Kişisel Verileri Koruma Kurulu’nun yayınladığı iki güncel karar, ve bu karara benzer bir İspanya Veri Koruma Otoritesi (“AEPD”) kararından bahsedeceğiz bu hafta. Veri koruma mevzuatımız Avrupa’dan esinlenerek uygulandığı için, Avrupa mevzuatı olan GDPR’a yönelik verilmiş kararların, ülkemizde de önemli olduğu bir gerçek. Bu hafta inceleyeceğimiz kararlar; müşterilerine hizmet vermek için “verilerini işlemeyi” zorunlu tutan, açık rızayı veri işleme şartı olarak öne süren şirketler hakkında genelde.
İlk iki karar, milli kurumumuz Kişisel Verileri Koruma Kurulu’ndan. Bu olayda, sağlık kuruluşunun internet sitesinden randevu alınırken, hizmet ve duyurulardan haberdar olmak ister misiniz kutucuğu zorunlu olarak “evet” şeklinde işaretlendiriliyor ve müşteri, bu kutucuğu işaretlemeden randevuyu alamıyor. Bu durum bir müşteri tarafından Kurum’a ihbar ediliyor. İhbardan sonraki süreçte sağlık kuruluşu, internet sitesindeki durumu düzeltip, iletişim izni kutucuğunu ayırıyor, zorunlu tutmayı bırakıyor; ve yaptığı savunmada böyle bir zorunluluk olmadığını söylüyor. Kurum, ihbardan sonra değişiklik yapıldığını tespit ediyor, ve sayfanın önceki uygulaması olan “iletişim iznini zorunlu tutma” hususunun, açık rızanın serbestçe verilmediği gerekçesiyle, hukuka aykırı olduğuna karar veriyor. Ayrıca sitedeki “veri işleme onay kutucukları” arasında bir de “aydınlatma metnini onaylıyorum” minvalinde bir ifade görüyor, ve aydınlatma metni onaya tabi bir husus olmadığı için onun da hukuka uygun hale getirilmesine karar veriyor. Bir de, zaten açık rıza gerektirmeyen veri işleme fiillerinden dolayı bir de ilave olarak müşterilerden açık rıza alınması yönünde ifadeler olduğunu görüyor, ve bunların da hukuka aykırı olduğunu söyleyip düzeltilmesi yönünde karar veriyor. Sonuç olarak şirket, 300.000,00 TL para cezasıyla karşılaşıyor.
Diğer Kurul kararında ise, bir özel hastane, hastalarının sağlık bilgileri de dahil olmak üzere görüntü ve videolarını, reklam ve tanıtım faaliyetleri kapsamında kullanıyor. Bu kapsamda hastalardan onay alınıyor. Kurul, kararında, Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığından bahsediyor, ve özel hastanenin hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesindeki, “hukuka uygun ve meşru bir amaçla” ancak veri işlenebileceği kuralı uyarınca geçersiz olduğuna hükmediyor. Buna yönelik onayın da geçersizliğine karar veriyor. Sonuç olarak özel hastane, 250.000,00 TL para cezasıyla karşılaşıyor, verilerin imhasına yönelik karar veriliyor ve durumun düzeltilmesi emrediliyor.
İspanya Veri Koruma Otoritesi’nin kararı da yine “açık rızanın şart koşulması” ile ilgili bir karar. Henüz geçtiğimiz hafta yayınlanan kararda bir spor merkezi, üyelerinin spor merkezindeki bazı ekipmanları kullanabilmeleri için, mobil uygulama üzerinden kayıt yapmalarını istiyor. Bu kayıt esnasında kalp ritmi, cinsiyet, kilo, boy gibi kişisel verilerin, ekipmanı üreten şirkete transfer edilmesini şart koşan bir onay formu sunuyor. Bu onay formu kutucuğu işaretlenmeden ilerlenemiyor ve ekipmanlar kullanılamıyor. GDPR’ın 5/c. maddesinde belirtilen veri minimizasyonu ve 7. maddesinde düzenlenen “açık rızanın şartları” hükümleri uyarınca, spor merkezinde 10.000,00 Euro para cezası getiriliyor.
Kararlara baktığımızda, Euro kuru ile TL’yi hesaplayınca aslında verilen ceza tutarları aynı. Cezalar oransal şekilde düzenleniyor. Sonuçta, hala internette gezinirken sürekli şekilde “açık rızanın zorunlu tutulduğu”, “açık rıza alınması gerekmeyen hallerde de açık rıza istendiği ve bu yüzden veri işleme faaliyetinin gereksiz yere hukuka aykırı hale geldiği”, “aydınlatma metninin onaya tabi tutulduğu halbuki bunun onaya tabi olmadığı ve dolayısıyla usulsüz yol ile alındığı” gibi hatalarla karşılaşıyoruz.
