Ürün ve hizmetlerin sunulmasının kişisel verilerin işlenmesi noktasında açık rıza şartına bağlanamayacağı kuralı, kişisel verilerin korunması hukukuna ilişkin az çok bilgisi olan herkesin duyduğu ilkelerden biridir. Ancak bu konudaki bu konudaki hatalı uygulamaların söz konusu olduğu birçok örneğe rastlanılmaktadır. Özellikle internet siteleri ve uygulamalarda sunulan ya da yararlandırılan ürün ve hizmetlere erişilmesi için bazı kişisel verilerin işlenmesi noktasında açık rızanın şart koşuldu görülmektedir. Bu veriler genelde veri sorumlusu ya da veri sorumlusunun aktardığı üçüncü kişilerce tanıtım amaçlı olarak kullanılmak istenen iletişim verileri ve kimlik verileri olmaktadırlar.
Kişisel Verileri Koruma Kanununun (KVKK) hayatımıza girmesiyle birlikte veri sorumluların kişisel verileri hukuka uygun olarak işleyip işlemedikleri ve verilerin korunması noktasında gerekli tedbirleri alıp almadıkları Kişisel Verileri Korumu Kurulu (Kurul) tarafından denetlenmekte, ihlal tespiti durumunda veri sorumlusu hakkında idari para cezası uygulanmakta ve gerekli görülen tedbirler noktasında veri sorumluları talimatlandırılmaktadır.
Bu yazımızda, sunulan sağlık hizmetin açık rıza şartına bağlanmasına ilişkin ulaşan bir ihbar üzerine, Kurul tarafından verilen 02/05/2023 tarihli ve 2023/692 sayılı karar ele alınacaktır. Söz konusu ihbarda, veri sorumlusu olan sağlık kuruluşuna ait internet sitesi üzerinden randevu alınmak istendiğinde karşılaşılan formda sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanamadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu bildirilmiştir.
Veri sorumlusu tarafından sunulan cevabi yazıda, başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği ve görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği belirtilmiştir. Ayrıca internet sitesi üzerinden randevu oluşturulmasına ilişkin veri işleme sürecine ilişkin açıklamalar sunulmuştur. Açıklamalarda, veri sorumlusu tarafından internet sitesi üzerinden randevu almak isteyenlerin ad, soyad, TC Kimlik no, doğum tarihi ve telefon numarasının alındığı, hastanın kimlik bilgilerinin kontrolü sonrasında aydınlatma metninin SMS yoluyla davacılara gönderildiği, formda içi boş bırakılan kutuları ilgililerin diledikleri gibi işaretleyebildikleri, bu kutucuklardan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneği işaretlendiğinde telefona doğrulama kodu gönderildiği ve bu kodun girilmesiyle işleme devam edildiği, Randevu sürecinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan; “Bir sözleşmenin kurulması/ifasıyla ilgili olmak kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olması”, “Hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması” ve “Meşru menfaatler için veri işlemenin zorunlu olması” şartlarına dayanılarak kişisel verilerin işlenmekte olduğu, adı, soyadı ve telefon numarası verilerinin ticari elektronik ileti gönderilmesi amacıyla ayrıca “açık rıza şartına” dayalı olarak işlendiği, aydınlatma şartının yerine getirildiği ve kişisel verilerin işlenmesine ilişkin ilkelere uyulduğu belirtilmiştir.
Ancak Kurul tarafından yapılan incelemede, ihbardan sonra veri sorumlusu hastane işletmesinin internet sitesinin değiştirildiğinin tespit edilmiştir. İhbar dilekçesi ekinde yer alan ekran görüntülerinden “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun işaretlenmediğinden kırmızı renkte görüldüğü ve “İLERİ” butonunun bu nedenle çalışmadığının anlaşıldığı, sitenin güncel halinde randevu formunun altında iki kutucuk bulunduğu ve bunlardan birinde “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” kutucuğunun, diğerinde ise “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” kutucuğunun yer aldığı, duyurulardan haberdar olmaya ilişkin tercihin zorunlu olmaktan çıkarıldığı ve ayrıca kişisel verilerin işlenmesine dair bir açık rıza beyanı kutucuğunun ilave edildiği tespitlerine yer verilmiştir.
