Karara Konu Olay
Kuruma intikal eden olayda başvurucu özetle, “hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği, hastalara ait sağlık verileri ve görüntü kayıtlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği, Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı, hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceğini, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı” belirterek gereğinin yapılmasını talep etmiştir.
Veri Sorumlusu savunmasında özetle, “Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinin tanıtım yapılmasını tamamen yasaklamadığını ve sağlığı koruyucu bilgilendirilmelerin yapılabileceğini, şirketleri tarafından toplum nezdinde az bilinen hastalıklar hakkında toplum bilincinin oluşturma amacıyla hastalara aydınlatma yaparak ve açık rızaları alınarak söz konusu görüntülerin paylaşıldığı, hastaların rıza belgelerini imzalamaları aşamasında hastaların iradelerini sakatlayacak herhangi bir davranışın sergilenmediği, söz konusu verilerin sağlık verisi olmadığını” ifade etmiştir.
Uygulanan Mevzuat
Kurum, KVKK 4’üncü maddesine atıfta bulunarak kişisel verilerin ancak mevzuatta öngörülen usul ve esaslara uygun olarak işleneceğini; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmanın kişisel verilerin işlenmesinde zorunlu kriterler olduğunu, işlenen kişisel verilerin gerekli ve makul süre kadar muhafaza edilmesi gerektiğini, uyuşmazlık konusu verilerin özel nitelikte olan kişisel veriler olduğunu kabul ederek işbu verilerin işlenmesinin yalnızca kişilerin açık rızası ile mümkün olabileceğini ifade etmiştir.
Olay konusu onam formu incelendiğinde formda hastaların açık rızalarının talep edildiği, reklam ve tanıtım adına fotoğraf ve video çekimlerinin kayıt altına alınacağı ve sosyal medya programlarına aktarılabileceği tespit edilmiştir.
Kurum, Kanunun 4’üncü maddesinin 2’nci fıkrasının (a) ve (c) bentleri gereği kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olması ve belirli, açık ve meşru amaçlar içermesi gerektiğini vurgulamıştır. Ayrıca Kurum kişisel verinin işlenmesinin sektöre özgü düzenleme kapsamında ihlale yol açması halinde kişisel verinin işlenmesinin hukuka aykırı olduğunu ifade etmiştir.
Sonuç
Kurum tarafından Reklam Kurulunun somut olaydan farklı bir konu ile ilgili vermiş olduğu 20.08.2019 tarihli ve 2019/2602 dosya numaralı kararına atıfta bulunulmuş özel hastanenin tanıtımında yer alan hastaların sağlık sorunlarına ve tedavinin başarı ile sonuçlandığına ilişkin tanıtımlar ile mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetinin aşıldığı, bunun tanıtımdan çok ticari görünüm içerdiği ve talep yaratıcı olduğundan bahisle söz konusu veri işleme faaliyetinin hukuka aykırı olduğu ve meşru amaç taşımadığı değerlendirilmiştir.
Kanun’un 4’üncü maddesinin 2’nci fıkrasının (ç) bendinde düzenlenen işlenen kişisel verilerin sınırlı ve ölçülü olması ilkesine göre her ne kadar hastaların açık rızaları doğrultusunda fotoğraf ve video çekimleri yapılsa da kişisel veri işlemeden hastalıklar hakkında bilgilendirme yapılabilmesinin mümkün olmasından dolayı söz konusu amaca ilişkin kişisel sağlık verilerinin işlenmesinin zorunlu olmadığına, dolayısıyla kişisel veri işlenmesinin gerekli olmadığına, uyuşmazlık konusu veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiğine, işbu sebeple Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendi gereğince 250.000 TL idari para cezası uygulanmasına,
Ayrıca Kanun’un 15’inci maddesinin 7’nci fıkrası doğrultusunda kişisel verilerin işlenmesine son verilmesine, olay konusu güne kadar işlenen ve muhafaza altına alınan kişisel verilerin imha edilmesine, işbu verilerin üçüncü kişilere aktarımı söz konusu ise bu verilerin imha edilmesine yönelik üçüncü kişilere bildirim yapılmasına ve üçüncü kişiler tarafından yükümlülüğün yerine getirilerek Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.