15 Ocak 2021 tarihinde, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, veri sorumlularınca kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kişisel Verilerin Korunması Kanunu’na (“Kanun”) aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında 22.12.2020 tarih 2020/966 karar numaralı bir ilke kararı yayımlandı.
Ulaşım, e-ticaret, telekomünikasyon ve sair sektörlerde faaliyet gösteren veri sorumlularınca ilgili kişilere fatura, ekstra, rezervasyon gibi çeşitli dokümanların gönderilmesi amacıyla telefon numarası/e-posta gibi iletişim bilgilerinin ilgili kişilerden talep edildiği; ancak ilgili kişilerin yanlış beyanda bulunabildiği ve/veya üçüncü kişilerin bilgilerinin beyan edilebildiği, bu nedenle ilgili kişilerin kişisel verilerini içeren söz konusu dokümanların üçüncü kişilere iletildiği hususunda Kurum’a çeşitli ihbar ve şikâyetlerde bulunulmuştur.
Kurum, kişisel verilerin ancak Kanun ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğini hatırlatarak, kişisel verilerin işlenmesi sürecinde uyulması gereken ve Kanun’un 4. maddesinde sayılı temel ilkeleri vurgulamıştır.
Olay özelinde Kurum, Kanun 4/2-b maddesinde yer alan kişisel verilerin doğru ve gerektiğinde güncel olması ilkesine değinerek, bu ilkenin veri sorumlularının çıkarına uygun ve ilgili kişilerin temel hak ve özgürlükleri açısından ise gerekli olduğunu, bunun yanı sıra söz konusu ilkeyi gereği gibi yerine getirmekte veri sorumlusunun aktif özen yükümlülüğü bulunduğunu belirtmiştir. Şöyle ki, kişisel verilerin doğru ve güncel tutulması hususu, ilgili kişilere dair bir sonuç oluşturuyor ve doğuruyorsa, veri sorumlusu aktif özen yükümlülüğü altında gereken işlemleri gerçekleştirmelidir.
Bu doğrultuda Kurum,
- veri sorumlusu tarafından ilgili kişinin verilerinin doğru ve güncel olmasını sağlayacak kanalları açık tutmasının önem arz ettiğini, aksi halde doğru ve güncel olmayan kişisel veriler nedeniyle ilgili kişinin maddi ve manevi zarar görebileceğini,
- kişisel verilerin elde edildiği kaynakların belirli olması ve,
- kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi gerektiğini,
- ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik olarak iletişim adreslerine doğrulama kodu göndermek ve benzeri makul önlemlerin alınmasının gerekli görüldüğünü,
belirtmiştir.
Kurum aynı zamanda, Kanun’un 12. maddesini hatırlatarak veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılındığının altını çizmiştir.
Bu çerçevede Kurum, kişilerin iletişim adreslerine üçüncü kişilerin kişisel verilerini içeren ekstre, fatura gibi çeşitli dokümanların gönderilmesinin engellenmesini teminen, veri sorumlularının, kişisel verilerin doğru ve güncel olduğunu teyit etmek amacıyla Kanun madde 12/1 gereği çeşitli mekanizmalar oluşturmak adına idari ve teknik tedbirleri alması hususunda bir ilke kararı almıştır.
Kurum tarafından verilen ilke kararının tam metnine “https://www.kvkk.gov.tr/Icerik/6858/2020-966” linki üzerinden ulaşabilirsiniz.