Kurul tarafından yapılan değerlendirmede, ihbar tarihinde veri sorumlusunun tanıtım amaçlı olarak kişisel verileri işleme konusunda açık rıza verilmesinin randevu oluşturulması için zorunlu tutulmasının, açık rızanın unsurlarından olan “özgür iradeyle verilme” unsurunu sakatladığı değerlendirilmiştir. Diğer yandan, veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda yer alan kişisel verileri “açık rıza” dışındaki şartlara dayanarak işlemesi mümkünken, açık rıza şartına dayanarak işlemesi aldatıcı ve hakkın kötüye kullanılması olarak değerlendirilmiştir. Her iki durumda da, kişisel verilerin işlenmesine dair “hukuka ve dürüstlük kurallarına uygun olma” şartının ihlal edildiği sonucuna varılmıştır. İhlallerin tespiti neticesinde veri sorumlusuna 300.000 TL idari para cezası uygulanmasına ve mevcut durumda devam eden ihlallerin giderilmesi için veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Talimat olarak veri sorumlusuna, aydınlatma metninin okuduğunun ispatlanması için yer alan kutucuk yanında yer alan metinde aynı zamanda aydınlatma metnine onay veriliyormuş izlenimi veren “onay veriyorum” ifadesinin çıkarılması ve yeni yapılan düzenlemenin bildirilmesi gerektiği bildirilmiştir. Ayrıca veri sorumlusu, randevu başvuru formunda yer alan tüm veriler için açık rıza şartına dayanılmasının hukuk ve dürüstlük kuralına aykırı bulunduğu tespit edildiğinden, açık rıza kapsamında işlenen kişisel veriler varsa bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi noktasında talimatlandırılmıştır.
Kişisel Verileri Koruma Kanununda açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmaktadır. Bu bağlamda, açık rızanın öncelikle hangi konuya ilişkin olduğunun ve hangi verilerin hangi amaçlarla işlendiğinin açıklanması gerekmektedir. Diğer yandan, bu rızanın özgür iradeye dayanması gerektiğinden ilgilinin söz konusu hizmeti almak için açık rızayı vermeye zorlanması, özgür iradeyi sakatlayan bir durum olarak kabul edilmektedir. Ayrıca, veri işlenmesi için açık rızanın şart olmadığı hallerde de açık rıza şartına dayanılması Kurul tarafından hakkın kötüye kullanılması ve aldatıcı eylem olarak değerlendirilmektedir.
Bununla birlikte, bir ürün veya hizmetin sunulmasında talep edilen kişisel verinin hizmetin sunulması için gerekli olduğu, ancak söz konusu verinin açık rıza olmaksızın işlenemediği durumlarda gerekli bilgilendirmeler yapılmak şartıyla hizmetin sunulması için açık rızanın zorunlu tutulması bir ihlal teşkil etmeyecektir. Örneğin, sigorta şirketleri tarafından sağlık sigortası teklifi verilmesi ve sigorta poliçesi düzenlenebilmesi için ilgilinin sağlık verilerinin işlenmesi gerekmektedir. Kanunun 6’ıncı maddesinin üçüncü fıkrasına göre “özel nitelikli kişisel veri” olan sağlık verilerinin sigorta şirketi tarafından ancak açık rızaya dayanılarak işlenilmesi mümkündür. Bu nedenle, sağlık sigortası poliçesinin düzenlenmesinin açık rıza şartına bağlanması bu anlamda bir ihlal olarak değerlendirilmeyecektir.[1]
Ayrıca ürün ve hizmetlerin sunulması için açık rıza talep edilmesi hususunun dikkatli olarak ele alınması gerekmektedir. Bir ürün veya hizmete erişmeyi engellememekle birlikte, ürün veya hizmete daha avantajlı ve indirimli fiyatlarla erişmek için belirli verilerin işlenmesi noktasında açık rıza verilmesinin zorunlu tutulması; bu şekilde kullanıcılara ek menfaat sağlandığından ve ilgilinin ürün veya hizmete erişmesi engellenmediğinden Kurul tarafından Kişisel Verileri Koruma Kanununa aykırı bir durum olarak kabul edilmemektedir.[2]
Sonuç olarak, kural olarak kişisel verilerin işlenmesi ilgilinin açık rızasının bulunması şartına bağlıdır. Ancak Kanunda açık rıza olmadan veri işlemeye izin verilen hallerde açık rıza şartına dayanılması bir ihlal olarak değerlendirilmektedir. Çünkü ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem teşkil edecektir. Ayrıca açık rızanın bir hizmet veya ürünün sunulması için şart koşulması kural olarak açık rızanın unsurlarından olan “özgür iradeyi” zedeleyen bir durum olarak kabul edilmektedir. Buna karşın, söz konusu ürün veya hizmetin sunulması için bazı kişisel verilerin işlenilmesi gerektiği ve kişisel verilerin yalnızca açık rıza şartına dayanılarak işlenebildiği hallerde, açık rızanın şart koşulması için haklı bir sebep bulunduğundan KVKK anlamında bir ihlal olduğundan söz edilemeyecektir. Ancak her halükârda açık rıza verilen hususların belirgin ve doğru şekilde tespiti ile ilgilinin doğru bilgilendirilmesi önem arz etmektedir.
Av. İbrahim YÜCE
[1] Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı
[2] Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar
