Karar Özeti: Veri Koruma Otoritesi tarafından alınan başvuruda bir hastanedeki radyoloji hizmetine ilişkin eksikliklerin ışığında hastane, açıklama ve olası çözümlerin bulunması için dışarıdan bir uzmandan denetim yapmasını istemiştir. Denetimden sonra hastane, radyoloji servisi başkanı olan bir doktoru ciddi suistimal nedeniyle görevden almaya karar vermiştir. Söz konusu doktor, denetim raporuna ve özellikle kendisiyle bireysel olarak ilgili bölümlere erişim talep etti. Hastane, hastanenin veri sorumlusu olmadığını, raporun gizli olduğunu, raporun telif hakkıyla korunduğunu ve raporun başkalarına ait bilgiler içerdiğini öne sürerek erişim vermeyi reddetti. Bu ret cevabı üzerine doktor, Veri Koruma Otoritesi’ne başvurarak şikayette bulundu. Denetleyici olarak veri sorumlusu, veri işlenmesine ilişkin ilkelere uymaktan sorumluydu ve bu ilkelere uymak zorundaydı. Veri sorumlusu ayrıca işlemenin GDPR’ye uygun olmasını sağlamak ve gösterebilmek için uygun teknik ve organizasyonel önlemleri uygulamak zorundaydı ve Veri Koruma Otoritesi, ilgili kişinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemler kapsamındaki veri sahiplerinin veri öznelerinin kullanımını kolaylaştırma yükümlülüğüne açıkça atıfta bulunuyordu.
Veri Koruma Otoritesi, gizlilik konusunda veri sorumlusunun, raporun mesleki sır kapsamında olduğunu bir yana, raporun gerçekten gizli olduğunu kanıtlamadığını belirtmiştir. Telif hakkı hakkında, raporun yazarı ilk alıcıların ötesinde iletişime itiraz etmemiş gibi görünüyordu. Mevcut davadaki menfaatler dengesi, belgenin bir kopyasının paylaşılmasını ve durum böyle olsa bile hiçbir şey belgeye sadece danışılmayı engelleyemezdi.
Hastane, diğer kişilerle ilgili kişisel verileri düzeltebilirdi. Veri sorumlusunun ilgili kişinin talebi ile ilgili işlem yapmaması durumunda bilgilendirme hakkı uyarınca veri sorumlusu, bir denetim makamına şikayette bulunma veya yargı yollarına başvurma olasılığından bahsetmediği için bilgi verme açısından ihlal tespit edilmiştir. Veri Koruma Otoritesi, veri sorumlusunun denetim raporunun hazırlanması bağlamında kişisel verilerin toplanması ve işlenmesiyle ilgili herhangi bir bilgi vermediğini tespit etmiştir. Veri Koruma Otoritesi; bu tür bilgileri kısa, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanarak sağlamanın önemini vurgulmıştır. Veri Koruma Otoritesi, bu davada veri sorumlusu tarafından sağlanan bilgilerin, ilgili kişinin işlenen kişisel veri türlerini, işleme faaliyetlerini, işlemenin amacını vb. tanımlamasına izin vermeyen, yeterli ayrıntı düzeyine sahip olmayan belirsiz ifadeler içerdiğini tespit etmiştir. İlk olarak, hastane taleplerin randevu ile yapılmasını istemiştir ve e-posta veya başka herhangi bir iletişim aracıyla talepte bulunma imkanı sağlamamıştır. Veri Koruma Otoritesi, sistematik olarak tartışmaları gerektirmenin aşırı olduğunu belirtmiştir. Veri Koruma Otoritesi’ne göre, bu gereklilik korkutucu ve veri öznelerinin haklarını kullanma özgürlüğüne engel olarak görülebilir. Veri Koruma Otoritesi; hastaneyi, ilgili kişinin kimliğinin bir kopyasının, onları tanımlamak için gerçekten sistematik olarak gerekli olup olmadığını ve herhangi bir alternatif yolun kullanılıp kullanılamayacağını incelemeye davet etmiştir. Sonuç olarak herhangi bir idari para cezasına karar verilmemiştir çünkü Veri Koruma Otoritesi’nin hastanenin doğası nedeniyle para cezası vermesi uygun görülmemektedir. Veri Koruma Otoritesi, ek bir belgeye erişim sağlanması ve 3 aylık süre içinde işlenmesini uyumlu hale getirilmesi için emir vererek veri sorumlusu hakkında bir kınama yayınlanmasına karar vermiştir.
