Türkiye Kişisel Verileri Koruma Kurumu sağlık sektöründe açık rıza uygulamalarını inceliyor – sağlık
14 Ağustos 2023 tarihinde Türkiye Kişisel Verileri Koruma Kurumu (“Veri Koruma Departmanı”), öncelikle sağlık kuruluşlarının açık rızaya dayalı kişisel veri işleme faaliyetlerine odaklanan iki ihlal kararı yayınladı. DPA, yine yalnızca açık rızaya dayanmanın kişisel verilerin işlenmesinin hukuka uygunluğunu sağlamak için yeterli olmayabileceğinin altını çiziyor ve bu tür bir rızanın geçersiz bulunması muhtemeldir.
Bu yeni kararların öne çıkan noktaları aşağıda özetlenmektedir:
Açık rıza yasal sınırları aşamaz
Veri Koruma Kurumu, veri sorumlusu sıfatıyla özel bir sağlık kuruluşuna, hasta verilerini sosyal medyada paylaşarak tanıtım faaliyetinde bulunduğu gerekçesiyle 250 bin TL (yaklaşık 8 bin 450 Euro) idari para cezası verdi. Veri koruma kurumu, kurumun hastaların açık rızasını almasına rağmen bu tür tanıtım faaliyetlerinin Türk sağlık mevzuatı tarafından yasaklanması nedeniyle cezayı kesti. Bu faaliyet yasa dışı olduğundan DPA, kişisel verilerin işlenmesini gerektiren bir faaliyetin kanunen yasaklanması halinde, yalnızca açık rızaya dayanılmasının bunu haklı kılmayacağını açıkça ifade etmiştir.
Arka planda ne oldu?
Bu durumda hasta (veri sahibi), imzaladığı açık rıza formlarının hukuki geçerliliğine ilişkin kaygılarını dile getirmiştir. Bu modeller, fotoğraf ve videolarının tanıtım amacıyla ortak medya aracılığıyla özel hastaneyle paylaşılmasına olanak tanıdı.
Öte yandan Sağlık Kurumu (veri sorumlusu) savunmasında, (1) özel hastanelerin tanıtım faaliyetlerine katılma hakkına sahip olduğunu, (2) tanıtım faaliyetlerinin hastalıklar ve tedaviler konusunda kamuoyunu bilinçlendirmeyi amaçladığını ve ( 3) Bu faaliyeti 6698 sayılı Türk Kişisel Verilerin Korunması Kanununa uygun olarak yürütmek üzere hastaların açık rızasını almış olmaları (“DP HukukuOnlara göre bu eylemler nedeniyle kanuna aykırı bir durum söz konusu değildi.
Siyasi İşler Bakanlığı ne değerlendirdi?
Veri koruma sözleşmesi, veri kontrolörlerinin veri işlemeyi tüm kanunların sınırları dahilinde yürütmekle yükümlü olduğu ilkesini vurguluyor. Bu bakımdan açık rıza alınsa dahi kişisel verilerin sektöre özel yasal düzenlemelere aykırı olarak işlenmesi hukuka aykırıdır.
Veri koruma yetkilisi, değerlendirmesinde, sağlık kuruluşunun, hastaların açık rızasını aldıktan sonra medya aracılığıyla sağlık bilgileri ve tanıtımlarını paylaştığını tespit etti. Ancak Veri Koruma Otoritesi şuna karar verdi:
- Bu işleme faaliyetinin meşru bir amacı bulunmaması, sağlık kuruluşunun Türk mevzuatı kapsamında izin verilen bilgilendirme ve tanıtım faaliyetlerinin ötesine geçmesi1;
- İşleme faaliyeti Türk sağlık mevzuatına uygun değildi;
- Farkındalık yaratmak amacıyla hasta verilerinin paylaşılmasına gerek olmadığı için orantılılık ilkesi ihlal edildi.
DPA çözünürlüğü nedir?
Verilerin medyada paylaşılması konusunda hastaların açık rızasının alınmasına rağmen, sağlık kuruluşunun bu eylemi Türk sağlık mevzuatının ihlali olarak değerlendirildi. Darfur Barış Anlaşması’nın, açık rıza almanın aşırı veri toplanmasını doğrulamadığını yinelediğini belirtmekte fayda var.
Sonuç olarak veri sorumlusu 250.000 TL (yaklaşık 8.450 Euro) idari para cezasıyla karşı karşıya kalacak. Ayrıca Veri Koruma Kurumu, Veri Sorumlusuna, söz konusu faaliyetin derhal durdurulması ve söz konusu faaliyete ilişkin tüm kişisel verilerin güvenli bir şekilde imha edilmesinin sağlanması talimatını vermiştir.
Rehberiniz ücretsiz olabilir: Randevu almak için açık rıza talep ettiği için ceza alan özel bir sağlık kurumu
Özel sağlık kurumu açılması ve Darfur Barış Anlaşması’nın açıkça onaylanmasıyla ilgili bir karar daha ortaya çıktı. Bu kararda özel bir sağlık kuruluşuna, randevu alabilmek için hastaların açık rızasını alma zorunluluğu getirilmesi nedeniyle 300 bin TL (yaklaşık 10 bin 140 euro) para cezası verildi.
Arka planda ne oldu?
Bu soruşturmayı tetikleyen senaryoda, veri sahibi bir sağlık kurumu aracılığıyla randevu almaya çalışmıştır. Bu noktada birey, sağlık kurumunun hizmetleri ve reklamları hakkında bilgi almak için açık rıza vermenin önemli bir adım olduğunu kaydetti. Veri sahibi, atanmasının rıza verilmesine bağlı olduğunu iddia etmiş ve bu nedenle bu süreçle ilgili olarak Veri Koruma Kurumuna şikayette bulunmuştur.
Sağlık kurumu savunmasında kişisel verileri randevuları yönetmek, kimlik doğrulamak ve bu konuda açıklayıcı metin göndermek amacıyla elde ettiğini belirtti. Sağlık kuruluşu, bireylerin isterlerse rıza vermelerine olanak tanıyan isteğe bağlı bir onay kutusu sunduğunu belirterek, bireylerin rıza verme zorunluluğunun olmadığını vurguladı. Sağlık kuruluşu, şikayet üzerine internet sitesinde DP Kanunu uyarınca gerekli düzenlemelerin yapıldığını da belirtti.
Siyasi İşler Bakanlığı ne değerlendirdi?
Veri Koruma Dairesi Başkanlığı, inceleme sonucunda aşağıdaki karara vardı:
- Sağlık kuruluşunun tanıtım faaliyetleri için açık onay verilmediği sürece randevu işlemi sonlandırılamaz. Bu gereklilik, açık rızanın doğasında bulunan “özgür irade” unsuruyla çelişmektedir ve bu nedenle bu şekilde açık rıza alınması, veri sahiplerinin özgür iradesine zarar vermektedir;
- Sağlık kuruluşunun randevu kaydı sırasında kişisel verileri işlemesinin açık rıza dışında alternatif hukuki dayanakları bulunmaktadır. Bu nedenle açık rızaya dayanmak aldatıcı ve hakkın kötüye kullanılmasıdır.
DPA çözünürlüğü nedir?
Yukarıdaki değerlendirmeler ışığında veri koruma makamı, açık rızanın gereksiz yere toplanmasının hakkaniyet kuralına aykırı olduğunu belirtmiştir. Ayrıca DPR, tanıtım faaliyetleri için koşullu açık rıza teklifinin veri sahiplerinin özgür iradesini zayıflattığını vurguladı. Bu nedenlerle sağlık kuruluşuna internet sitesinde gerekli değişikliklerin yapılması yönünde talimat verilerek 300 bin TL (yaklaşık 10 bin 140 euro) idari para cezası uygulandı.
marj
1. Yeni getirilen Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik özetimizi okuyabilirsiniz Burada.
Bu makalenin içeriği konuya ilişkin genel bir rehber niteliğinde olmayı amaçlamaktadır. Bu gibi durumlarda uzman tavsiyelerinin alınması tavsiye edilir.
