Kişisel Verilerin Korunması Kurumu’na yapılan şikayetler kapsamında 22/12/2020 tarihli ve 2020/966 sayılı “veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler” hakkında ilke kararı yayımlanmıştır. Kurul tarafından yapılan değerlendirmeler sonucunda bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ilgili hükümlerine aykırılık teşkil ettiği tespit edilmiştir.
Anılan karara konu incelemede Kurul, e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca fatura, ekstre, rezervasyon bilgileri gibi kişisel veri içeren dokümanların sms ve-veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği; bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmüştür.
Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesinin ikinci fıkrasında kişisel verilerin işlenmesinde:
a) Hukuka ve dürüstlük kuralına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”
ilkeleri düzenlenmiştir. Veri sorumlularının söz konusu ilkelere uyma yükümlülüğü olup, ilkelere aykırılık hallerinin tespiti halinde haklarında işlem yapılacağı ilgili mevzuat ve emsal kurul karar kararlarında hüküm altına alınmıştır. Bu kapsamda veri sorumluları tarafından kendileriyle paylaşılan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, kişilerin temel hak ve özgürlüklerinin korunması açısından oldukça gereklidir. Özetle; veri sorumluların kayıt altındaki tuttukları verilerin doğru ve güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır.
Bunun yanı sıra veri sorumlularının,
1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. Kişisel verilerin muhafazasını sağlamak ve bu amaçlara yönelik uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma
yükümlülükleri Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde zorunluluk hali olarak düzenlenmiştir.
Yapılan inceleme neticesinde; veri sorumluları tarafından kişisel telefon numarası, e-posta adresi gibi iletişim kanallarına KVKK’ya aykırılık teşkil edecek şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesi amacıyla; veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiğine karar verilmiştir.
Sonuç olarak; Veri sorumlularının KVKK kapsamında düzenlenen yükümlülükleri doğrultusunda, kendilerine aktarılan bilgileri doğru ve güncel tutma; aynı zamanda bu verileri muhafaza etme amacıyla gerekli her türlü tedbiri alma zorunluluğu bulunmaktadır.
Yayımlanan bu ilke kararı ile birlikte, gerekli ve yeterli tedbirleri almayan ve bu noktada ilgili kişilerin zarar görmesine yol açan veri sorumluları, yasaya ve kanuna hakim ilkelere aykırı davranışta bulunmaları gerekçesiyle idari para cezası uygulaması ile karşı karşıya kalacaktır.
Başak GÜLER