*****ın ***** Tıp Merkezi Hakkındaki Şikâyet Başvurusu

I. Karar Konu Taraflar

Şikâyette bulunan : *****

Şikâyet edilen       : *****

II. Tarafların İddia ve Beyanlarının Özeti

6698 sayılı “Kişisel Verilerin Korunması Kanununun” (Kanun) 13, 14 ve 15 inci maddeleri ile “Veri Sorumlusuna Başvuru Usul v Esasları Hakkındaki Tebliğin” 4, 5 ve 6 ıncı maddeleri dayanak gösterilerek Kişisel Verileri Koruma Kurulu’nun (Kurul) 18/09/2019 tarih ve 2019/279 sayılı Kararına istinaden *****ın (İlgili Kişi) ***** Tıp Merkezi (Veri Sorumlusu) hakkındaki 01/08/2019 tarihli ve 7414 kayıt numaralı Kuruma intikal eden şikâyet başvurusu için inceleme başlatılmıştır.

İlgili kişi, irtibat numarasına ***** veri sorumlusu tarafından herhangi bir talebi veya rızası olmaksızın kampanya mesajları gönderilmesi sebebiyle şikâyet başvurusunda bulunmuştur. İlgili kişi, başvuru dilekçesinin eklerinde 11/06/2019 ve 08/07/2019 tarihlerinde veri sorumlusu tarafından gönderilen mesajları içeren ekran görüntüsü ile veri sorumlusuna yaptığı başvuruyu paylaşmıştır.

Veri sorumlusuna 18/07/2019 tarihinde yaptığı başvuruda Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde sayılan hakları kapsamında kişisel verisinin işlenip işlenmediğini, işlenmişse bunlara yönelik bilginin detaylı olarak tarafına iletilmesini, veri işleme amacını ve veri işleme faaliyetinin bu amaçlara uygun olarak gerçekleşip gerçekleşmediğini, yurt içine veya yurt dışına aktarımda bulunulup bulunulmadığını öğrenmeyi ve eksik veya yanlış bir veri işleme söz konusu ise bunun düzeltilmesini istediğini belirtmiştir. Ayrıca, Kanunun 7 nci maddesi uyarınca ilgili kişi, kişisel verisinin silinmesini veya yok edilmesini isteği ile kişisel verilerin aktarıldığı üçüncü kişisel varsa bu taraflardaki verilerin de silinmesini veya yok edilmesini ve gerekirse düzeltilmesini talep etmiştir. İlgili kişi münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi hakkında aleyhine ortaya çıkan bir sonuç varsa bu sonuca da itiraz ettiğini bildirmiştir.

Veri sorumlusunun ilgili kişiye oldukça kısa bir cevap verilmiş olup özetle; tıp merkezlerinin bütün sistemlerinin Kanunun hükümlerine uygun olarak aylar öncesinde revize edildiğini bildirmiştir. Tüm diğer hastaları gibi ilgili kişinin bilgilerinin hususunda da Kanuna uygun olarak veri girişi yapıldığını belirtmiş olup yurt içinde veya yurt dışında bu bilgilerin kullanılmadığını söylemiştir. Veri sorumlusu belirttiği bu hususlara ilişkin ilgili kişiyle herhangi bir destekleyici belge paylaşmamıştır.

İlgili kişi, veri sorumlusunun cevabının ardından 05/08/2019 kayıt tarihli (Dilekçe Tarihi: 01/08/2019) ve 7417 kayıt numaralı Kuruma sunduğu dilekçesinde özetle;

  • Veri sorumlusunun talebi ve rızası olmadan cep telefonuna kampanya mesajları gönderdiğini, Kişisel Verileri Koruma Kurulunun (Kurul) “Veri Sorumluları ve Veri İşleyenler Tarafından İlgili Kişilerin E-posta Adreslerine veya SMS ya da Çağrı ile Cep telefonlarına reklam bildirimleri ve aramaları yönlendirilmesinin önüne geçilmesi” ile ilgili 16/10/2018 tarih ve 2018/119 sayılı İlke Kararında yer alan hususların içinde bulunduğu durumu özetler nitelikte olduğunu,
  • Veri sorumlusu tarafından yapılan veri işlemenin (kampanya mesajı gönderme) 6563 sayılı Elektronik Ticari Hayatın Düzenlenmesi Hakkında Kanun’un 6 ncı maddesinin 1 inci fıkrasına aykırılık teşkil ettiğini çünkü belirtilen fıkrada ”Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi halinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.” denildiği ve bu fıkra kapsamında iletişime geçilmesi amacıyla iletişim bilgilerini paylaşmadığını ve daha önce de bu kapsamda bir rızasının bulunmadığı,
  • Veri sorumlusu tarafından gerçekleştirilen işleme faaliyetinin Kanunun 5 inci maddesinde belirtilen kişisel verilerin işlenme şartlarından bir veya birkaçı kapsamında değerlendirilemeyeceğini, bu sebeple hukuka aykırı bir işleme olduğu,
  • Kanunun 10 uncu maddesinde veri sorumlusuna bir yükümlülük olarak getirilen aydınlatma yükümlüğü kapsamında cep telefonu verisinin aydınlatma yapılmadan işlendiğini,
  • Veri sorumlusuna yaptığı başvuruda Kanunun 11 inci maddesi kapsamında bilgi talep ettiğini, ancak veri sorumlusu tarafından sistemlerinin “kanuna uygun olarak revize edildiği” yanıtını verildiği,
  • Kanunun 7 nci maddesi kapsamında kişisel verilerinin silinmesini talep ettiği ve veri sorumlusunun cevabında buna ilişkin bir yanıt bulunmadığı,
  • Kanunun 13 üncü maddesi açısından veri sorumlusunun verdiği cevap değerlendirildiğinde yapılan başvurunun usulüne uygun olarak kabul edildiğini veya gerekçeli olarak red ettiğini söylemenin mümkün olmadığı,
  • Veri sorumlusunun cevabında yer alan “yasal ölçüler dışında bilgileriniz yurt içinde veya yurt dışında kullanılmamıştır” ifadesinin açıklıktan uzak olduğu ve muğlaklık yarattığı bu cevabın Aydınlatma Yükümlülüğünün yerine getirilmesinde uyulacak Usul ve Esaslar Hakkında Tebliğ’in  inci maddesinin (ğ) bendinde aykırılık teşkil ettiği

ifade edilmiştir. Bu bakımdan ilgili kişi, kişisel verisinin işlenmesinde hukuka uygunluk sebeplerinin olmaması, verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması, aydınlatma yükümlülüğünün yerine getirilmemesi, başvurusuna verilen cevapta muğlak ifadeler yer alması ve Kanunun  inci maddesi kapsamındaki taleplerinin karşılanmaması nedenleri ile gerekli araştırmanın yapılarak Kurul’a verilen yetkiler çerçevesinde gerekli tedbirlerin alınmasını talep etmiştir.

İlgili kişinin beyanlarına istinaden ***** 03/10/2019 tarih ve 19462324-105-01-01-E.0000009939 sayılı Kurum yazısı ile Kişisel Verileri Koruma Kanunun 15 inci maddesinin (3) fıkrasına istinaden bilgi ve belge talebinde bulunulmuştur. Yazıda, ilgili kişinin 05/08/2019 kayıt tarihli Kuruma yaptığı başvuru dilekçesinde yukarıda belirtilen iddialara ilişkin olarak inceleme başlatıldığı söylenmiş ve 15 gün içerisinde Kuruma bilgi verilmesi, destekleyici tüm bilgi, belge ve kayıtlar ile kete gönderilen “Veri Sorumlusu Tanıtım Formunun” doldurulup tarafımıza intikal ettirilmesi hususunda gereği rica edilmiştir.

Veri sorumlusunun cevabını kendisine tanınan 15 günlük süre aşıldıktan sonra 22/10/2019 tarih ve 2019/114 sayılı yazısıyla Kuruma iletmiştir. Bu yazıda, ilgili kişinin, veri sorumlusuna 08/08/2017 ve 15/05/2019 tarihlerinde hasta olarak başvuruda bulunduğu ve bu esnada ön banko işlemleri sırasında açık rızasıyla kendisi ile iletişim kurulabilmesi için cep telefonu numarasını verdiği ve bu numaranın Hastane Bilgi Yönetim Sistemi’ne eklendiği dile getirilmiştir. Bu sebeple, veri işleme faaliyeti için Kanunun 5 inci maddesinin (1) inci fıkrasında belirtilen kişisel verilerin işlenmesi şartlarından açık rıza dayanak gösterilmiştir. Ancak, alındığı aktarılan açık rızaya ilişkin olarak destekleyici doküman, kayıt veya belge sunulmamıştır.

Veri sorumlusu açık rızaya ek olarak, “ilgili kişinin kendi tıp merkezlerine hizmet almak için başvurmuş olduğundan sağlık hizmetinin ifası için kurulan vekalet sözleşmesi gereğince hastaya gerektiğinde ulaşabilmek adına cep telefonu numarasını kaydettiğini” belirtmiştir. Veri sorumlusu, sağlık hizmeti sunumunun sağlanması için hastaya ulaşabilmesi adına iletişim bilgisinin alınması Kanunun 5 inci maddesinin (2) nci fıkrasında belirtilen veri işleme şartlarından (c) bendine de uygun olduğunu savunmuştur. Bu konuda Herhangi bir belge paylaşılmamıştır.

Veri sorumlusu cevabında ayrıca, ilgili kişinin tıp merkezlerinden sağlık hizmeti alan bir kişi olması sebebiyle, sunulan sağlık hizmetleri ve buna ilişkin bilgilendirmeden yararlandırılması amacıyla SMS gönderdiğini ve gönderilen kısa mesaj içeriklerinde istenildiği taktirde bu bilgilendirme hizmetinden faydalanmak istememesi halinde sistemden çıkma olanağının sunulduğunu aktarmıştır. Buna ilişkin gönderilen mesajların içerikleri veri sorumlusu tarafından yazı ekinde paylaşılmıştır. Veri sorumlusu bu hususta, ilgili kişinin ilk mesajdan sonra sistemden çıkma imkanının olduğunu ancak bilgilendirme işlemine itiraz etmediğini, bununda “bilgilendirmenin devamı hususunda açık rızası olduğu anlamına gelmektedir” demiştir.

Kişisel verilerin aktarımı konusunda veri sorumlusu, ilgili kişinin cep telefonu verisinin sadece ***** Tıp Merkezi tarafından işlendiğini yurt içine veya yurt dışına herhangi bir kuruma aktarımda bulunulmadığını beyan etmiş olup bu durumun ilgili kişinin kişilik haklarına veya özel hayat alanına zarar verici bir durum olmadığını savunmuştur.

Veri sorumlusu son olarak, kendilerinin (***** Tıp Merkezi) daha önce kişisel verilerin korunması ile ilgili olarak herhangi bir şikâyetin parçası olmadığını, ilgili kişinin verisini kendi bilgisi dahilinde açık rızasıyla dürüstlük kuralları çerçevesinde topladığını iddia etmiştir. Burada, veri sorumlusu ile ilgili kişinin başvurusuna verdiği cevabı yinelemiş ve “tüm sistemlerini Kanuna uygun olarak aylar öncesinden revize ettiklerini” iletmiştir.

Veri sorumlusu Kurum yazısında belirtilen ilgili kişinin kişisel verilerinin silinmesi veya yok edilmesi talebine ilişkin herhangi bir açıklama yapmamıştır. Aydınlatma metni de gönderilmemiştir.

“Veri Sorumlusu Tanıtım Formu” doldurulup cevap yazısı ekinde Kuruma iletilmiştir.

Başvurunun incelenmesi aşamasında veri sorumlusunun ilk bilgi, belge talebine verdiği cevaplara istinaden 10/02/2020 tarih ve 19466232-105.01.01-E.0000018213 sayılı Kurum yazısı ile ek bilgi, belge talebinde bulunulmuştur. İkinci yazıda özetle,

  • Ön banko işlemleri esnasında alındığı belirtilen “açık rızanın” ispatına ilişkin olarak tutulan bilgi, belge ve kayıtların (ilgili kişinin onayladığını ispatlayan açık rıza metni, formu veya destekleyici diğer kayıtlar gibi)
  • İlgili kişiyle sağlık hizmetinin ifası için kurulduğu veri sorumlusunca beyan edilen vekalet sözleşmesinin bir örneği,
  • Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesi kapsamında hastanenizin kişisel verilerin elde edilmesi sırasında ilgili kişiye aydınlatma yaptığını gösteren destekleyici, bilgi, belge ve kayıtların birer kopyasının 15 gün içinde Kuruma gönderilmesi hususunda gereği rica edilmiştir.

Veri sorumlusunun ek bilgi, belge talebine cevabı 05/03/2020 kayıt tarih ve 19977 kayıt numarası Kanun kayıtlarına girmiştir. Veri sorumlusunun cevabı yazısında özetle;

  • Kanunda kurumların gerekli sistemi kurması ve hazırlıklarını yapması için 3 yıllık bir sürenin öngörüldüğü ve bu sürenin 31/12/2019 tarihinde sona erdiği ve veri sorumlusu olarak 05/09/2019 tarihinde VERBİS sistemine başvuru yapıldığı,
  • İlgili kişinin sağlık hizmeti almak için başvurduğu tarihlerde (08/08/2017 ve 15/05/2018 olmak üzere 2 defa) Kurumlarının hazırlık içinde olduğu ve söz konusu tarihlerde açık rıza metni olmasa da kendisinin sözlü olarak aydınlatıldığı ve Kanunda açık rızanın bir şekil şartına bağlanmadığı ve bu bakımdan sözlü açık rızanın alınabileceği,
  • Veri sorumlusu ile ilgili kişi arasında kurulan vekalet sözleşmesinin şekil şartına bağlı olmadığı ve veri sorumlusuna başvurması ve sağlık hizmeti almasıyla birlikte bu sözleşmenin kurulduğu ve ilgili kişinin hizmet aldığını gösterir belgelerin bir örneğinin yazı ekinde sunulduğu,
  • Hazırlık sürecini tamamladıktan sonra veri sorumlusunun aydınlatma yükümlülüğü kapsamında ilgili kişilere aydınlatma yaptığını gösterir mevcut belgelerin yazı ekinde sunulduğu

Belirtilmiştir.

III. İddia ve Beyanların Değerlendirilmesi ile Gerekçe

Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup, Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Kanunun 3 üncü maddesinin 1 inci fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ( e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili kişi; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Başvuru incelendiğinde, yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefon numarası ve ön banko işlemleri esnasında toplanan diğer verileri kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından şikayette bulunan ***** ilgili kişi sıfatını ve şikayet edilen ***** Tıp Merkezi ise veri sorumlusu sıfatına haizdir.

Kurumun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Bu çerçevede, kişisel veriler ancak; hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebilmektedir.

Kanun kişisel verilerin işlenme şartlarının 5 inci maddesinin 1 inci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, 2 nci fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkan tanımıştır. Buna göre;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkün bulunmaktadır.

Somut olayda, ilgili kişi ilk olarak herhangi bir talebi veya rızası olmaksızın kampanya mesajları gönderildiğini ifade etmiştir. Veri sorumlusu ilk bilgi, belge talebine verdiği cevapta ise ilgili kişiye gönderilen kampanya mesajlarını Kanunun 5 inci maddesinin 1 inci fıkrasına istinaden işlendiğini ve ön büro işlemleri sırasında kendisiyle iletişim kurulabilmesi için “açık rıza” alındığını savunmuştur. Ancak herhangi bir bilgi ve belge paylaşmamıştır. Bu husus ikinci bilgi, belge talebinde verilen cevabı yazıda ise, “ilgili kişinin sağlık hizmeti aldığı tarihlerde yazılı olarak açık rıza metni olmasa da kendisi sözlü olarak aydınlatılmıştır” denilmiştir. Bu durum veri sorumlusunun o dönemde Kanuna uyum için hazırlık aşamasında olduğu ve açık rızanın şekil şartına bağlanmaması sebebiyle sözlü olarak rıza alınmıştır denilerek savunulmuştur. Ancak Kanunda açık rızanın şekil şartına bağlanmamasının sebebi ise farklı kapasite, yetkinlik ve büyüklükte veri sorumlularının kendilerine özgü durum ve şartların yine taraflarınca değerlendirilerek açık rıza alma noktasındaki en kolay ve efektif yöntemin belirlenmesi için kendilerinin serbest bırakılmasıdır. Çünkü, açık rızanın alındığının ispatı veri sorumlusunun yükümlülüğündedir ve bu yükümlülüğün kendisi tarafından en kolay şekilde nasıl yerine getirileceği kendisine bırakılmıştır. Veri sorumlusu topladığı veri türüne, ilgili kişinin ile iletişime geçme yöntemine (yüz yüze, telefon, internet üzerinden vb.) işletmesinin büyüklüğüne veya teknolojik kapasite gibi kıstaslara bakarak açık rızanın ispatı için en uygun açık rıza alma yöntemine kendisi karar verebilir. Bu bakımdan veri sorumlusu, bu şikayet kapsamındaki veri işleme faaliyeti için açık rıza alındığının ispatını yapamadığından hukuka aykırı veri işleme faaliyeti gerçekleştirmiştir.

