KVKK'den müşterilerin kan grubu bilgisini kayıt altına alan spor salonuna ceza

Kişisel Verileri Koruma Kurulu, müşterilerinden açık rızası olmadan üyelik için kan grubu bilgisini kayıt altına alan spor salonunu 100 bin lira idari para cezasına çarptırdı.

AA

Bir spor salonuna üyelik yaptıran kişi, üyelik sürecinde aydınlatma yapılmadan ve açık rıza alınmadan kan grubu bilgisinin işlendiğini öne sürerek Kişisel Verileri Koruma Kurulu'na başvurdu.

Başvuruyu inceleyen Kurul, kan grubu verisinin özel nitelikli kişisel veri olduğu, açık rıza alınmadan bu verinin işlendiği sonucuna ulaşarak spor salonuna 100 bin lira idari para cezası verdi.

Kurulun kararında, 'Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin belirtildiği, ayrıca açık rızanın aranmayacağı durumların da Kanun'da sayıldığı aktarıldı.

Kanun kapsamında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğuna işaret edilen kararda, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtildi.

AYDINLATMA METNİ SUNULMADIĞI BELİRLENDİ

Spor salonunun, üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metni sunmadığına dikkatin çekildiği kararda, sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesinin Kanun kapsamında açık rıza ile mümkün olduğu belirtildi.

Kararda, spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işlem için açık rıza alınmadığı kaydedildi.

Spor salonunun, Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri yerine getirmediği" belirtilen kararda, üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği vurgulandı.