Bir kişinin, kişisel verilerini rızasıyla bir kuruma (örneğin hastane) vermesi durumunda, bu kurumun verileri kaydetmesi TCK m. 135 açısından suç oluşturur mu? Bu rızanın kapsamı nedir?

Kişinin rızasıyla verilerini vermesi durumunda, kurumun bu verileri kaydetmesi TCK m. 135 açısından suç oluşturmaz, çünkü 'hukuka aykırılık' unsuru ortadan kalkar (TCK m. 135 Gerekçesi). Ancak bu rıza sınırsız değildir. Rıza, verilerin veriliş amacına uygun olarak işlenmesi ve saklanmasını kapsar. Hastane, hastanın teşhis ve tedavi amacıyla verdiği sağlık verilerini bu amaçla kaydedebilir. Ancak hastanenin bu verileri, hastanın rızası olmadan bir ilaç firmasına pazarlama amacıyla vermesi veya yayınlaması, rızanın kapsamını aşan bir eylem olur ve TCK m. 136'daki 'verileri hukuka aykırı olarak verme veya yayma' suçunu oluşturabilir. Dolayısıyla, ilk kayıt eylemi rıza nedeniyle hukuka uygun olsa da, verilerin amaç dışı kullanımı yeni bir suç teşkil edebilir.