Bu noktada Kanunun 4 üncü maddesinde belirtilen “hukuka ve dürüstlük kuralına uygun olma ilkesi” gereği, veri sorumlusu kendilerine izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri veri işleme faaliyetlerinde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri (veri minimizasyonu), ilgili kişilerin öngöremeyeceği biçimde hareket etmeleri (makul beklenti) gibi davranışları gerektirir. Bu bakımdan, ilgili kişilerin çıkarları ve makul beklentileri veri sorumlusu tarafından göz önüne alınmalıdır. Her ne kadar ispatlayıcı bir kayıt/belge/doküman Kuruma iletilen cevabı yazıda paylaşılmasa da, “ön büro işlemleri sırasında kendisiyle iletişim kurulabilmesi için” amacıyla açık rıza alınmıştır denilmesi, ilgili kişiye reklam içerikli mesaj gönderileceğine ilişkin olarak bir izni  kapsamadığı değerlendirilmiştir. Çünkü, veri sorumlusu sıfatıyla hastanenin burada sadece ilgili kişinin faydalandığı sağlık hizmetine yönelik olarak bilgilendirme yapılması beklenmektedir. Örneğin, yaptırılan tahlillerin sonuçlarının hazır olduğuna dair ilgili kişiye atılacak bir bilgilendirme mesajı “iletişim kurulabilmesi” kapsamında değerlendirilebilir. Ancak, “Diyet seanslarımızdaki yaza giriş kampanyamızı kaçırmayın! SMS iptali ve detaylı bilgi için: *****” gönderilen kısa mesajdaki gibi mesajlar “iletişim kurma” amacının ötesinde reklam amacıyla ilgili kişinin cep telefonu numarasının işlenmesi olarak değerlendirilmektedir. Özetle, ilgili kişinin cep telefonu numarasına reklam içerikli mesajlar gönderilmesi makul bir beklenti değildir.

Ayrıca, veri sorumlusu cevap yazısında, ilgili kişiye “sunulacak sağlık hizmetinin ifası için vekalet sözleşmesi gereğince hastaya gerektiğinde ulaşabilmek adına cep telefonu numarasını kaydettiğini” belirterek söz konusu işlemenin Kanunun 5 inci maddesinin 2 nci fıkrasının (c ) bendine de dayandığını iddia etmektedir. Söz konusu vekalet sözleşmesi ikinci bilgi, belge talebinde istenmiş ancak “kurulan vekalet sözleşmesinin herhangi bir şekil şartına tabi olmaması sebebiyle ilgili kişinin sağlık hizmeti almak için yaptığı başvurulara ilişkin belgeler paylaşılmış ve bu belgelere istinaden vekalet sözleşmesinin kurulduğunu savunmuştur.

Ancak veri sorumlusunun gerçekleştirdiği veri işleme faaliyetinin (reklam mesajı gönderme) Kanunun 5 inci maddesinin 2 nci fıkrasının (c ) bendi kapsamında değerlendirilmesi de imkan dahilinde değildir. Çünkü, cep telefonuna reklam amaçlı mesajlar gönderilmesi gerek sözleşmenin kurulması gerekse ifasıyla doğrudan doğruya ilgili bir veri işleme faaliyeti değildir. Bu bakımdan, bakıldığında veri sorumlusunun 5 inci madde kapsamında bir veri işleme şartına dayanmamaktadır.

