Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir.
Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1357 sayılı Kararını inceleyecek olursak;
“Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1357 sayılı Karar Özeti
Karar Tarihi : 23/12/2022 Karar No : 2022/1357 Konu Özeti : Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin iddialarının asılsız olduğu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amacıyla şikâyette bulunduğu,
- İlgili kişinin spor salonunda hizmet almak üzere üyelik sözleşmesi imzaladığı ve bu sözleşmede yer alan kişisel verileri dışında başka verisinin işlenmediği,
- Üyelik sözleşmesinin ilk sayfasında yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına, ilgili kişinin “Okudum, anladım, onaylıyorum” şeklinde imzalı onay verdiği ve bu suretle söz konusu verilerin işlenmesinin kendisi tarafından da kabul edilmiş olduğu,
- Spor salonu üyelerinin kendi talepleri olmadıkça boy ve kilo gibi verilerinin alınmadığı, nitekim sözleşmede “anılan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artışı veya sağlığının iyileştirilmesi gibi konularda herhangi bir yazılı veya sözlü taahhüdü bulunmamaktadır.” ibaresinin yer aldığı,
- Dolayısıyla veri sorumlusunun, üyelerin kilo ve boy gibi verilerini kaydetmediği, zira bu hususlarda bir yükümlülüğünün bulunmadığı, aksi bir durumun yalnızca üyenin talebi ve rızası ile mümkün olduğu ancak somut olayda ilgili kişiye ait bu nitelikte bir veri girişinin bulunmadığı
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun; (3) numaralı fıkrasında ise, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
- Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11’inci maddede sayılan diğer haklar konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
- Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
- İlgili kişinin şikayetinde, üyeliği kapsamında özel nitelikli kişisel verileri dahil olmak üzere veri sorumlusu tarafından işlenen diğer kişisel verilerine yönelik Kanun’un 10’uncu maddesi kapsamında aydınlatmada bulunulmadığı ve sağlık verileri ile biyometrik veriler için de açık rıza alınmadığını iddia ettiği, ilgili kişi tarafından şikâyete ek olarak üyelik sözleşmesinin bazı sayfalarının bir örneğinin de Kuruma sunulduğu, bu çerçevede şikâyete konu olaydaki sözleşme incelendiğinde, işlenen kişisel verilere ilişkin herhangi bir aydınlatmanın yer almadığının görüldüğü, bu çerçevede Kanun’un 10’uncu maddesinde yer verilen yükümlülüğün yerine getirilmesi amacıyla üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metninin veri sorumlusunca sunulması gerektiği,
- Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı,
- Veri sorumlusunun savunmasında beyan edildiği üzere, sözleşme metninde yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına onay verilmesinin ilgili kişi tarafından kişisel verilerinin işlenmesine açık rıza verildiği anlamına gelmediği, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğu, bununla birlikte ilgili kişilerin tercihlerinin metne yansıtılmasını teminen söz konusu seçenekle birlikte “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de üyelik sözleşmesinde sunulması gerektiği,
- Diğer yandan ilgili kişinin, yağ ve kilo performans ölçümleri, hastane ziyaret sıklığı, boy uzunluğu vb. verilerinin yanı sıra salon girişinde biyometrik veri olan parmak izinin alındığına yönelik iddiasını tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadığı,
- İlgili kişinin, spor salonu içerisinde üyelere ait bilgi kartlarının herkes tarafından kolayca ulaşılabilir durumda bulunduğu, bu kartların uygun biçimde saklanmadığı ve zaman zaman kaybolduğu, salon içerisindeki güvenlik kamerası görüntülerine yetkisiz kişilerce erişilebildiği ve ilgili kişinin birtakım davranışlarının bu görüntülerle eşleştirildiği yönündeki iddialarına ilişkin tevsik edici bilgi ve belge sunamadığı ve veri sorumlusundan alınan savunmada da bu iddiaların reddedildiği,
- Şikâyet konusu olaya ilişkin olarak ilgili kişi tarafından veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediğinin bu anlamda veri sorumlusunun, kendisine yapılan başvuruyu Kanun’un 13’üncü maddesinin (2) numaralı fıkrası kapsamında sonuçlandırma yükümlülüğüne uygun davranmadığının görüldüğü,
değerlendirmelerinden hareketle;
- Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
- Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İlgili kişinin Kanun’un 11’inci maddesi uyarınca bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına,
- İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına
karar verilmiştir.
Sonuç olarak; Kişisel Verileri Koruma Kurumu, "Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği bu işleme için açık rıza alınmadığı ve Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği" gerekçesiyle 100.000 TL idari para cezası vermiştir.
