SPOR SALONLARINDA KİŞİSEL VERİ İHLALİ
Bilişim sistemlerinin yaygınlaşması ve ticari işletmelerin dijitalleşmesi, kişisel verilerin toplanmasını ve işlenmesini kolaylaştırırken, bu verilerin korunması ihtiyacını anayasal ve yasal bir zorunluluk haline getirmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin temel hak ve özgürlüklerini, özellikle de özel hayatın gizliliğini korumak amacıyla yürürlüğe girmiştir. Ancak uygulamada spor salonları, oteller, hastaneler ve diğer hizmet sektörü işletmeleri, müşterilerinden yasal hiçbir gereklilik ve meşru amaç bulunmadığı halde fahiş miktarda veri talep etmekte; bu verilerin hukuki niteliğini araştırmadan veri tabanlarına kaydetmektedir. Bu durum, veri koruma hukukunun en temel prensiplerinden olan "veri minimizasyonu" (ölçülülük ve sınırlılık) ilkesinin açık bir ihlalidir. Kişisel Verileri Koruma Kurulu'nun (KVKK Kurulu) incelememize konu emsal kararı, bu suistimallere karşı duran ve özel nitelikli kişisel verilerin korunmasını en üst seviyeye çıkaran tarihi bir yaptırım içtihatıdır. Kararda; spor salonu üyelik sözleşmesi kapsamında, kanunun "özel nitelikli kişisel veri" (sağlık verisi) kabul ettiği "kan grubu" bilgisini üyelerin "açık rızasını" almadan işleyen ve üyenin bu konudaki resmi başvurusunu cevapsız bırakan büyük bir şirkete, ekonomik durumu ve ihlalin mahiyeti gözetilerek 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Pek çok ticari işletme, müşterilerinden kan grubu, parmak izi, avuç içi damar haritası veya sağlık raporu gibi verileri toplarken bunu basit bir üyelik prosedürü veya "acil durumlarda güvenlik" bahanesi altında meşrulaştırmaya çalışmaktadır. Oysa kan grubu verisi, doğrudan bireyin biyolojik yapısına ve sağlık durumuna ilişkin olup, kanun tarafından "sağlık verisi" kapsamında özel nitelikli veri sayılmıştır. Bu verilerin rıza dışı işlenmesi, siber saldırı veya sızıntı durumlarında üyelerin mahremiyeti ve güvenliği açısından fahiş bir risk teşkil eder. KVKK Kurulu, spor salonu işletmeciliğinin yanı sıra turizm, otelcilik ve inşaat gibi büyük sektörlerde faaliyet gösteren veri sorumlusunun ciro ve ekonomik gücünü de hesaba katarak caydırıcı bir ceza tayin etmiş, böylece KVKK mevzuatının kağıt üzerinde kalan bir kural değil, ticari hayatı disipline eden aktif bir ceza mekanizması olduğunu bir kez daha kanıtlamıştır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
KVKK'nın 6. maddesinde özel nitelikli kişisel veriler sınırlı sayıda (numerus clausus) sayılarak özel bir koruma rejimine tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Bu verilerin işlenmesi, diğer genel nitelikli verilere (isim, telefon vb.) kıyasla çok daha sıkı şartlara bağlanmıştır. Özel nitelikli kişisel verilerin, ilgilinin "açık rızası" olmaksızın işlenmesi kesin olarak yasaktır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, sır saklama yükümlülüğü altındaki kişiler tarafından açık rıza aranmaksızın işlenebilir. Spor salonlarının bu istisna kapsamında olmadığı tartışmasızdır.
VERİ MİNİMİZASYONU İLKESİ VE KANUN
KVKK'nın 4. maddesinde kişisel verilerin işlenmesinde uyulması zorunlu olan genel ilkeler düzenlenmiştir. Bu ilkelerin başında "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" prensibi gelir. Hukuk literatüründe buna "veri minimizasyonu" (data minimization) ilkesi denir.
Bir spor salonunun üyelik hizmeti sunabilmesi için üyenin adı, soyadı, iletişim bilgileri ve ödeme araçları gibi genel verilerin işlenmesi meşru amaç için yeterlidir. Spor salonunda spor yapacak bir kişinin "kan grubu" bilgisinin alınmasının, spor hizmetinin ifasıyla hiçbir doğrudan veya ölçülü bağı yoktur. Acil sağlık durumlarında ambulans ve hastane personeli zaten hastanın beyanına veya spor salonu kaydına bakarak kan nakli yapmaz; tıbbi protokoller gereği kan grubunu kendileri test eder. Dolayısıyla spor salonlarının güvenlik bahanesiyle kan grubu toplaması ölçülülük ilkesinin fahiş bir ihlalidir.
SPOR SALONLARINDA KAN GRUBU VERİSİ
Spor salonları, üyelik formlarında standart olarak "Kan Grubu" hanesi bulundurmakta ve üyeleri bunu doldurmaya zorlamaktadır. Üyeler de bunun sıradan bir prosedür olduğunu düşünerek verilerini paylaşmaktadır. Ancak kan grubu verisi, KVKK kapsamında doğrudan "sağlık verisi" kategorisindedir ve özel nitelikli veridir.