Ek olarak, gönderilen kısa mesajlar incelendiğinde bunların bir ticari elektronik ileti olduğu açıktır. Buradan hareketle başvurunun 6563 sayılı Elektronik Ticari Hayatın Düzenlenmesi Hakkında Kanunun “Ticari elektronik ileti gönderme şartı” başlıklı 6 ncı maddesinde;

“(1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.

(2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir.”

Denilmektedir.

Bu bakımdan, veri sorumlusu söz konusu kanun kapsamında önceden aldığı onaya ilişkin olarak herhangi bir destekleyici belge, doküman veya kayıt paylaşmamıştır.

Diğer bir nokta ise, veri sorumlusunun savunmasına bakıldığında, ön büro işlemleri esnasında aldığı iddia ettiği veri işleme izninin (açık rıza) hangi amaçlara yönelik alındığı anlaşılmamaktadır. Çünkü, birden fazla veri işleme amacı söz konusu ise ilgili kişinin her bir amaç için tek tek verisinin işlenmesini kabul ettiğini belirtmesi sürecin daha şeffaf yürütülmesi için kolaylık sağlar. Kanun açısından bakıldığında verilen rızanın hem bilgilendirmeye dayalı olma hem de özgür iradeye dayanma unsurlarını sakatlamaktadır. Bu sebeple, veri işlemenin yasal dayanağının oluştuğundan söz edilemeyeceği düşünülmektedir.

Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu maddesi “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.”

Şeklindedir.

Kişisel veri işleme faaliyeti hangi hukuki sebebe dayanırsa dayansın ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. Yerine getirilmesi ilgili kişinin onayına tabi olmayan, tek taraflı bir beyan ile yerine getirilmesi mümkün olan aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.

Şikayete konu somut olayda, ilgili kişi veri sorumlusuna yaptığı başvuruda aydınlatma yükümlülüğüne ilişkin olarak herhangi bir soru yöneltmemiş ve kendisine yönelik bir aydınlatma yapılmadığını dile getirmemiştir. Ancak, Kuruma gönderdiği başvuruda, kendisine hiçbir aydınlatmanın yapılmadığını iddia etmiştir. Bu husus veri sorumlusuna bilgi, belge talebine ilişkin yazıyla sorulmuş olup ilk cevabı yazıda buna ilişkin bir açıklamaya yer verilmemiştir.

Veri sorumlusunun internet sitesinde yer alan “Kişisel Verilerin Korunması ve İşlenmesi Politikası” başlıklı metin incelendiğinde “KVK Kanunu’nun 10 uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır.” Denilmektedir. Ancak, politika metninde yer almasına rağmen veri sorumlusu ilgili kişinin verisinin elde edilmesi sırasında aydınlatma yaptığına dair bir kanıtlayıcı bilgi, belge paylaşmamıştır.

İkinci bilgi, belge talebinde bu hususta veri sorumlusunun hazırlık süreci tamamlandıktan sonra aydınlatma yükümlülüğü kapsamında ilgili kişilerce aydınlatma yapıldığını gösterir belgelerin ekte sunulduğu belirtilmiştir. Ancak bu belgelerde ilgili kişinin aydınlatıldığına ilişkin kanıt niteliğinde herhangi bir doküman bulunmamaktadır. Sadece veri sorumlusunun tarafından aydınlatma metni olarak kullanılan dokümanın bir kopyası paylaşılmıştır. Başvuru özelinde değerlendirildiğinde paylaşılan dokümanda ilgili kişinin imzası bulunmamaktadır.

Kanunun “Yürürlük” başlıklı 32 nci maddesinin 1 inci fıkrasında, “Bu Kanunun; a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer” denilmektedir.

Veri sorumlusunun tarafından ikinci cevap yazısında değinilen “Kurumların gerekli sistemi kurması ve hazırlıklarını yapması için 3 yıllık süre öngörülmüş ve bu süre 31/12/2019 tarihinde sona ermiştir.” İfadesi gerek mevcut şikayet başvurusu bazında gerekse Kanunun 32 nci maddesi kapsamında doğru bir değerlendirme değildir. 31/12/2019 tarihine ertelenen VERBİS’e kayıt olma yükümlülüğüne ilişkin son tarihin uzatılması işlemidir. Bu işlemin, bütün Kanuna uyum için tanınan bir geçiş dönemi olarak yorumlanması mümkün değildir.

