Gecelikli işkencede son karar: Hepsine ceza yağdı
Kişisel Veriler Koruma Kurulu müşterilerinin açık rızası olmaksızın kan gruplarını kayıt altına alan spor salonuna 100 bin TL’lik idari para cezası verdi.
Kişisel Verileri Koruma Kurulu tarafından bir spor salonuna, müşterilerinin rızası olmadan özel nitelikli kişisel veri grubunda olan kan grubu bilgisini kayıt altına aldığı için 100 bin TL’lik idari para cezası verildi.
Spor salonunun müşterisi, üyelik sürecinde aydınlatma yapılmadan ve açık rıza alınmadan kan grubu bilgisinin işlendiğini öne sürerek Kurula başvurdu.
Başvuruyu inceleyen Kurul, kan grubu verisinin özel nitelikli kişisel veri olduğu, açık rıza alınmadan bu verinin işlendiği sonucuna ulaşarak, spor salonuna100 bin lira idari para cezası verdi.
Kurulun kararında, “Kişisel Verilerin Korunması Kanunu”nda kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin belirtildiği, ayrıca açık rızanın aranmayacağı durumların da Kanun’da sayıldığı aktarıldı.
Kanun kapsamında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğuna işaret edilen kararda, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtildi.
Spor salonunun, üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metni sunmadığına dikkatin çekildiği kararda, sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesinin Kanun kapsamında açık rıza ile mümkün olduğu belirtildi.
Kararda, spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işlem için açık rıza alınmadığı kaydedildi.
Spor salonunun, Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan “veri güvenliğine ilişkin yükümlülükleri yerine getirmediği” belirtilen kararda, üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği vurgulandı.