Bir Eğitim Kurumunda Kamera Vasıtasıyla Görüntü ve Ses Kaydı Alınması KVKK’ ya Aykırılık Oluşturur Mu? Bir Eğitim Kurumunda Kamera Vasıtasıyla Görüntü ve Ses Kaydı Alınması KVKK’ ya Aykırılık Oluşturur Mu?

Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Bugünkü yazımıza konu olan kurul kararında; Sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir. Kararın detaylarına bakacak olursak;

Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti

Karar Tarihi : 02/05/2023
Karar No : 2023/692
Konu Özeti : Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması

Kuruma iletilen ihbar dilekçesinde özetle; sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup alınan cevabi yazıda özetle;

  • Başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği,
  • Söz konusu görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği

belirtilerek internet sitesi üzerinden randevu taleplerinde kişisel verilerin işlenmesine dair süreç hakkında bilgi verilmiştir. Buna göre;

  • İnternet sitesinde üç farklı alandan randevu alınabildiği ve randevu almak isteyen kişilerin ad ve soyadlarını, T.C. kimlik numaralarını, doğum tarihlerini ve cep telefonu numaralarını ekrana girmeleri gerektiği,
  • Veri sorumlusu bir hastane işletmesi olduğu için hastanın kimlik bilgilerinin kontrolü ve aydınlatma metninin gönderileceği telefon numarasının tespiti adına randevu aşamasında talep edilen bu bilgilere ihtiyaç duyulduğu, içi boş olarak gelen kutucukları ise kişilerin rızalarına göre işaretleyebilecekleri,
  • Kişilerin “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğini işaretlediklerinde telefon numaralarına bir doğrulama kodu geldiği ve bu kodun girişi ile işleme devam edilebildiği,
  • Kişilere gelen kısa mesajda internet sitesinde de ilan edilen aydınlatma metninin uzantısının görüntülendiği,
  • Randevu almak isteyen kişilerin “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel verilerinin kullanılmasına ve benimle iletişime geçilmesine onay veriyorum” kutucuğunu işaretlemelerinin kendi tercihlerine bırakıldığı ve bu kutucuk işaretlenmeksizin de ilerlenip randevu oluşturulabildiği,
  • Randevu sürecinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan; “Bir sözleşmenin kurulması/ifasıyla ilgili olmak kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olması”, “Hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması” ve “Meşru menfaatler için veri işlemenin zorunlu olması” şartlarına dayanılarak kişisel verilerin işlenmekte olduğu,
  • İlgili kişiye sağlık hizmetinin verilmesine yönelik bir randevu oluşturulabilmesi ve randevu bilgilerinin kişiye gönderilebilmesi için kişinin adı, soyadı, T.C. kimlik numarası, doğum tarihi ve iletişim bilgilerinin bulunmasının şart olduğu ve diğer taraftan kalite denetimi ve hasta-hekim planlaması için de doğru randevunun oluşturulmasının işleyiş verimliliği için bir gereklilik olduğu,
  • Hastaneye dair duyurulardan randevu aşamasında haberdar olmak için talep edilen kişisel verilerin ise ad, soyad ve telefon numarasından ibaret olduğu, bu bilgilerin Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayalı olarak işlendiği,
  • Kişisel verilerin elde edilmesi sırasında Kanun’da açık rıza aranmadan işlenebilecek verilere ilişkin aydınlatma yükümlülüğünün ilgili kişiler talep etmese dahi yerine getirilmekte olduğu,
  • Kişisel verilerin işlenmesinde ayrıca Kanun’un 4’üncü maddesinde yer verilen temel ilkelere uygun davranıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Kararı ile;

  • İhbar ekinde gönderilen ekran görüntüleri incelendiğinde, veri sorumlusuna ait internet sitesinde randevu amacıyla doldurulan form sayfasında kişilere ait ad, soyad, T.C. kimlik numarası, doğum tarihi ve cep telefonu bilgileri talep edilmekle birlikte aynı sayfanın altında “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun yer aldığı, form bilgilerini içeren tablonun yeşil, kutucuğun ise (işaretlenmediği an itibariyle) kırmızı renkli olmasından hata uyarısının verilmiş olduğu ve işaretlenmediği sürece “ileri” butonunun çalışmadığının anlaşıldığı,
  • İddianın doğruluğunu teyit etmek amacıyla bahse konu sayfa ziyaret edildiğinde ihbar dilekçesinden farklı olarak, randevu formunun altında iki kutucuk bulunduğu ve bunlardan birinde “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” kutucuğunun, diğerinde ise “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” kutucuğunun yer aldığı,
  • İhbar dilekçesindeki görüntü ile Kurul incelemesinin başlatılması arasında geçen süre içerisinde veri sorumlusunca bahse konu sayfada düzenleme yapıldığının anlaşıldığı, bu kapsamda duyurulardan haberdar olmaya ilişkin tercihin zorunlu olmaktan çıkarıldığı, ayrıca kişisel verilerin işlenmesine dair bir açık rıza beyanı kutucuğunun ilave edildiği ve benzer bir durumun şikâyet bildirimi sayfası ile sitenin mobil versiyonunda da geçerli olduğu,
  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmakta olduğu ve bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konması gerektiği, diğer bir deyişle açık rıza beyanının genel nitelikte olmayıp belirli bir konuya özgülenmiş ve o konu ile sınırlı olmasının gerektiği, açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, bununla birlikte açık rıza bir irade beyanı olduğundan kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden herhangi bir ürün ve/veya hizmetin sunumunun da ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamasının tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin öncelikle değerlendirilmesinin gerekli olduğu,
  • Diğer taraftan, Kanun’un 4’üncü maddesinde yer verilen genel ilkelere uyulmasının zorunlu olduğu, ihbar konusu olay kapsamında düşünüldüğünde de kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olarak kabul edilmesi gerektiği,
  • Veri sorumlusunca Kuruma iletilen savunmada; internet sitesinin randevu sayfasında kişilere ait verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c), (ç) ve (f) bentlerindeki işleme şartlarına dayandırıldığı ifade edilmekle birlikte (ihbar tarihi itibariyle) tanıtım amacıyla kişisel veri işlemenin Kanun’un aynı maddesinin (1) numaralı fıkrasında düzenlenen açık rıza şartına dayandırıldığı, ancak açık rıza işlevini gören onay kutucuğu işaretlenmeden randevu işleminin tamamlanmadığının görüldüğü, bu uygulamanın ise başvurudan sonra veri sorumlusunca düzeltilmiş olmakla beraber o tarihe kadar gerçekleştirilen randevu işlemlerinin bu minvalde yürütüldüğünün anlaşıldığı,
  • Bahsi geçen uygulamanın; ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu ortaya koyduğu, zira sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı, örnek olayda “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür iradeyle açıklanma” şartlarını taşıması gereken açık rızanın ilgili kişiler bakımından bu niteliklerini kaybettiği dikkate alınarak bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

  • İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
  • Ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’un 5’inci maddesinin 1 numaralı fıkrasında düzenlenen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,

  • Randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” ifadesinin ilgili kişiler tarafından aydınlatma metnine onay veriliyormuş izlenimi yarattığı dikkate alındığında söz konusu metinden “onay veriyorum” ifadesinin çıkarılarak aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilmesini teminen yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu tarafından açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Sonuç olarak; Kişisel Verileri Koruma Kurumu, İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği gerekçesiyle 300.000 TL idari para cezası uygulanmasına karar vermiştir.

Editör: ELİF KÖSEDAĞ