Kuruma intikal eden dilekçelerde özetle; 

• İlgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı, 
• Testin yapılması sırasında ilgili kişilerin iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı, 
• Konu ile ilgili olarak yapılan başvurulara istinaden veri sorumlusu tarafından ilgili kişilere verilen cevapta ilgili kişilerin, çalıştıkları kurumun işvereni olarak bildirdikleri üçüncü kişi ile birlikte laboratuvar birimine gelerek bağımlılık yapıcı madde taraması yaptırmak istediklerini beyan ettikleri, her hastaya yapıldığı gibi kayıt aşamasında T.C. kimlik numarası, doğum tarihi, telefon numarası ve sonucun bildirileceği e-posta adresinin istenerek kayıt işlemlerinin yapıldığı, bahsi geçen hastaların ödemesinin beraber geldikleri işverenleri tarafından yapıldığı, hastaların yanında duyabilecekleri şekilde ve kameraların önünde kendi rızaları ile sözlü olarak onay alındıktan sonra işverene ait e-posta adresinin, sonuçların gönderilmesi için kayıtlara işlendiği ve ilgili kişilerin bu duruma hiçbir itirazının olmadığı, kişisel verilerin işlenmesindeki amacın tüm sağlık kuruluşlarında olduğu gibi kişiye özel bir kayıt oluşturmak ve çalışan test sonuçlarını raporlamak olduğunun beyan edildiği, 
• İlgili kişilerin diğer arkadaşlarından öğrendikleri şekliyle, test sonrasında şikâyette belirtilen üçüncü kişinin sonuçların kendisine gönderilmesini istediğini ve kayıt alan kişinin de hiçbir açık rıza beyanı almaya gerek duymaksızın verilen bilgiyi kayda aldığı,
• Her ne kadar veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında ilgili kişilerin işvereni olduğu belirtilse de söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği 

ifade edilerek gereğinin yapılması talep edilmiştir.

İlgili kişilerin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• İlgili kişilerin bağımlılık yapıcı madde tarama testi yaptırmak için şikâyette belirtilen üçüncü kişi ile birlikte kliniğe başvurduğu, bunun ardından standart hasta kayıt kabul prosedürü gereği kayıt sürecinin başlatıldığı,
• İlgili kişilerden alınan bilgiler çerçevesinde kayıt oluşturularak işlemin başlatıldığı, tüm bilgilerin ilgili kişilerin açık beyanı üzerine kayıt altına alındığı, işlem ödemesinin anılan üçüncü kişi tarafından yapılacağının beyan edildiği, ilgili kişiler tarafından söz konusu testlerin rıza dışında yaptırıldığına ilişkin bir geri bildirimde bulunulmadığı, ödeme alınarak ve faturası ilgili adına düzenlenerek test sürecinin başlatıldığı,
• Laboratuvar işleyişinde ilgili kişilerin beyan ettiği adres, telefon ve e-posta adresi gibi bilgiler iletişim adresi kabul edilerek tüm bildirimlerin anılan adrese yapıldığı, ilgili kişilerin kayıt esnasında kendi rızasıyla üçüncü kişiye ait e-posta adresini verdiği, 
• İlgili kişilerin veri sorumlusu hakkında somut olayla ilgili açtığı manevi tazminat davasının devam ettiği,
• Sağlık hizmeti sunucusunun banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerini duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirleri almakla; tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulamakla ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirleri almakla yükümlü olduğu,
• Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, KVKK ilkelerine aykırılık teşkil etmeyecek şekilde, bilginin, mümkün olduğunca sade şekilde, tereddüt ve şüpheye yer verilmeden, hastanın sosyal ve kültürel düzeyine uygun olarak anlayabileceği şekilde verildiği,
• Hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının-yakınlarının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla yerine getirildiği, bilgilendirmenin uygun ortamda ve hastanın mahremiyeti korunarak yapıldığı

hususları bildirilmiştir. 

