Kişisel Verileri Koruma Kurulu, geçtiğimiz gün, sağlık Sektörünü ilgilendiren iki karar yayınladı. Kararların ilkine göre, “bir özel sağlık kuruluşunun sağlık hizmeti sunarken kişisel verilerin duyurulardan haberdar olmak için işlenmesi konusunda açık rıza şartını zorunlu kılmasının Kişisel Verilerin Korunması Kanuna aykırılığı nedeniyle” veri sorumlusuna idari para cezası uygulandı.
Karara göre; Kuruma sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu yönünde bir ihbar geldi.
Yapılan inceleme sonrası Kurul, randevu almak isteyen kişilerin, tanıtım amacıyla veri işleme faaliyetine ilişkin açık rıza vermeden randevu tamamlayamamasının, açık rızanın unsurlarından “özgür irade ile verilme” koşulunu sakatladığı ve Kanun’un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygunluk ilkesine aykırı olduğu ifade edildi.
Bunun yanı sıra, sağlık hizmetine yönelik randevu talebi sırasında, açık rıza işleme şartı dışındaki işleme şartlarının da kullanılabilmesi mümkünken, sadece Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayanılması aldatıcı ve hakkın kötüye kullanımı niteliğinde olduğunu belirtti. Bu nedenle Kurul, veri sorumlusuna 300.000 TL idari para cezası verilmesine ve açık rıza metinlerinin düzenlenmesine karar verdi.
Açık Rıza olsa bile sağlık verileri reklam faaliyetleri için kullanılamaz
Yayınlanan diğer kararda, bir hastanenin sağlık verileri dahil kişisel verileri reklam ve tanıtım amaçlarıyla işlediği yönünde Kurum’a ihbarda bulunulması sonucu inceleme başlatıldı. İnceleme sonucunda, hastalardan sağlık verilerinin video çekimleri yapılarak sosyal medya hesaplarından paylaşıldığı, bunun için de hastalardan açık rıza alındığı belirlendi. Karara göre, “bu işlemin ölçülülük ilkesine aykırı olduğu ve reklam yapmaya yönelik olduğu” tespit edildi ve özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu sektörel düzenlemeler göz önüne alındığında, açık rızanın bir veri işleme şartı olarak kabul edilemeyeceği sonucuna varıldı. Bu nedenle, veri sorumlusu hakkında 250.000 TL idari para cezası uygulanması, kişisel verilerin işlenmesine son verilmesi, işlenen verilerin uygun şekilde imha edilmesi, üçüncü kişilere aktarılan verilerin de imha edilmesi ve bu süreçlerin Kurula bildirilmesi yönünde karar verildi.
Özetle, Kurul, bu kararlarda hastanın randevu alma işlemi sırasında reklam ve tanıtım faaliyetleri için onay ve açık rıza vermesini aldatıcı ve sağlık verilerinin reklam faaliyetleri için kullanılmasını ise ölçüsüz buldu.
Kararlar, tüm sağlık kuruluşları ile ilgili olsa da aslında tüm sektörleri ve tüm veri sorumlularını yakından ilgilendiriyor. Veri sorumlularının özellikle internet sitelerindeki işlemlerde ticari ileti onayını zorunlu tutması çok karşılaşılan bir husus. Bu nedenle benzer yaptırımlarla karşılaşmamak adına veri sorumlularının gerekli düzenlemeleri gecikmeksizin yapmaları gerekiyor.
Hastalıklar hakkında hastaların görüntü ve videoları paylaşılmadan bilgilendirme yapılmalı
Kurul, sağlık verilerinin özel hastanelerin reklam ve tanıtım faaliyetleri için kullanılamayacağı ve hastadan açık rıza alınsa dahi bunun geçerli olmayacağı konusunda noktayı koymuş oldu. Kararda, “hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacına ulaşabilmek için kişisel sağlık verilerinin işlenmesinin zorunlu olmadığı, zira herhangi bir kişisel veri işlenmeksizin yalnızca ilgili hastalıklar hakkında bilgilendirme yapılmasının mümkün olduğu, dolayısıyla ulaşılmak istenen amaç bakımından kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığı dikkate alındığında somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülü olmadığı” belirtildi.
Kısacası, hastaların hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması kuruluşları idari para cezaları ile karşı karşıya bırakabilir. Bu nedenle sağlık kuruluşlarının sosyal medya hesaplarındaki paylaşımları gözden geçirmesi ve karara aykırı paylaşımları silmesi gerekir.
(Yazıyla ilgili görüş ve düşüncelerinizi [email protected] adresine göndererek yazarımızla paylaşabilirsiniz.)
