Sağlık Verileri, Performans Ölçüm Cihazları ve KVKK: Sporcularda Kişisel Verilerin Korunması

Profesyonel spor artık yalnızca fiziksel performansa dayalı bir faaliyet değil; aynı zamanda veri analitiği, giyilebilir teknoloji, performans ölçüm sistemleri ve sağlık takip cihazlarının yoğun şekilde kullanıldığı yüksek teknoloji tabanlı bir sektördür. Sporcuların sağlık verileri, kondisyon ölçümleri, nabız, oksijen seviyesi, sakatlık geçmişi, uyku düzeni ve genetik yatkınlık gibi bilgiler kulüpler için değerli performans araçlarıdır. Ancak bu veriler KVKK kapsamında “özel nitelikli kişisel veri” sayıldığından sıkı koruma altındadır.

Spor kulüpleri, federasyonlar ve sağlık ekipleri bu verileri işlerken hem veri güvenliği sağlamak hem de hukuki uyum yükümlülüklerine uymak zorundadır.

---

1. Sporcularda Toplanan Veri Türleri: Hangi Veriler Özel Niteliklidir?

Sporcular hakkında işlenen başlıca veri grupları:

A. Sağlık Verileri

• Kan değerleri,

• Sakatlık raporları,

• MR/BT görüntüleri,

• Fiziksel muayene sonuçları,

• İlaç kullanım bilgileri.

KVKK m.6 kapsamında özel nitelikli veridir.

B. Performans Verileri

• Nabız, hız, ivme, dayanıklılık, VO2Max,

• Antrenman yükü, uyku düzeni, stres ölçümleri.

Bu veriler ticari değeri yüksek olduğundan hassas kabul edilir.

C. Konum ve Hareket Verileri

GPS cihazları ile sporcuların koşu mesafesi, pozisyon analizi, hız profilleri.

D. Genetik Veriler

Bazı kulüpler sakatlık risk analizi için genetik test yaptırmaktadır. Bunlar “en hassas veri kategorisidir”.

---

2. KVKK Kapsamında Hukuki Dayanak: Açık Rıza Şartı

Sağlık verileri açık rıza olmaksızın işlenemez.

Açık rıza:

• Belirli bir konuya ilişkin olmalı,

• Bilgilendirmeye dayanmalı,

• Özgür iradeyle verilmelidir.

Sporcudan alınan genel nitelikli “tüm verilerimi işleyebilirsin” şeklindeki rızalar geçerli değildir.

Rıza metni:

• Hangi verilerin toplandığını,

• Ne amaçla kullanıldığını,

• Kimlerle paylaşılacağını
  detaylı olarak açıklamalıdır.

---

3. Kulübün Veri Sorumluluğu ve Yükümlülükleri

Kulüpler KVKK kapsamında veri sorumlusu sayılır. Yükümlülükleri:

A. Veri Envanteri Oluşturma

Hangi verinin nerede tutulduğu belirlenmelidir.

B. Teknik ve İdari Tedbirler

• Şifreleme,

• Erişim kısıtlaması,

• Log kayıtları,

• Çift doğrulama,

• Siber güvenlik protokolleri.

C. Veri Minimizasyonu

Gereksiz veri toplanamaz.

D. Saklama Süresi

Veriler ihtiyaç duyulan süre kadar tutulabilir; süresi dolunca anonimleştirilmeli veya silinmelidir.

E. Sporcuya Bilgi Verme Yükümlülüğü

KVKK m.10 gereği sporcuya şu bilgiler verilir:

• Veri işleme amacı,

• Hukuki dayanak,

• Aktarılan kişiler,

• Saklama süresi,

• Haklar (silme, düzeltme, itiraz).

---

4. Sağlık Personelinin Sır Saklama Yükümlülüğü

Takım doktoru ve fizyoterapistler:

• Tıbbi verileri kulüp yönetimiyle paylaşırken sınır gözetmek zorundadır,

• Sır saklama yükümlülüğü altındadır,

• Sadece sportif performans için gerekli bilgiyi paylaşabilir,

• Oyuncu onayı olmadan sağlık raporlarını açıklayamaz.

