Diyabet Cihazı Satışında Yurt Dışı Aktarımı ve Açık Rıza: 2023/1041 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 15/06/2023 tarihli ve 2023/1041 sayılı kararı ile bir tıbbi cihaz firmasının internet sitesi üzerinden yaptığı satışlarda sunduğu onay mekanizmalarını incelemiştir. Karar, “hizmetin açık rıza şartına bağlanması” yasağı ile “alternatif satış kanalları” arasındaki ilişkiye ışık tutmaktadır.

Olayın Özeti: “Onay Vermezsem Şeker Ölçüm Cihazı Alamıyorum”

İlgili kişi (hasta), vücuda takılan bir şeker ölçüm cihazını satın almak istediğinde; internet sitesindeki gizlilik ve aydınlatma metinlerini onaylamadan (kutucukları işaretlemeden) alışverişin tamamlanamadığını belirtmiştir. Şikayetçi, sağlık verilerinin pazarlama amaçlı kullanılmasının ve yurt dışına aktarılmasının zorunlu tutulmasının teşhis ve tedavi hakkını kısıtladığını iddia etmiştir.

Veri Sorumlusunun Savunması: “Müşteri Hizmetleri Bir Alternatiftir”

Veri sorumlusu firma savunmasında özetle;

• Hukuki Yükümlülük: Fatura için isim ve adres almanın yasal zorunluluk olduğunu,
• Açık Rıza ve Yurt Dışı: Küresel bir şirket oldukları için verilerin yurt dışına aktarıldığını ancak bunun için açık rıza aldıklarını,
• Alternatif Kanal: İnternet sitesinden onay vermek istemeyenlerin müşteri hizmetlerini arayarak veya yetkili satıcılar aracılığıyla, hiçbir verisi yurt dışına çıkmadan ve ek maliyet ödemeden ürünü alabileceğini belirtmiştir.

Kurulun Hukuki Değerlendirmesi

Kurul, uyuşmazlığı KVKK’nın “şeffaflık” ve “özgür irade” ilkeleri çerçevesinde üç ana başlıkta incelemiştir:

1. Ürün Alımı “Açık Rıza” Şartına Bağlanmış mıdır?

• Özgür İrade: Bir hizmetin sunulması, o hizmetle doğrudan ilgisi olmayan bir veri işleme faaliyetine (örneğin pazarlama veya yurt dışı aktarımı) rıza gösterilmesi şartına bağlanamaz.
• Alternatif Varsa Sorun Yok: Kurul, firmanın müşteri hizmetleri üzerinden rıza almaksızın satış yapabildiğini tespit etmiştir. Bu alternatif kanal “özgür iradeyi” korumaktadır. Ancak, internet sitesindeki yönlendirmenin yetersiz olduğunu, müşterinin bu alternatifi kolayca anlayamadığını saptamıştır.

2. Aydınlatma Metninin Onaylanması Zorunlu Olabilir mi?

• Onay Değil, Bilgilendirme: Aydınlatma metninin okunup işaretlenmesi bir “açık rıza” değildir; veri sorumlusunun Kanun’dan (Md. 10) doğan yükümlülüğünü yerine getirdiğinin ispatıdır. Bu nedenle bu kutucuğun zorunlu tutulması hukuka uygundur.

3. Cihazı Alan Herkes “Hasta” mıdır? (Sağlık Verisi Tartışması)

• Kurul, ilginç bir tespitle; sadece şeker ölçüm cihazı satın almanın, o kişinin mutlaka “diyabet hastası” olduğu ve sağlık verisinin işlendiği anlamına gelmeyeceğine, bu bilginin tek başına özel nitelikli veri (sağlık verisi) sayılamayacağına hükmetmiştir.

