Kuruma intikal eden şikâyetinde özetle ilgili kişinin;

• Ocak 2018 tarihinde hastanede bir doktor tarafından muayene edildiği, ilgili doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderdiği, bu sebeple doktor tarafından hastaneden ayrılırken kişisel verilerinin hukuka aykırı olarak temin edildiğini düşündüğü,
• Konuya ilişkin ilgili doktora ve hastaneye başvurduğu, doktorun cevabında kendisine ait verilerini sağlık durumunun kontrolü amacıyla aldığını belirttiği, hastanenin cevabında ise başvurusuna konu ettiği kişisel verilerine ilişkin özel bilgi vermek yerine genel nitelikte ve konuya özgü olmayan bir cevap verildiği, bu çerçevede taraflardan yeterli bir cevabın alınamadığı,
• Kendisinin sadece yaklaşık 3 sene önce ilgili doktora bir kere muayene olduğu ve sonrasında hiçbir muayene ya da tedavinin söz konusu olmadığı, ne hastane nezdinde ne de doktor nezdinde devam eden ya da takip edilen hiçbir sağlık probleminin söz konusu olmadığı, bu sebeple ilgili doktorun hastaneden ayrılırken kendisine ait verileri usulsüz olarak ele geçirdiği ve kendi özel kliniğinde maddi çıkar sağlamak üzere kullandığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında hastane ve doktor hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hastaneden ve ilgili doktordan savunması istenilmiş olup doktordan alınan cevabi yazıda özetle;

• Hastaneden ayrılırken rehberinde telefon numaraları bulunan hastalara artık mesleğini özel muayenehanede yürüteceğine dair bilgilendirme mesajı gönderdiği,
• Hastanede çalışmadığı konusunda hastaların bilgilendirilmesinin önem arz ettiği ve hastalara kolaylık sağladığı, bu hususun özellikle kadın doğum uzmanlığı gibi yüksek ihtisaslar için bir zorunluluk olduğu, somut durumda da ilgili kişinin iletişim bilgilerini kendisinin paylaşmış olduğu, bu açıdan hastaların bilgilendirilmesinin hayatın doğal akışına uygun ve mesleğin doğası gereği olduğu, ayrıca bu durumun mesleki bir sorumluluk olduğu,
• 2017-2020 arasındaki dönemde hastane ile arasında kurulan ilişkinin bir işçi-işveren ilişkisi olmadığı, tıp dünyasında genel geçer uygulamalara uygun olarak hastaların doktoru kendisi iken; hastaların barınma, yeme-içme, hastane hizmetlerinden faydalanma, yatış işlemleri gibi “hekimlik dışı” işlemlerinde, hastayla arasında ilişki kuran tarafın hastane olduğu, tüm sağlık sektöründe de işleyişin bu şekilde olduğu, hastanenin, hasta-doktor ilişkisinde sağlık ve bakım hizmetleri söz konusu olduğu durumda devreye giren bir süje olduğu,
• Bu kapsamda tıbbi bakım ve tedavi hizmetlerinin özünü sağlayanın hastane değil, hekim olduğu; bundan ötürü de hastanın her zaman doktorla iletişim kurmak ve onu takip etmek istediği, bu durumun sadece özel hastanelerde değil neredeyse tüm hasta-hekim ilişkisinin kurulduğu tıbbi yerleşkelerde söz konusu olduğu, somut olayda da şikayetçinin hastane bünyesinde bulunan ve yüksek ihtisasa sahip dört doktor arasından kendisiyle hasta-hekim ilişkisi kurmayı tercih ettiği,
• Bu minvalde meslek hayatı boyunca neredeyse tüm hastalarıyla iletişim bilgilerini memnuniyetle paylaştığı ve sadece hastalarıyla iletişim için kullandığı bir numarasının bulunduğu, özellikle de uzmanlık ihtisasının kadın doğum doktorluğu ve özel alanının ise tüp bebek uzmanlığı olması sebebiyle iletişimin hem mesleğin etik gereklilikleri hem de hastanın hassasiyeti ve beklentileri sebebiyle çok daha büyük bir önem arz ettiği,
• İlgili kişinin sadece adı-soyadı ile telefon numarası bilgilerinin mevcut olduğu, bu bilgilerin ilgili kişiyi muayene ettiği tarihte ilgili kişinin kendisi tarafından paylaşıldığı, bunun dışında ilgili kişinin sağlık verisi gibi bilgilerini kaydetmesinin ve saklamasının mümkün olmadığı, ilgili kişinin iletişim numarasının da doğrudan cep telefonu rehberine kaydedildiği ve üçüncü kişilerle paylaşılmadığı,
• İlgili kişinin başvurusunun ardından cep telefonu numarasının da silindiği

ifade edilmiştir.

Hastaneden alınan cevabi yazıda ise özetle;

• Doktor ile aralarındaki sözleşmenin Eylül 2020 tarihinde sona erdiği, bu tarihten itibaren doktorun hastane kayıt ve sistemlerine erişemediği, dolayısıyla Eylül 2020 tarihinden sonra doktor tarafından gerçekleştirilen herhangi bir haksız veri işleme faaliyetinden hastanenin sorumlu tutulamayacağı,
• Hastalara ait kişisel verilerin Hastane Bilgi Yönetim Sistemine (HBYS) kaydedildiği, ardından hasta tarafından randevu alınması halinde, ilgili hastanın HBYS'ye kaydedilmiş olan verilerinin muayenenin gerçekleştirilmesi amacıyla yine HBYS sistemi üzerinden hekimlerin erişimine açıldığı, bu sistemin yalnızca muayene işleminin gerçekleştirilmesi amacıyla çalıştığı,
• Bir hekimin hastasının iletişim bilgilerine erişiminin olmasının hayatın olağan akışı içerisinde oldukça normal bir durum olduğu ve hastanın menfaati için gerekli olduğu,
• Hastanın adı, soyadı, T.C. kimlik numarası, iletişim bilgileri, şikâyeti, özgeçmişi, öykü, soy geçmişi, bulgu bilgilerinin HBYS üzerinden yalnızca tedavinin sağlanması amacıyla görüntülenmek üzere söz konusu doktorun erişimine sunulduğu, log kayıtlarından da anlaşılacağı üzere doktorun epikriz raporu oluşturmak ve ilgili kişinin sağlık bilgilerini Hastane Bilgi Yönetim Sistemine kaydetmek üzere sisteme giriş yaptığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 08/09/2022 tarih ve 2022/923 sayılı Kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Somut olayda, ilgili kişi tarafından şikayet dilekçesinde hastanede yer alan kişisel verilerinin doktor tarafından hukuka aykırı olarak temin edildiğinin iddia edildiği, hastanenin  cevabında ilgili kişinin 16.01.2018 tarihinde hastanede görev yapmakta olan şikayete konu doktora muayene olduğu; doktorun 01.09.2020  itibariyle hastane ile olan iş ilişkisinin sona erdiği ve bu tarihten itibaren hastane kayıt ve sistemlerine erişim imkanının kalmadığı; sisteme giriş kayıtlarında da (log) doktorun ilgili kişinin kaydına hastanede çalıştığı süre içerisinde sisteme giriş yetkisi bulunurken 12.01.2018, 19.01.2018 ve 27.06.2018 tarihlerinde giriş yaptığının görüldüğü,
• Doktor tarafından ise, ilgili kişinin kişisel verisi olan cep telefon numarasının hastane kayıtlarından temin edilmediği, aksine ilgili kişinin muayenesi esnasında branşının mahiyeti gereği iletişim kurulabilmesi amacıyla bizzat kişiden temin edilerek cep telefonuna kaydedildiği, hastaneden ayrılması akabinde de güncel adresi hakkında bilgi verilerek kendisiyle iletişim kurulabilmesi amacıyla telefon rehberinde kayıtlı olması sebebiyle ilgili kişiye de SMS gönderildiğinin beyan edildiği değerlendirildiğinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği,
• 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilerek bu çerçevede, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceğinin belirtildiği,
• Diğer taraftan, Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
• Veri sorumlusunca ilgili kişiye ait kişisel verilerin belirtilen amaçlar dışında başka amaçlarla işlenmemesi, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması, amacın gerçekleşmesiyle ilgili olmayan kişisel verilerin işlenmesinden kaçınılması gerektiği,
• Kanun’un gerekçesinde de “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5’inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı, dolayısıyla veri sorumlusunun kişisel verileri ilk veriliş amacıyla uyumsuz bir şekilde işlememesi, farklı bir amaçla işleme durumu söz konusu ise bu işlemenin de ayrıca bir hukuka uygunluk sebebine dayanması gerektiği,
• Somut olayda, şikayet konusu SMS’in kendi mesleki faaliyeti kapsamında ilgili kişiye gönderilmesi özelinde veri sorumlusu olduğu anlaşılan doktorun ilgili kişiyi 2018 Ocak ayında, çalıştığı hastane bünyesinde muayene ettiği, ilgili kişi ile olan hasta-doktor ilişkisi kapsamında sistem bilgilerine hastane doktoru olarak en son 2018 Haziran ayında girdiği, bu tarihten sonra ilgili kişi ile doktor arasında tıbbi olarak bir temas sağlandığına yönelik herhangi bir kaydın ya da beyanın bulunmadığı, ancak veri sorumlusu doktor tarafından 2020 yılında, hastane ile olan iş ilişkisinin sona erdiği ve güncel adresinin değiştiği hakkında ilgili kişinin hastanede muayene olurken vermiş olduğu ve halihazırda doktorla bir hizmet ilişkisi de bulunmazken ilgili kişinin cep telefonuna kısa mesaj göndermek suretiyle ilgili kişinin kişisel verisi olan telefon numarasının işlendiğinin anlaşıldığı,
• İlgili kişinin 2018 Ocak ayından 2020 yılının Eylül ayına kadar olan süre içerisinde, doktor ile arasında aktif bir hasta-doktor ilişkisinin bulunmadığı, doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayane/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği ve bu işlemenin de ilgili kişinin açık rızasına ya da Kanun’un 5’inci maddesinde yer alan diğer işleme şartlarından herhangi birine dayanmadığının anlaşıldığı

değerlendirmelerinden hareketle;

• Eldeki bilgi ve belgeler çerçevesinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastane hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığına, bu kapsamda Kanun’un 12’nci maddesine aykırı uygulamada bulunan gerçek kişi veri sorumlusu doktor hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.