“İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması” hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti
İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde Hastaneden savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin, tarafları nezdinde SMS gönderimine ilişkin herhangi bir açık rızasının bulunmadığı,
- İlgili kişinin kişisel verilerinin hiçbir şekilde taraflarınca işlenmediği
- İlgili kişinin kişisel verilerinin yurt içinde ve yurt dışında hiç kimseye aktarılmadığı, çünkü ilgili kişinin kişisel verilerinin bünyelerinde işlenmediği,
- Reklam içerikli telefon aramalarından herhangi bir şekilde haberlerinin olmadığı, ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
- Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı
ifade edilmiştir.
Bununla birlikte, şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastanenin internet sitesinin iletişim bölümünde yer alan numara arandığında ise karşı tarafça şikâyete konu telefon numarasının da Hastanenin checkup merkezi olarak açıldığı yönünde bilgi verildiğinden, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgelerle birlikte Kuruma iletilmesi talep edilmiştir.
Hastane tarafından Kuruma iletilen cevap yazısında özetle:
- Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,
- Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,
- Müşterilerin Hastane tarafından bulunmadığı bu nedenle ilgili kişinin herhangi bir bilgisinin bünyelerinde bulunmadığı, Firmanın ilgili kişinin bilgilerini ne şekilde bulduğu, bulup bulmadığı vb. konularda taraflarının bilgilendirilmediği,
- Hastane bünyesinde ilgili kişinin bilgilerinin bulunması ve gerekli onayı almış olması halinde taraflarının bu kişiyi direkt arayacağı ve checkup ile ilgili bilgileri bildireceği, başka bir firmanın checkup hizmeti için taraflarına hasta yönlendirmesi halinde komisyon aldığı dikkate alındığında Hastanenin kendi bünyesinde bulunan bilgileri bir başka firma ile paylaşmasının da hukuki ve mantıken açıklanabilecek yönünün de bulunmadığı,
- Firmanın, Hastaneye bağlı bir firma veya Hastanenin checkup departmanının da olmadığı, Firmanın sadece taraflarına kanuna uygun olarak hasta bulmakta olduğu, Firmanın kendisini Hastanenin checkup departmanı gibi yani kendilerine bağlı bir firma gibi tanıttığının tespit edilmesi halinde konu ile ilgili de Firma ile hukuki girişimlere başlanılacağı,
- Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığı, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi hiçbir zaman taraflarından tedavi hizmeti almadığı, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediği, Firmanın hukuka ve sözleşmeye uygun olarak taraflarına hasta yönlendirme hizmeti vermekte olduğu sözleşme gereğince de hasta temin etme hususunda hukuka aykırı bir işlem yapması halinde Firmanın sorumlu olacağının açıkça düzenlendiği
açıklamalarına yer verilmiştir.
Müteakiben, söz konusu iddialara ilişkin Firmadan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişiye ilişkin Hastane adına arama yapıldığı, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğu, ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığı, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığı, bünyelerinde kişisel verilerin tutulmadığı, çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile kullanılarak randevuların düzenlediği, bu nedenlerle yurt içine ya da yurt dışına herhangi bir kişisel veri aktarımının söz konusu olmadığı, bu açıklamalar doğrultusunda şikâyetin reddine karar verilmesinin talep edildiği
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Kararı ile,
- Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;
- Sözleşme konusunun, Hastanenin bünyesinde sunulan checkup panelinin Firma tarafından üçüncü kişilere pazarlanması ve satışı ile yapılan satıştan sonra Hastanenin bu hizmeti karşılaması ve aradaki ticari işlemleri kapsadığı,
- Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği,
- Firmanın kendisi için tasarlanmış checkup panelini piyasa şartları çerçevesinde Hastaneden yazılı onay almak suretiyle kendisinin belirleyebileceği, satışı artırmak için gerekli noktalarda kampanyalar ve aktiviteler düzenleyebileceği,
- Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,
- Firmanın bu sözleşme devam ettiği sürece bu ürünü ister web sitesi aracılığı ile ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği,
- Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu,
- “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği,
- Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği server’ların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği,
- Müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemedikleri,
- Tüm arama, satış, backoffice, teslim ve takip adımlarının giriş ve yönetiminin dijital ortamda yapıldığı, ofiste müşteri bilgi güvenliğini tehlikeye sokacak gereksiz matbu formların kullanılmadığı
şartlarına yer verildiğinin görüldüğü,
- Kanunun 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, diğer bir ifadeyle, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği, ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,
- Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde de çağrı merkezinin veri işleyen olduğu; “… veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.” şeklinde açıklandığı,
- Bununla birlikte Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunun “Veri sorumlusu bazı işlerini çağrı merkezine bırakır ve çağrı merkezine veri sorumlusunun müşterilerini veri sorumlusunun kimliğini kullanarak arama talimatı verir. Bu durumda müşterilerin beklentileri ve veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunma şekli dış kaynak firmasının veri sorumlusu adına bir veri işleyen olarak hareket ettiği sonucunu doğurur.” şeklindeki örnekle açıklandığı,
- Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği; bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Hastanenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Hastanenin meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği” hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.