Kurul kararında bu husus net bir şekilde vurgulanmıştır: "Kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında..." Spor salonunun bu özel nitelikli veriyi veri tabanına kaydetmesi, Kanun'un 12. maddesindeki "veri güvenliğini sağlama" yükümlülüğünün ihlali anlamına gelir. Çünkü özel nitelikli veriler, siber saldırganların en çok hedef aldığı ve sızdırıldığında kişiye karşı ayrımcılık veya şantaj amacıyla kullanılabilecek nitelikte hassas bilgilerdir.
AÇIK RIZA ZORUNLULUĞU VE İSTİSNALARI
Açık rıza, KVKK'nın temel taşlarından biridir. Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Eşlerin boşanma davasında veya işçi hakları davalarında olduğu gibi, kişisel verilerin korunmasında da rıza dışı işlemler ağır yaptırımlara tabidir.
Spor salonu üye kaydı yaparken üyelerine zorunlu olarak imzalattığı matbu sözleşmenin içine kan grubu işleme maddesini yedirmiş olsa bile, bu geçerli bir açık rıza sayılmaz. Çünkü açık rızanın sözleşmenin ifası şartına bağlanmaması (hizmetin rıza şartına bağlanarak dayatılmaması) gerekir. Üyeye kan grubunu paylaşmama özgürlüğü sunulmalı ve bu konuda ayrı bir rıza kutucuğu (opt-in) oluşturulmalıdır. Karara konu olayda ise hiçbir rıza mekanizmasının kurulmadığı saptanmıştır.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ VE YAPTIRIMLAR
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. KVKK uyarınca veri sorumluları, veri güvenliğini sağlamak, sızıntıları önlemek ve ilgili kişilerin (veri sahiplerinin) başvurularına en geç 30 gün içinde gerekçeli cevap vermek zorundadır.
Somut uyuşmazlıkta veri sorumlusu olan spor salonu işleticisi şirket, iki büyük hata yapmıştır: Birincisi, açık rızasız özel nitelikli veri işlemiştir. İkincisi, durumu fark edip kendisine başvuran üyenin (ilgili kişinin) resmi başvurusunu tamamen cevapsız bırakmıştır. KVKK m. 11 uyarınca veri sahiplerinin hakları kutsaldır ve bu başvuruları görmezden gelmek kanunun doğrudan ihlalidir. Kurul, bu iki ihlali birlikte değerlendirerek faturayı kesmiştir.
KİŞİSEL VERİLERİ KORUMA KURULUNUN KARARI
Kişisel Verileri Koruma Kurulu'nun 23/12/2022 tarihli ve 2022/1357 sayılı bu kararı, hizmet sektöründe faaliyet gösteren tüm veri sorumluları için çok sert bir uyarı mektubudur. Karar, işletmelerin "Biz büyük bir grubuz, birçok sektördeyiz, bize bir şey olmaz" mantığını yerle bir etmiştir.
Kurul, ceza miktarını belirlerken şirketin turizm, otelcilik ve inşaat sektörlerindeki devasa ekonomik gücünü dikkate almış ve alt sınırdan uzaklaşarak 100.000 TL idari para cezası uygulamıştır. Bu yaptırım, veri sorumlularına şu mesajı vermektedir: Topladığınız her bir verinin hukuki hesabını vermek zorundasınız. KVKK, vatandaşların kişisel mahremiyetini ticari şirketlerin keyfi veri iştahına karşı sarsılmaz bir kararlılıkla korumaya devam edecektir.
SORU – CEVAP BÖLÜMÜ
Hayır, kesinlikle zorunda değilsiniz. Kan grubu verisi özel nitelikli kişisel (sağlık) veridir. Spor salonunun hizmet sunabilmesi için bu veriyi alması yasal olarak ölçülü ve gerekli değildir. Vermeyi reddedebilirsiniz ve salon bu nedenle üyeliğinizi iptal edemez.
Öncelikle yazılı olarak veri sorumlusu olan spor salonu işletmesine başvuru yaparak bu verinin silinmesini ve yasal dayanağını sorun. Eğer başvurunuza 30 gün içinde cevap vermezlerse veya verdikleri cevap yetersiz olursa, Kişisel Verileri Koruma Kurulu'na (KVKK) şikayette bulunabilirsiniz.
Bu gerekçe hukuken geçersizdir. Acil bir durumda sağlık ekipleri (112 acil veya hastane) asla bir spor salonunun veya kartvizitin üzerindeki kan grubu yazısına güvenerek kan nakli yapmazlar. Tıbbi kurallar gereği hastanede hızlıca kan testi yapılır. Dolayısıyla bu gerekçe meşru bir amaç teşkil etmez.
Geçerli değildir. KVKK ilkelerine göre açık rızanın "sözleşmeye yedirilerek" (paket rıza şeklinde) alınması hukuka aykırıdır. Üyenin bu veriyi paylaşıp paylaşmama konusunda özgür iradesini kullanabilmesi için, sözleşmeden ayrı bir kutucuğu işaretlemesi (açık rıza formu) gereklidir.
KVKK'nın 18. maddesi uyarınca, veri güvenliğine ilişkin yükümlülükleri (m. 12) yerine getirmeyen ve özel nitelikli verileri hukuka aykırı işleyen veri sorumlusu şirketlere, her yıl güncellenen oranlarda çok yüksek idari para cezaları verilir. Ayrıca bu şirketlerin yöneticileri hakkında TCK uyarınca ceza davası da açılabilir.
Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir