Şikâyete konu olay özetle şöyle; hastane reklamı amacıyla arandığı için rahatsız olduğunu ifade eden kişi, hastanenin iletişim mail adresinden bilgi talep etmiştir. Kendisine sözlü dönüş yapılması üzerine, ilgili hastaneden yazılı cevap talep edilmiş ancak gelen cevabı yeterli görmeyerek kişi ilgili hastaneyi KVK Kurumu’na şikâyet etmiştir.
Hastane Savunma: Arama Hastane Telefonundan Yapılmamıştır
Hastane Savunmasında;
İlgili kişinin, SMS gönderimine ilişkin açık rızasının bulunmadığı,
İlgili kişinin kişisel verilerinin hiçbir şekilde kendilerince işlenmediği
Reklam içerikli telefon aramalarından haberlerinin olmadığı,
İlgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
Arayan numaranın taraflarına ait bir hat olmadığı, üçüncü kişilere checkup hizmetini pazarlamak ve satmak için sözleşme yapılan firmaya ait olduğu,
Arayan ilgili Firmanın müşteri bulurken kanuna ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun olduğu, kendisini Hastanenin checkup departmanı gibi tanıttığının tespit edilmesi halinde hukuki girişimlere başlanılacağı,
Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığını, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi taraflarından tedavi hizmeti almadığını, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediğini ifade etmiştir.
Pazarla Firması Savuma: Arama Hastane Adına Yapılmıştır
Pazarlama firması, aramanın hastane adına yapıldığını, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğunu ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığını, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığını, bünyelerinde kişisel verilerin tutulmadığını ifade etmiştir. Çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile randevuların düzenlediği belirtmiştir.
Savunmalar Yeterli mi? Sorumluluk Kimde?
Kişisel Verileri Koruma Kurulu incelemesinde; öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi için Hastane ile Firma arasındaki sözleşmeyi incelemiştir.
Pazarlama firması ile yapılan sözleşmede; hastane bünyesinde sunulan checkup panelinin firma tarafından üçüncü kişilere pazarlanması ve satışının e-posta, kapıdan dağıtım-satış, internet üzerinden satış, medya üzerinden satış ve sair yollarda yapılabileceği, sözleşmede belirlenen ürünlerle ilgili SMS gönderme yetkisinin firmada olduğu, Firmanın da bu ürünü web sitesi aracılığıyla, kapıdan satış ya da kurumsal satış ile ya da tele marketing yoluyla, yazılı, işitsel, görsel medya vb yollarla yapabileceği düzenlenmiştir.
“Gizlilik Yasağı” başlıklı sözleşme maddesi altında, “Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği serverların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği, müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemediklerini düzenlendiği görülmüştür.
Kişisel Verileri Koruma Kurulu Kararı
“Kanunun 3. maddesi “Veri Sorumlusu ‘nu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak; “Veri İşleyen”i ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlamıştır. Veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu ifade edilmiştir.
Veri sorumlusu akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabilir.” denmektedir.
Veri Güvenliği Çalışma Grubunun” WP 169 sayılı” Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de; çağrı merkezinin “veri işleyen olduğu, veri sorumlusunun, bazı işleri çağrı merkezine bırakarak, çağrı merkezine, veri sorumlusunun müşterilerini, veri sorumlusunun kimliğini kullanarak arama talimatı verebileceğini, bu durumda, veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunduğu ve dış kaynak firmasının , veri sorumlusu adına bir “veri işleyen” olarak hareket ettiği sonucunu doğuracağı.” şeklinde temel açıklamalara yer verilmiştir.
İlgili Kişinin Cep Telefonunun Özel Bir Hastane Tarafından İzinsiz Aranması Durumunda;
KVK Kurumu vermiş olduğu kararın içeriğinde; “ Firmanın, Hastane adına hareket ederek, hastanenin hem eski müşterileri hem de kendi bulduğu yeni müşterilerine checkup panelini pazarlayan bir çağrı merkezi olduğunu, sözleşme maddeleri dikkate alındığında; Hastanenin pazarlanma ve satış için Firmaya yetki verdiğini; yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin ise Firmaya bırakıldığının” tespitini yaparak; konuyu iki halde değerlendirmiştir.
Hastanenin kayıtlarında bulunan müşterilere yönelik pazarlanmada Firma “veri işleyen” konumunda iken
Firmanın, Hastane kayıtlarında bulunmayan, kendisi tarafından bulunan “yeni müşterilerin” pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde “veri sorumlusu” olduğu şeklinde değerlendirme yapılmıştır.
Bu kapsamda Kurul, Hastane tarafından firmaya bildirilmemiş olan ilgili kişinin cep telefonuna, KVKK‘nın 5’inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde erişilmesi ve kişinin aranmasının hukuka aykırı olduğu kanaatine varmıştır.
Bu durumda ilgili firma “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirilmeyen veri sorumlusu olarak kabul edilerek hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Sonuç olarak;
Kişisel Veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak KVKK madde 5/2 fıkrasındaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. KVKK madde 5/2-c fıkrasında belirtilen şartlardan biri de “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” halidir ki bu durumda açık rıza aranmaz.
Sağlık hizmeti yerine getirilirken hekim ve/veya hastane ile hasta arasında bir tedavi sözleşmesi kapsamında, hastanın kimlik bilgileri dışında, anemnez, tetkik, grafi, görüntü, epikriz ameliyat notu gibi hassas nitelikli kişisel veri olan sağlık bilgilerin kaydedilmesi ve işlenmesinin zorunlu olduğu açıktır. Aksi halde tedavi sözleşmenin ifasının imkânsız olacağında tartışma yoktur. Ancak elde edilen bu veriler, tedavi amacı dışında işlenemez ve aktarılamaz. Hastanenin reklam faaliyeti amacıyla verilerini üçüncü kişilere veri aktarması ancak ilgili kişinin tereddütü kalmayacak şekilde ve açıklıkta aydınlatılıp, açık rızasının almasıyla mümkün olabilir. Bu durumda dahi veri güvenliğini sağlamak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek esastır.
İncelenen şikayet konusu olayda da görüldüğü gibi; veri sorumlusu gerçek veya tüzel kişiler, hizmet aldıkları üçüncü kişiler ile yapacakları sözleşmelere mutlak surette veri gizliliği ve sorumluluğu yönünde yükümlükler koymak ve takibini yapmak durumundadır. Aksi halde hukuksal yaptırımlar söz konusu olmaktadır.
Ayrıca 31 Mart 2021 tarihine kadar sağlık verisi işleyen tüm gerçek ve tüzel kişilerin (tek kişilik muayenehaneler dahil olmak üzere) VERBİS’e kayıt zorunluluğunun, sadece bir yasal yükümlülüğün şekli olarak yerine getirilmesi faaliyetinden ibaret olmadığını ayırt etmek gerekir. Asıl mesele kayıt yükümlüğünü yerine getirmemek nedeniyle karşılaşılabilecek cezadan ziyade, ilgili kurumun özel hayatın gizliliği ve kişisel verilerin korunması bakış açısını, kültürü benimseyerek, çalışanları, hizmet aldığı firmalar ve çözüm ortakları ile birlikte iş yaşamına aktarabilmesidir. KVKK uyum süreci, sonrasındaki iş yapış alışkanlıklarının değiştirilmediği ve iç denetimin yapılmadığı bir durumda, kayıt yükümlülüğünün şeklen yerine getirilmesi dışında hiçbir amaca hizmet etmeyecektir.
Hanyaloğlu & Acar Hukuk Bürosu
Av. Ayşe Gül HANYALOĞLU – Stj. Av. Seyran GÜMÜŞOĞLU