Kişisel Verileri Koruma Kurulu 15.01.2021 Yayın Tarihli İlke Kararı Hakkında Değerlendirme

Kişisel Verileri Koruma Kurulu tarafından 22.12.2020 tarihli karar 15.01.2021 tarihinde Kurulun web sitesinde yayınlanmıştır[1]. Karar, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı niteliğindedir. Bilindiği gibi  İlke kararları Resmî Gazetede yayınlanarak ilgililer hakkında bağlayıcı nitelik kazanmaktadır. İlke kararına uyulmaması halinde, kararı uygulamakla yükümlü olan gerçek ve tüzel kişiler hakkında yaptırım uygulanmaktadır. 

Teknolojinin gelişimiyle dijital platformların da sık ve yaygın kullanımı neticesinde, kişisel verilerin paylaşımı ve korunması hususları ileri seviyede özen gerektirmeye başlamıştır. Bilgiyi veri sorumlularıyla paylaşırken veri sahibinin özen göstermesi gerektiği gibi, veri sorumlularının da aktarım ve paylaşım hususunda azami özeni göstermeleri gerekmektedir.

Bilindiği gibi e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların SMS ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletimi son derece sık yaşanır hale gelmiştir.

Bu noktada yeniden hatırlatacağımız gibi 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde

“a) Hukuka ve dürüstlük kuralına uygun olma

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

Yine Kanunun 12. Maddesi uyarınca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır. İdari ve teknik tedbirler, şirket tarafından başta çalışanlar olmak üzere oturtulması gereken bir şirket kültürünün en önemli basamaklarını teşkil eder.

Bu kurum kültürünü oluşturmak ve oturtmak için veri işleme ve koruma, veri saklama ve imha politikaları gibi temel belgelerin şirketler tarafından oluşturularak uygulamasının hayata geçirilmesi elzemdir. Bu kapsamda kurul, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, Kanuna aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda İlke Kararı almıştır. Yukarıda da belirtmiş olduğumuz üzere ilke kararları bağlayıcı nitelikte olup veri sorumlularının kişisel verilerin doğruluğunu teyit edecek idari ve teknik tedbirlerin alınması bakımından harekete geçmeleri gerekmektedir.

[1] https://www.kvkk.gov.tr/Icerik/6858/2020-966, Kişisel Verileri Koruma Kurulu’nun 22.12.2020 tarihli ve 2020/966 tarihli ilke kararı metni için tıklayınız.