuka uygunluk kapsamını aştığını ve bu görüntülerin reklam olarak değerlendirilmesi gerektiğine karar vermiştir. Buna göre özel hastanelerin reklam yasağı olmasına rağmen ilgili sağlık kuruluşunun özel nitelikli sağlık verilerini reklam amaçlı işlediğine, görüntülerin ilgili sağlık kuruluşunun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve haksız rekabete yol açıcı nitelikle olduğuna karar vermiştir.

 Kurul ilgili kanunun 4.maddesi gereği kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve  ölçülü olması gerekirken ilgili sağlık kuruluşunun amaca bağlı veri toplanmasına rağmen açık rızanının varlığının aşırı miktarda veri toplanmasını meşrulaştırmayacağına, iddia edildiği gibi az bilinen hastalıklar hakkında toplum bilinci oluşturulması ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacına ulaşılması için bu şekilde paylaşımların zorunlu bir yol olmadığı dolayısıyla ölçülülük ilkesine aykırı olduğuna karar vermiştir.

Sonuç olarak kurul, Pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik KVKK’nun 6. maddesi 2. fıkrası gereğince ilgili kişilerin ‘açık rızası’ bulunsa da ikincil mevzuat kaspsamında özel hastanelerin reklam yasağı kapsamında bulunması nedeniyle bu şekilde tanıtım yapamayacağına, somut olayda ‘açık rızanın’ veri işleme şartı olarak ileri sürülemeyeceğine karar vermiştir.

Buna göre 6698 sayılı Kanun’un 12. maddesi 1. fıkrası a bendi kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirlerin almayan veri sorumlusu hakkında 6698 sayılı Kanun’un 18. maddesi 1. fıkrası b bendi gereğince 25,000 tl  ceza uygulanmasına karar vermiştir. Buna ek olarak 15. maddesinin 7. fıkrası doğrultusunda söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’un 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

HUKUKİ DEĞERLENDİRME

 Söz konusu ihbar ve hastanenin savunması yalnızca Kişisel Verilerin Korunması Kanunu değil ilgili diğer mevzuat hükümleri de göz önünde bulundurularak aydınlatılabilecektir. Özel Hastaneler Yönetmeliği 60. madde açık bir şekilde ‘’…tıbbi deontoloji ve mesleki etik kuralların aykırı şekilde, insanları yanıltan, yanlış yönlendiren, talep yaratmaya yönelik … tanıtım yapamazlar’’ demektedir. Olay incelendiğinde fotoğraf ve videoların hastalık hakkında bilgi verdiği ve tedavi sonucu hakkında açıklamalar yapıldığı değerlendirildiğinde net bir şekilde reklam ve tanıtım yapmak amacıyla hastalardan rıza alındığı görünüyor. KVKK kapsamında alınan bu rıza bu niteliğiyle Özel Hastaneler Yönetmeliğinin ilgili maddesine aykırılık oluşturmaktadır. Hal böyleyken, hastane kuruluşunu ticari bir oluşum niteliğine bürümektedir. Ek olarak hastane mevzuatın izin verdiği ölçüde sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmak amacında olduğu varsayılırsa dahi hastalardan bahsi geçen açık rızayı almadan ve kişisel verilerini bu şekilde kullanmadan da amaçlarına ulaşabilecekleri söylenebilir.

Her ne kadar ilk aşamada hastanenin açıklamaları “sağlığı koruyucu ve geliştirici nitelikle bilgilendirme” kapsamında değerlendirilebilir gibi görünse de mevzuattaki diğer düzenlemelerle birlikte değerlendirildiğinde özel hastanelerin talep yaratmaya yönelik reklam yapmalarının yasak olduğu açık bir şekilde görünmektedir. Söz konusu kararda, Kurum’un açık rıza veri sahibinin özgür iradesiyle alınmış olduğu durumlarda dahi ölçülülük ilkesi aşılması halinde veri işleme faaliyetinin hukuka uygun olmadığının tespiti; veri işleme faaliyetlerinde ilkelerin ne kadar önemli olduğunu bir kez daha hatırlatır nitelikle bir Kurum kararı olmuştur. doğmamaktadır.

Konuya ilişkin herhangi bir sorunuz olması halinde aşağıdaki iletişim bilgileri üzerinden bize ulaşabilirsiniz.

Selçuk Esenyel

Managing Partner

selcuk@esenyelpartners.com

Tel: +90 212 397 1991

Fax: +90 212 397 1992

Mob: +90 506 792 7690

Hande Ertuğrul Uyğun

Senior Associate

hande@esenyelpartners.com

Tel: +90 212 397 1991

Fax: +90 212 397 1992

Mob: +90 539 896 4682

Türker Yıldırım

Partner

turker@esenyelpartners.com

Tel: +90 212 397 1991

Fax: +90 212 397 1992

Mob: +90 505 650 4724