Bu yükümlülüğün ihlali:

• Tazminat sorumluluğu,

• Disiplin yaptırımı,

• KVKK idari para cezası doğurabilir.

---

5. Performans Ölçüm Cihazlarının Kullanımı: Hukuki Sorunlar

Giyilebilir cihazlar:

• GPS yelekleri,

• Nabız bantları,

• Akıllı saatler,

• Şut hız ölçerler,

• Uyku ve yorgunluk analiz cihazları.

Bu cihazlarda asıl problem verilerin üçüncü taraf şirketler tarafından işlenmesidir.

Kulüpler şu sorumlulukları taşır:

• Cihaz sağlayıcısıyla veri işleme sözleşmesi yapmak,

• Verilerin Türkiye dışına aktarılmasını kontrol etmek,

• Bulut depolama sistemlerinin güvenliğini sağlamak.

Aksi hâlde veri ihlali durumunda kulüp sorumlu tutulur.

---

6. Verilerin Üçüncü Kişilere Aktarılması: Sözleşmesel Sınırlar

Sporcu verileri:

• Sponsor firmalara,

• Basına,

• Transfer yapılacak kulüplere,

• Sağlık kuruluşlarına

açık rıza olmadan aktarılamaz.

Özellikle transfer dönemlerinde, bir sporcunun sakatlık geçmişinin izinsiz paylaşılması:

• Kişilik hakkı ihlali,

• KVKK ihlali
  sayılır.

Bu durum kulübün tazminat sorumluluğunu doğurur.

---

7. Sporcu Verilerinin Reklam ve Pazarlamada Kullanılması

Kulüpler bazen:

• Performans verilerini,

• Sağlık iyileşme süreçlerini,

• GPS istatistiklerini

sosyal medya içeriklerinde kullanmaktadır. Bu da ticari amaçlı veri işlemedir.

Açık rıza şarttır. Aksi hâlde:

• İdari para cezaları,

• Tazminat talepleri,

• Sözleşme ihtilafları
  gündeme gelebilir.

---

8. CAS ve Uluslararası Uygulamalar

CAS kararlarında şu ilkeler öne çıkar:

• Sağlık verileri yalnızca sportif amaçlarla ve minimal düzeyde kullanılabilir,

• Sporcunun rızası olmadan veri paylaşımı hukuka aykırıdır,

• Verinin ticari amaçla kullanılması için “ayrı ve açık rıza” gerekir,

• Genetik veriler çok daha sıkı koruma altındadır.

Avrupa Birliği GDPR düzenlemesi KVKK’ya paralel olup kulüpler için yol göstericidir.

---

9. Veri İhlali Durumunda Kulübün Sorumluluğu

Veri ihlali örnekleri:

• Sistem hacklenmesi,

• Cihazlarda veri sızıntısı,

• Yetkisiz erişim,

• Yanlış kişiye veri paylaşımı.

Kulüp şu yükümlülüklere tabidir:

• KVKK’ya bildirim (en geç 72 saat),

• Sporcuyu bilgilendirme,

• Teknik tedbirleri güçlendirme,

• Gerekirse tazminat ödeme.

---

Sonuç: Spor Hukukunda Veri Koruma Oyunun Yeni Kurallarını Belirliyor

Sporcuların sağlık ve performans verileri, kulüpler için paha biçilmez bilgiler olsa da hukuki açıdan en yüksek koruma altındaki veri kategorisidir. Kulüpler ve federasyonlar:

• Açık rıza almadan veri işleyemez,

• Veriyi yalnızca gerekli ölçüde kullanabilir,

• Güvenlik standartlarını sağlamak zorundadır,

• Üçüncü kişilerle veri paylaşımında sınırları gözetmelidir.

Dijitalleşen spor dünyasında veri koruma bilinci, hem sporcu haklarının hem de kulübün hukuki güvenliğinin teminatıdır.