Karar Sonucu: “Şeffaf Ol ve Alternatifi Göster”

Kurul inceleme neticesinde;

• Aydınlatma metninin zorunlu tutulmasında ve sağlık verisi işlendiği iddiasında bir ihlal bulmamıştır.
• Hizmetin açık rıza şartına bağlanmadığına (alternatif kanal olduğu için) karar vermiş ancak firmanın bu alternatifi internet sitesinde “anlaşılması neredeyse imkansız” şekilde sunduğunu tespit etmiştir.
• Veri sorumlusuna, internet sitesindeki üyelik ve satış ekranlarında alternatif satış kanalını açık ve anlaşılır şekilde göstermesi talimatını vermiştir.

Özgür Eralp Perspektifi: “Alternatif Yol, Ana Yol Kadar Belirgin Olmalıdır”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, şirketlerin “Hukuki kılıfına uydurduk, alternatif sunduk” diyerek kullanıcıyı aslında tek bir yola (onay vermeye) zorladığını sıkça görüyoruz. Kurul bu kararla çok net bir mesaj vermiştir: “Alternatif bir yol sunmanız yetmez; bu yolu müşterinin gözüne sokmanız gerekir.”

Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğer internet sitenizde “Yurt dışına aktarımı onaylıyorum” kutucuğunu işaretlemeyen kullanıcıyı ödeme sayfasına geçirmiyorsanız, hemen yanına veya altına “Onay vermek istemiyorsanız şu numaradan sipariş verebilirsiniz” ibaresini net bir şekilde eklemelisiniz. Aksi halde, sunduğunuz alternatif “kağıt üzerinde” kalır ve rızanın sakatlanması nedeniyle ağır yaptırımlarla karşılaşırsınız. Tüketiciler ise sağlık gibi hassas konularda, teknolojik konforun (internet hızı) kişisel veri güvenliğinden (yurt dışı aktarımı) daha değerli olup olmadığını iyi tartmalıdır.

---

Sıkça Sorulan Sorular

1. İnternet sitesinde “Aydınlatma Metnini Okudum” kutucuğunun zorunlu olması yasal mı?

Evet. Bu, şirketin sizi bilgilendirdiğini kanıtlaması için gereken bir yöntemdir. Ancak bu kutucukla beraber “Reklam mesajlarını kabul ediyorum” gibi farklı bir onay da alınıyorsa o kısım isteğe bağlı olmalıdır.

2. Verilerimin yurt dışına gitmesini istemiyorum, ürünü nasıl alabilirim?

Kararda belirtildiği üzere; eğer firmanın bir müşteri hizmetleri hattı veya fiziksel mağazası varsa, buralardan kişisel verilerinizin yurt dışına aktarılmasına onay vermeden ürünü temin etme hakkınız mevcuttur.

3. Bir şeker ölçüm cihazı almak “sağlık verisi” işlemesi değil midir?

Kurul bu kararda, sadece satın alma işleminin (isim, adres, ödeme bilgisi) o kişinin hastalık durumuna dair kesin bir bilgi sunmadığına, dolayısıyla bunun bir “sağlık verisi” işlemesi sayılamayacağına karar vermiştir.

4. “Açık rızanın hizmet şartına bağlanması” ne demektir?

Bir şirketin size bir ürünü satmak için, o satışla ilgisi olmayan bir şeye (örneğin e-posta bültenine kayıt olmaya) sizi zorlamasıdır. Eğer ürünü almanın onay gerektirmeyen başka bir yolu yoksa bu bir “dayatma”dır ve hukuka aykırı dır.

5. Şirket internet sitesini neden değiştirmek zorunda kaldı?

Çünkü şirket, onay vermek istemeyenlere sunduğu “telefonla sipariş” seçeneğini çok gizli bir yere saklamıştı. Kurul, bu durumun şeffaflık ilkesine aykırı olduğuna ve müşterinin kandırıldığına hükmederek düzeltme istedi.

---

Kaynaklar

• KVKK Kurumu – 2023/1041 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 3, 5, 9, 10)
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
• Tıbbi Cihaz Satış, Tanıtım ve Reklam Yönetmeliği