IV. Kararın Hukuki Dayanağı

6698 sayılı Kanunun 3,4,5,10 ve 32 nci maddeleri

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 5 inci maddesi

6563 sayılı Elektronik Ticari Hayatın Düzenlenmesi Hakkında Kanunun 6 ncı maddesi

V. Sonuç

6698 sayılı “Kişisel Verilerin Korunması Kanunu” (Kanun) 13, 14 ve 15 inci maddeleri ile “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 4, 5 ve 6 ncı maddeleri dayanak gösterilerek Kişisel Verileri Koruma Kurulu’nun (Kurul) 18/09/2019 tarih ve 2019/270 sayılı Kararına istinaden ilgili kişinin ***** Tıp Merkezi hakkındaki 01/08/2019 tarihli ve 7414 kayıt numaralı Kuruma intikal eden şikayet başvurusunun, söz konusu iddialar ve veri sorumlusunun Kurumun bilgi, belge ve kayıtlarını talep eden farklı tarihlerdeki yazılarına verilen cevaplara istinaden yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesinin ardından;

  • Veri sorumlusu tarafından ilgili kişiye gönderilen kampanya/reklam mesajlarını Kanunun 5 inci maddesinin 1 inci fıkrasına istinaden işlediğini ve ön büro işlemleri sırasında kendisiyle iletişim kurulabilmesi için “açık rıza” alındığını savunmasına yönelik olarak tevsik edici bilgi, belge ve kayıt sunulmadığı,
  • Her ne kadar veri sorumlusu tarafından “ilgili kişinin sağlık hizmeti aldığı tarihlerde yazılı olarak açık rıza metni olmasa da kendisi sözlü olarak aydınlatıldığı” ve bunun veri sorumlusunun o dönemde Kanuna uyum için hazırlık aşamasında olduğu ve açık rızanın şekil şartına bağlanmaması sebebiyle sözlü olarak rıza alındığı savunulsa da; Kanunda açık rızanın şekil şartına bağlanmamasının sebebinin farklı kapasite, yetkinlik ve büyüklükte veri sorumlularının kendilerine özgü durum ve şartların [veri işlemeye konu faaliyetin özelliği, ilgili kişi ile veri toplama esnasında kurduğu iletişimin yöntemi (yüzyüze, telefonlar, internet üzerinden vb.)] yine taraflarınca değerlendirilerek açık rıza alma noktasındaki en kolay ve efektif yöntemin belirlenmesi için kendilerinin serbest bırakılması olarak değerlendirildiğinden ve açık rızanın alındığının ispatının veri sorumlusunun yükümlülüğünde olması sebebiyle bu yükümlülüğün kendisi tarafından en kolay şekilde nasıl yerine getirileceğinin kendisine bırakıldığı ancak sözlü alınan açık rızaya ilişkin bir kayıt sunulmadığı,

Dikkate alınarak;

  • Kanunun 5 inci maddesinde belirlenen şartlara dayanmaksızın bir veri işleme faaliyeti gerçekleştirdiğinden, Kanunun 12 nci maddesinin 1 inci fıkrasının (a) bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne istinaden Kanunun 18 inci maddesinin 1 inci fıkrasının b bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • Kanunun yürürlüğe giriş tarihi ile Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yükümlülüğüne ilişkin son tarihin karıştırılması sebebiyle veri sorumlusunun Kanunun “Yürürlük” başlıklı 32 nci maddesinde belirtilen tarihlere ilişkin olarak bilgilendirilerek Kanunda belirtilen yükümlülüklerin söz konusu maddede belirtilen tarihlerde başladığı ve veri sorumlusunun veri işleme faaliyetlerini bu yükümlülüklere uygun olarak yerine getirmesi gerektiği hususunda talimatlandırılmasına,
  • Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinde belirtilen “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından…” ilgili kişiye yönelik aydınlatma yapılması hususunun hatırlatılarak “Aydınlatma Metninin” Kanunda ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde” belirtilen hususlara uyumlu hale getirilmesi konusunda talimatlandırılmasına,
  • Veri sorumlusunun Kuruma verdiği cevap detayında ilgili kişiye de bilgi vermesi gerektiği hususunda talimatlandırılmasına,

İle karar verilmiştir.

Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr

Open chat