Kuruma intikal eden şikayette özetle; ilgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği, bu özellikleri karşılayan ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği, ürünün satın alınabilmesi için söz konusu metinlerde bulunan alanların doldurulmasının zorunlu kılındığı, özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı ve hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;
- İnternet sitesinden gerçekleştirilecek alışveriş öncesinde müşterilerden hesap oluşturmalarının ve tanımlayıcı bilgilerle son iki kutucuğu işaretlemelerinin beklendiği, bunlardan önce yer alan ilk kutucuğun ticari iletişim amacıyla bulunduğu ve opsiyonel olduğu, kutucukların “opt-in” yöntemi ile onay verilecek bir sistem olarak düzenlendiği, müşterilerin opsiyonel olan ticari iletişime izin vermiş olmaları halinde dahi istedikleri zaman ve hiçbir gerekçe göstermeksizin açık rızalarını geri çekebileceği, söz konusu kutucuk üzerinden opt-in (tercihe bağlı) olarak onam verilip verilmemesinin internet sitesinden alışveriş yapılmasına engel teşkil etmediği, satış için ön koşul olmadığı,
- Vergi Usul Kanunu’nun 230’uncu maddesinde faturada bulunması gereken asgari içeriğin belirtildiği, bu alanda doldurulması talep edilen bilgilerin isim, soyisim ve adres bilgisi olduğu, bu bilgilerin satış işleminin yapılabilmesi ve fatura düzenlenebilmesi için mevzuat gereği alınması zorunlu bilgiler olduğu, e-posta adresinin ve hesap oluşturma işleminin müşterinin gönderi takibi yapabilmesi için gerekli olduğu, müşteri telefon bilgisinin gönderinin ulaştırılabilmesi amacıyla kargo şirketine verilmek üzere alındığı, T.C. kimlik numarasının zorunlu olmayıp kişinin doğru T.C. kimlik numarası bilgisini vermek istemesi halinde alındığı ve opsiyonel olduğu, internet sitesinde hiçbir şekilde sağlık verisinin talep edilmediği,
- Veri Sorumlusunun küresel bir grup şirketin iştiraki olduğu, uluslararası sistemlerin işleyişine katılım zorunluluğu nedeniyle yurt dışına sadece üyelikte alınan isim-soyisim, adres ve e-posta verisini aktarabildiği, bu verilerin de 6698 sayılı Kanun’un 9’uncu maddesine göre açık rıza doğrultusunda alındığı ve imalatçı sıfatıyla Tıbbi Cihaz mevzuatında düzenlenen yasal yükümlülükleri yerine getirebilmek amacıyla işlendiği, bu sebeple müşteriye özgür iradesi ile seçim hakkı sunularak ve aydınlatma metni ile açıkça bilgilendirilerek açık rıza vermesi halinde verilerin yurt dışına aktarılacağının belirtildiği,
- Açık rıza vermek istemeyen müşterilerin müşteri hizmetlerini arayarak ürünleri internet sitesi hariç bir satış kanalından temin edebilmesinin mümkün olduğu, müşterilerin zorunlu tutularak açık rızasının talep edilmesi gibi bir durumun söz konusu olmadığı, ticari iletişim açık rızası ve yurt dışına veri aktarımı açık rızasının iki farklı sekme ve farklı bilgilendirme metinleri ile müşteri incelemesine sunulduğu,
- Ürünün alternatif satış kanalının, Tıbbi Cihaz Satış, Tanıtım ve Reklam Yönetmeliği’ne uygun olarak Tıbbi Cihaz Satış Merkezi Yetki Belgesine sahip “yetkili satıcı aracılığıyla satış” olduğu, yetkili satıcının usule uygun olarak Ürün Takip Sistemi kaydının yapıldığı,
- Yetkili satıcının satış işlemini tamamlayabilmek adına; ürünlerin kargolanabilmesi için ve mali mevzuat uyarınca alınması zorunlu olan ve yasal gerekliliklerin tamamlanması için gerekli olan müşteri adı, soyadı ve adresi bilgilerini aldığı ancak bu verilerin herhangi bir surette işlenip/depolanmadığı, bununla birlikte yetkili satıcının yerel bir firma olması ve tüm işlemlerin Türkiye’de yürütülmesi sebebi ile verilerin herhangi bir surette yurt dışına aktarılmadığı,
- Yetkili satıcı tarafından sunulan alternatif satış kanalında herhangi bir ek veya farklı maliyet kalemi doğmadığı, kargo ücretinin ve/veya teslimatın ücretsiz yapıldığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1041 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişiyi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade edecek şekilde tanımlandığı,
- Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden; somut olayda Veri Sorumlusu tarafından verilen hizmetin İlgili Kişinin “açık rıza” vermesi şartına bağlanıp bağlanmadığının ele alınması gerektiği, Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızanın, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade ile açıklanan rıza olduğu, bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak alınması gerektiği, bu doğrultuda Veri Sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, diğer bir deyişle, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerektiği,
- Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması beklendiğinden bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde olmasının şart olduğu, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılmasının) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, zira hizmetin açık rıza şartına bağlanması özgür iradeyi ortadan kaldıracağından ilgili kişinin rıza beyanının da hukuken geçerli bir “açık rıza” olarak değerlendirilemeyeceği,
- İlgili Kişinin gerçek iradesi ile uyuşan ve kendi kararına dayanan bir beyan söz konusu değilse yahut rıza göstermemek İlgili Kişiyi rıza göstermekle amaçladığı duruma kıyasla zarara uğratmakta, rızanın daha sonra geri alınması hiçbir şekilde mümkün olmamakta ise rızanın özgür bir irade beyanına dayandığının kabul edilemeyeceği,
- İnceleme dosyası kapsamındaki tüm bilgi ve belgenin bir arada değerlendirilmesi neticesinde şikayet tarihinde yurt dışına veri aktarımına ilişkin açık rıza alınması yönündeki uygulamanın internet sitesi üzerinden yapılan satışlarda söz konusu olduğu, ancak kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu kanalın herhangi bir ek maliyet/yükümlülük öngörmeksizin müşterilere alışveriş olanağı sunduğu, bu doğrultuda İlgili Kişinin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebilecek olduğu, dolayısıyla hizmetin açık rıza şartına bağlanmış sayılamayacağı,
- Veri Sorumlusunun internet sitesi ve üyelik/satış ekranı incelendiğinde şikâyet tarihinde internet sitesinde ve üyelik ekranında yer alan ifadeler ile işbu karar tarihinde ulaşılan sayfalarda yer alan metinlerin farklı olduğunun görüldüğü, internet sitesinin önceki halinde yer alan “Ürün satın alma ile ilgili detaylı bilgi için … numaralı telefonumuzdan Müşteri Hizmetlerimize ulaşabilirsiniz.” şeklindeki ifadenin kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşterilerin müşteri hizmetleri aracılığıyla sipariş verebilme imkanına sahip olduğunu açıkça ortaya koymadığı, müşterilere şeffaf bir yönlendirme sağlamaktan uzak olduğu, güncel internet sitesinde yapılan değişikliğin alternatif bir satış kanalı bulunduğunun müşteriler tarafından anlaşılmasını hayatın olağan akışında beklenemez hale getirdiği,
- Gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı iddiası yönünden; kural olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu niteliğini haiz kişilerin Kanun’un 10’uncu maddesi uyarınca kişisel verisi işlenen gerçek kişilere karşı aydınlatma yükümlülüğünün uygulama alanı bulduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Usul ve Esaslar” başlıklı 5’inci maddesinin birinci fıkrasının (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu hükmünün yer aldığı, söz konusu iki hükmün birlikte değerlendirilmesi neticesinde, gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun’a aykırılık teşkil etmediği,
- Sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiası yönünden; Veri Sorumlusu tarafından satışa sunulan ürünü satın alan kişilerin diyabet hastası olduğu kanısına varılamayacağından istenen bilgilerin Kanun’un 3’üncü maddesi anlamında kişisel veri olduğu veya ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı,
- Kişisel verilerin ticari amaçlarla veya pazarlama maksadıyla işlenmesine rıza verilmeksizin de satın alım ve üyelik işlemine devam edilebildiği, İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızasının arandığı ve bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı tespit edildiğinden söz konusu iddia yönünden Veri Sorumlusunun uygulamasının Kanun’a aykırılık teşkil etmediği
değerlendirmelerinden hareketle;
- Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsendiği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı; diyabet hastalarının kullanımına sunulan bir ürünün satışının yapılması yolu ile bu ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı ve bu sebeple özel nitelikli kişisel veri işlendiği iddiasının kabul edilebilir olmadığı; İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızanın arandığı ve somut olayda bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı dikkate alınarak İlgili Kişinin gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı, sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına,
- Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden ise şikâyet tarihinde internet sitesi üzerinden yapılan alışverişlerde müşterilerin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rıza alındığı ancak kişisel verilerinin yurt dışına aktarılmasına rıza göstermeyen müşteriler için müşteri hizmetleri aracılığıyla satış kanalının mevcut olduğu, bu sebeple hizmetin açık rıza şartına bağlanmadığının değerlendirildiği ancak bu Karar tarihinde ise Veri Sorumlusunun internet sitesinde yapılan değişiklik neticesinde alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda Veri Sorumlusunun talimatlandırılmasına
karar verilmiştir.