Bahse konu inceleme sürecinde ilgili sağlık kuruluşu tarafından da söz konusu uyuşturucu testlerinin sonuçlarının üçüncü kişiye ait e-posta adresine gönderildiği ifade edildiğinden, Kişisel Verileri Koruma Kurulu tarafından ilgili kişilerin işvereninden, anılan üçüncü kişinin şirketteki konumu hakkında bilgi temin edilmesine karar verilmiştir. Karara istinaden işveren tarafından gönderilen cevabi yazıda özetle;

• İşveren bünyesinde çalışan personelden edinilen bilgi ile mağazanın alt katındaki depodan koku geldiğinin öğrenildiği, bu kokunun uyuşturucu dumanı kokusu olabileceğinin anılan üçüncü kişi personele iletildiği, bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı,
• İki personelin yaşlarından, bir personelin ise durumu bildiren kişi olmasından ötürü test sürecinden hariç tutulduğu, diğer personelin gönüllü olarak uyuşturucu testi yaptırdığı, sonrasında test yapılacak beş personelin klinik testleri için randevu alındığı, beş personelden birinin hastalığını gerekçe göstererek test yaptırmadığı, kalan personelin ise ilgili testi yaptırdığı, 
• Bahsi geçen personel test verdikten sonra sağlık kuruluşunda görevli bir kişinin test sonuçlarının hangi e-posta adresine gönderileceğini sorduğu, anılan üçüncü kişinin diğer personele test sonuçlarının onların e-posta adresine mi yoksa kendi e-posta adresine mi gönderilmesi istediklerini sorduğu, bunun üzerine personelin, test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri, bu sebeple anılan üçüncü kişinin e-posta adresini klinikteki görevliye verdiği, 
• Test sonuçlarının gönderildiği tarihte veri sorumlusu tarafından test veren personele gösterildiği ve sonrasında test sonuçlarını içeren e-postanın anılan üçüncü kişi tarafından derhal silindiği, 
• Kanun’a aykırı bir durumun söz konusu olmadığı, personelin ilgili işlemi kendi rızaları ile yaptığı, ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı, üçüncü kişinin e-postasının kliniğe işveren tarafından bildirilmediği, işverenin olayla ilgili herhangi bir hukuki ve cezai sorumluluğunun bulunmadığı

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 22/06/2022 tarih ve 2022/594 sayılı Kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin 
  (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
  (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
  (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
• Kişisel veri işleme faaliyeti bakımından açık rızanın hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden biri olduğu, açık rızanın ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağladığı ve rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, açık rızanın alındığına dair ispat yükünün ise veri sorumlusuna ait olduğu,
• Kanun’un 6’ncı maddesinin (4) numaralı fıkrası ile 22’nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"in belirlendiği, 
• Şikâyete konu iddialara ilişkin olarak, veri sorumlusundan ve işverenden alınan cevap yazılarının incelenmesi neticesinde, “ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı” şeklindeki açıklamadan anlaşıldığı üzere veri sorumlusu tarafından ilgili kişiye ait özel nitelikli kişisel veri niteliğindeki test sonuçlarının gönderildiği üçüncü kişinin, Kanun’un 6’ncı maddesi kapsamında işveren bünyesinde çalışanların kişisel sağlık verilerini ilgili kişilerin açık rızası olmaksızın işleyebilecek sır saklama yükümlülüğü altında bulunan iş yeri hekimi olmadığı,
• Öte yandan, veri sorumlusu sağlık kuruluşu tarafından Kuruma intikal ettirilen cevabî yazıda belirtildiği üzere anılan üçüncü kişinin işveren olduğu düşünülerek söz konusu özel nitelikli kişisel verilerin bahsi geçen kişinin e-posta adresine gönderildiği dikkate alındığında veri sorumlusunun ilgili kişilere ait özel nitelikli kişisel verileri göndereceği e-posta adresinin Kanun kapsamında sır saklama yükümlülüğü altında bulunan iş yeri hekimine ait olup olmadığını tespit etmeden gönderdiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanlarının bulunduğu ifade edilse de Kuruma söz konusu hususu kanıtlayıcı mahiyette herhangi bir bilgi ya da belge iletilmediği,
• Bu kapsamda, veri sorumlusu sağlık kuruluşunun, ilgili kişilerin sağlık verilerini üçüncü kişi ile paylaşması sureti ile gerçekleştirilen veri işleme faaliyetinin Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın gerçekleştirdiği dikkate alındığında Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerini ihlal ederek kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı

değerlendirmelerinden hareketle

İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600'e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.