İlgili Kişinin Borç Bilgisinin Ortağı Olduğu Şirketin Kurumsal Numaralarına Kısa Mesaj Olarak Gönderilmesi İlgili Kişinin Borç Bilgisinin Ortağı Olduğu Şirketin Kurumsal Numaralarına Kısa Mesaj Olarak Gönderilmesi

Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Bu kararlardan birini inceleyecek olursak;

“İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 29/06/2022 tarihli ve 2022/630 sayılı Karar Özeti

Karar Tarihi : 29/06/2022
Karar No : 2022/630
Konu Özeti : İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen kişisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı olarak paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl boyunca bu hesapta tutulduğu, doktor ile veri sorumlusu hastanenin gerçekleştirilen ameliyatları sosyal medya hesaplarında paylaşarak yeni müşteriler kazanmayı hedefledikleri, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırılmış olmakla birlikte veri sorumlusu hastane tarafından ilgili kişiye verilen cevapta ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiğinin ispat edilemediğinin belirtildiği iddialarına yer verilmiş ve kişisel verilerinin reklam ve pazarlama amaçlı işlenmesinde açık rızasının bulunmadığı belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu hastaneden savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • Öncelikle ilgili kişinin, kişisel verisi niteliğinde olduğunu iddia ettiği görüntülerin kişisel veri niteliği taşımadığı, zira kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması ve bu gerçek kişinin kimliğinin belirli ya da belirlenebilir nitelikte olması gerektiği, ancak şikâyete konu görüntü ile ilgili kişinin ilişkilendirilmesinin mümkün gözükmediği, söz konusu görüntünün yalnızca operasyon yapılan burundan ibaret olduğu, burun dışında herhangi bir belirleyici unsur olmadığı, kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı, bahse konu sosyal medya gönderisinde ilgili kişinin kimlik bilgilerinin, isim veya soy isminin etiketleme yöntemi ile sosyal medya hesabında paylaşılmadığı, dolayısıyla yalnızca bahse konu görüntüye bakılarak herhangi bir kişinin tespit edilemeyeceği, ayrıca söz konusu ameliyatın bir estetik ameliyatı olduğu göz önünde bulundurulduğunda yapılan tıbbi müdahalenin gösterilebilmesi amacıyla uygulanan tedaviden hemen sonra çekilen fotoğrafın ilgili kişiyi tanımlamadığı,
  • Öte yandan ilgili kişiye hastane bünyesinde uygulanan tıbbi tedavinin akabinde, hastane doktorlarından birisi tarafından ilgili kişinin bahse konu fotoğrafının çekildiği, ilgili kişinin başvuru dilekçesinin ekinde yer alan görsel dışında sistemlerinde ilgili kişinin bir görüntüsünün mevcut olmadığı, ilgili kişinin başvurusu üzerine ilgili görselin kaldırıldığı ve hastane bünyesinde çalışan bahse konu doktor tarafından da imha edildiği,
  • Özel Hastaneler Yönetmeliği’nin 48’inci maddesi hükmü uyarınca düzenlenen hasta dosyasında ilgili kişinin çeşitli kişisel verilerinin işlendiği ve bu verilerin hukuka ve dürüstlük kuralına uygun şekilde, güncel ve doğru olmak şartıyla, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ve yönetilmesi amaçları doğrultusunda belirlenmiş olan meşru amaçlarla sınırlı olarak ölçülülük ilkesine uygun şekilde, 6698 sayılı Kanun’un 5 ve 6’ncı maddelerinde belirtilen şartlar dahilinde hukuka uygun olarak işlendiği,
  • Bahse konu görselin, fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin açık rızası alınarak paylaşıldığı, hastane tarafından hem sözlü hem de yazılı olarak ilgili kişinin açık rızasının alındığı, bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren belgenin Kuruma sunulduğu, dolayısıyla ilgili kişinin açık rızasının bulunmadığı yönündeki iddiasının gerçeği yansıtmadığı,
  • Görüntünün paylaşım tarihinden iki yıl sonra ilgili kişinin, bahse konu fotoğrafı çeken doktora, fotoğrafının, kendisinin sosyal medya hesabından kaldırılması talebinde bulunarak açık rızasını geri alması üzerine söz konusu paylaşımın kaldırıldığı, 
  • İlgili kişinin bahsi geçen doktor tarafından ameliyat sonrasında düzenli olarak muayene edildiği, periyodik muayenelerde söz konusu paylaşımlar hakkında herhangi bir talebi bulunmayan ilgili kişinin tedavinin tamamlanması sonrasında itirazlarda bulunmasının kişisel fayda sağlayacağı umuduyla hareket ettiği anlamına geldiği ve ilgili kişi tarafından bahsi geçen doktora gönderilen ihtarnamede, fotoğraflarının sosyal medya platformlarından kaldırılması akabinde kendisine belli bir miktar manevi tazminat ödenmemesi durumunda yasal yollara başvurulacağının belirtilmesinin, Kurum tarafından kesilen idari para cezasından kendisinin faydalanabileceği düşüncesi taşıdığı anlamına geldiği, 
  • Taraflarına yapılan başvuru sonrasında ilgili kişinin talebinin yerine getirilmesi ve fotoğrafların tüm alanlardan kaldırılmasının ardından Kurula şikâyette bulunulmuş olmasının ilgili kişinin açıkça kötü niyetli olduğunu gösterdiği 

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/06/2022 tarih ve 2022/630 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ğ) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”  olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda veri sorumlusu tarafından şikâyete konu görüntünün ilgili kişiyi tanımlamadığı, yalnızca operasyon öncesi ve sonrası burun görselinin bulunduğu, ilgili kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı beyan edilmiş olmakla birlikte Kuruma intikal eden şikâyet dilekçesinin ekinde yer alan görüntüler incelendiğinde; ameliyat öncesi ve sonrasına ilişkin burun görselinin yer aldığı görüntüde ilgili kişinin gözlerinin görsel karakter kullanılmak suretiyle kapatıldığı, ancak görsel içeriğinin yalnızca burundan ibaret olmadığı, yüzün ilgili kişiyi tanımlayabilecek kaş, bıyık vb. bölümlerinin açıkça yer aldığı ve anonimleştirilmediği görüldüğünden bahsi geçen görsellerin ilgili kişinin kimliğini belirlenebilir kılabilme özelliğinde olduğu, yüzün açıkta kalan bölümlerinden görselde yer alan kişinin ilgili kişi olduğunun tespit edilebileceği, dolayısıyla ilgili kişiye ait kişisel veri niteliği taşıdığı,
  • Veri sorumlusu, bahse konu görüntünün fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin rızası alınarak paylaşıldığını, bu çerçevede hastane tarafından ilgili kişinin hem sözlü hem de yazılı olarak açık rızasının alındığını ve bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren muvafakatnamenin Kuruma sunulduğunu beyan etmiş olmakla birlikte bahse konu muvafakatname incelendiğinde; ilgili kişinin, kişisel verilerinin kullanılmasına açık rıza gösterdiği tarafın tedaviyi gerçekleştiren sağlık kuruluşu olduğunun görüldüğü ancak somut olayda ilgili kişinin ameliyat sırasında çekilen görsellerini sosyal medya hesabında paylaşanın hastanede çalışan bir doktor olduğu,
  • Bu doğrultuda ilgili kişinin kişisel verilerinin ameliyatının gerçekleştirildiği sağlık kuruluşu tarafından kullanılmasına rıza gösterdiği, ancak hastane doktorunun bu verileri kullanması yönünde bir rızasının bulunmadığı, bu nedenle fotoğrafları paylaşan doktor tarafından ilgili kişiye ait kişisel verilerin Kanun’da belirlenen işleme şartları sağlanmaksızın hukuka aykırı şekilde işlendiği,
  • Veri sorumlusunun, bahsi geçen doktora ilgili kişi tarafından gönderilen ihtarnamede maddi taleplerin yer aldığı ve ihtarnameden, ilgili kişinin Kurum tarafından kesilen idari para cezasından faydalanabileceği düşüncesinde olduğunun anlaşıldığı yönündeki iddiası veri sorumlusunun cevap yazısının ekinde yer alan belgelerden tevsik edilmiş olduğundan, veri sorumlusunun anılan iddialarına ilişkin olarak yargı yoluna başvurabileceği, 
  • Öte yandan, Kanun’un 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarih ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağının düzenlendiği, Türk Ceza Kanunu’nun 135, 136 ve 137’nci maddelerinde hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçuna ilişkin yaptırımların hükme bağlandığı ve böyle bir durumun varlığında kişisel verilere hangi yollarla ulaşıldığının tespiti ile bu kapsamda gerekli hukuksal işlemlerin tesisini teminen ilgili kişi tarafından konuya ilişkin yargı yoluna başvurulmasının mümkün olduğu 

değerlendirmelerinden hareketle;

  • İlgili kişinin, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında baygın olduğu sırada çekilen görsellerinin açık rızası alınmaksızın sosyal medya hesabında paylaşıldığı iddiasına ilişkin olarak, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı dikkate alındığında; Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı kanaatine varılması nedeniyle veri sorumlusu hastane hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine,
  • Kişisel verilerini rızası olmaksızın şahsi sosyal medya hesabında paylaşmak suretiyle işleyen doktor hakkında Türk Ceza Kanunu’nun ilgili madde hükümleri kapsamında gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurabileceği hususunda ilgili kişinin bilgilendirilmesine 

karar verilmiştir.

Sonuç olarak; Kişisel Verileri Koruma Kurumu, İlgili kişinin, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında baygın olduğu sırada çekilen görsellerinin açık rızası alınmaksızın sosyal medya hesabında paylaşıldığı iddiasına ilişkin olarak, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı gerekçesiyle veri sorumlusu hastaneye 100.000 TL idari para cezası uygulanmasına karar vermiştir. 

Editör: Elif Kosedag