Kurul’un sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından açık rıza alınmaksızın ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesi hakkındaki 18.01.2022 tarihli ve 2022/31 sayılı kararı
Karara konu olan şikayet dilekçesinde özetle;
- Önceden onay alınmadan ilgili kişinin e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticari içerikli bir ileti gönderildiği ve bu durumun Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’na aykırılık oluşturduğu;
- İlgili kişinin kişisel verilerinin işlenebilmesi için veri sorumlusu tarafından ilgili kişinin açık rızasının alınmadığı, bununla birlikte Kanun’da kişisel verilerin işlenebilmesi için açık rızanın aranmadığı özel şartların somut olayda bulunmadığı;
- İlgili kişinin kişisel verilerinin e-posta adresine ileti gönderilmek suretiyle işlenmesinden ötürü veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almadığı;
hususlarından bahsedilmiştir. Bu sebepler doğrultusunda Kurul tarafından gereğinin yapılması talep edilmiştir.
İlgili kişinin şikayeti üzerine veri sorumlusunun Kurul’a ilettiği cevap yazısında ise;
- İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine başvuru yapması sonucunda elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi (HBYS)’ne kayıt edildiği;
- Bu veri işleme faaliyetinin ilgili kişi ile hastane arasında akdedilen sözleşme sebebiyle sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması şartına ve Hususi Hastaneler Kanunu ile Sağlık Hizmetleri Temel Kanunu uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması şartına dayalı olarak gerçekleştirildiği;
- İlgili kişinin e-posta adresinin HBYS ve hastaneler arası iletişim ortamı olan MEDULA yazılımı aracılığı ile Sosyal Güvenlik Kurumu (SGK) sistemlerine aktarıldığı;
- Söz konusu e-posta gönderiminin birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığı ve sehven ilgili kişinin onayı dışında gerçekleştiği;
- İlgili kişinin e-posta adresinin, kendisinin talebi üzerine, ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığı ve ilgili kişiye bir daha e-posta gönderilmeyeceğinin taahhüt edildiği;
- Birtakım ek tedbirler alınmış ve artık hasta kaydı sırasında kişilerin HBYS kaydının tamamlanabilmesi ve aydınlatma yapılabilmesi adına, hasta kayıt işlemi yaptıran ilgili kişi alıcılara SMS üzerinden onay kodu gönderilmesi uygulanmasına başlandığı, yine sonrasında e-postanın işlenmesi durumunda da ancak doğrulama linki içeren bir e-postaya tıklandıktan sonra ilgili kişilerin e-posta verisinin işleneceği;
- Veri sorumlusunun hastalara ait kişisel verilerin işlenmesini düzenleyen aydınlatma metnini daha kapsamlı hale getirerek internet sitesinde yayınladığı ve ilgili kişilerle reklam amaçlı iletişime geçmek amacıyla ayrıca bir Misafir İletişim Açık Rıza Beyanı belgesi düzenlediği, aralarında Kişisel Verileri İşleme ve İmha Politikası başta olmak üzere bu belgenin düzenli olarak güncelleştirildiği;
- Veri sorumlusuna bağlı hastanelerde Kişisel Verilerin Korunması ve Bilgi Güvenliği Kurulunun oluşturulduğu, bu Kurula seçilenler için özel bir görevlendirme ve taahhütname belgesi hazrlandığı;
hususlarına değinilmiştir.
Konuya ilişkin yürütülen inceleme sonucunda Kurul, kararında; hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, Kanun ile birlikte diğer sair mevzuata bir aykırılık teşkil etmediğini, ancak somut olayda ilgili kişinin iletişim bilgisinin, herhangi bir tıbbi bilginin kendisine veya yakınına iletilmesi için değil, bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığını ifade etmiş ve dolayısıyla ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticari amaçlı olduğuna karar vermiştir. Bu doğrultuda Kurul, veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesinin hukuka uygun olduğunu belirtse de bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğine karar vermiştir. Bu sebeple veri sorumlusuna 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karara bu linkten ulaşabilirsiniz.