Kişisel Verileri Koruma Kurulunun 2020/966 Sayılı İlke Kararı
Kişisel Verileri Koruma Kurulu’nun 15.01.2021 Tarihinde Resmi Gazetede Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler Hakkında 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı yayınlandı. Bu kararla birlikte Kanunun 4.maddesinde sayılan doğru ve gerektiğinde güncel olma ilkesi kapsamında veri sorumlusunun aktif özen yükümlülüğünün kapsamı belirlenmiş ve doğrulama yapılması gerektiği ifade edilmiştir.
Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderildiği tespit edilmiştir. Bu gönderimler için ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmüştür. Bu durumun da kişisel verilerin işlenmesinde temel ilkelerden olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği ifade edilerek söz konusu ilke karar alınmıştır.
Kurul tarafından yayınlanan Kişisel Verilerin İşlenmesinde Temel İlkeler Rehberinde ‘’Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise geçerlidir (örneğin kredi verme işlemleri).’’ şeklinde ifade edilmiştir. İlke kararda da bu hususa değinilmiştir.
Ancak Veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koymuyorsa bile ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutmalıdır. Bu husus hem ilgili kişilerin temel hak ve özgürlüklerinin korunması, bilgilerin başka kişilerin eline geçmesinin önlenmesi hem de veri sorumlusunun menfaatleri açısından önem arz etmektedir.
Veri Sorumluları Neler Yapmalı ?
Veri Sorumlularının, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemleri alması gerekmektedir.
Bu Kapsamda Veri Sorumluları, ilgili kişilerden aldığı iletişim bilgilerine kişisel veri içeren herhangi bir döküman (ekstre, sipariş bilgisi, başvuru alındısı, mesaj alındısı, kargo bilgisi, yarışma sonucu vs) göndermeden önce bu kanalların gönderileceği iletişim adresleri için ;
- SMS ile veya e-posta ile doğrulama kodu yada teyit mesajı göndermelidiler. Veri sorumluları doğrulamayı sağlandıktan sonra ilgili kişilere kişisel verileri içeren dökümanları iletmeli ve iletişime geçmelidir.
- Gönderilen teyit mesajlarında veya doğrulama kodları reklam, tanıtım içerikli ticari ileti amaçlı ise, çıkış imkanını içeren linklerin de bulunarak kişilere çıkış hakkı sunulması hem 6698 sayılı Kişisel Verilerin Korunması Kanun hem de 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamındaki gerekliliklerdendir.
- Üyelik sistemi bulunan internet sitelerinde kişilerin daha önce vermiş oldukları bilgileri değiştirebileceği, güncelleyebileceği alanlar bulunmalıdır.
- Bunlar dışında ilgili kişilerden gelen bilgi güncelleme taleplerinin de karşılanması önemlidir.
- Gönderilen doğrulama kodları otomatik oluşturulmalı, manuel atanmamalıdır. Kişilere gönderilen doğrulama kodları ve teyit mesajlarının mutlaka log kaydı tutulmalıdır. Bu teyit mesajlarının ve doğrulama kodlarının gönderildiğinin ispat yükü Veri sorumlularındadır. Bilgileri güncelleme taleplerinin de kayıtları tutulmalı ve ilgili kişiden geldiğinden emin olunmalıdır.
Veri sorumluları, bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaları oluşturarak, gerekli tedbirleri almalıdır. Bu tedbirlerin alınmaması Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edecektir. Bu tedbirleri almayan veri sorumluları 29.503 ₺ – 1.966.862 ₺ arasında idari para cezası yaptırımlarıyla karşılaşabilecektir.
Kişisel Verileri Koruma Kurulunun 2019/166 Sayılı Kararı
İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kişisel verileri Koruma Kurulu’nun 31/05/2019 Tarihli ve 2019/166 Sayılı kararıyla veri sorumlusuna yaptırım uygulanmasına karar vermiştir.
Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması başlıklı Kişisel Verileri Koruma Kurulu Kararında ‘’Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin; Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.’’
Kişisel Verileri Koruma Kurulunun 2019/333 Sayılı Kararı
Doğru ve gerektiğinde güncel olması yalnızca ilgili kişilerden teyit alınmasıyla ilgili değildir. Ayrıca alınan bilgilerin bütün benzerliklere rağmen doğru kişilere de gönderilmesiyle de ilgilidir. Ve veri sorumlularının bu noktada özen yükümlülüğü bulunmaktadır.
Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/333 Sayılı Karar Özetinde ad ve soyadı benzer kişiler abonelik sözleşmesinde aynı iletişim adresini vermişlerdir. Ve daha sonra kendisine ait olmayan e-postalar alan kişi konuyla ilgili veri sorumlusuna başvurmuştur.
Karara göre ‘’Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varılmıştır.’’
Yukarıdaki kararda da görüleceği üzere verilerin doğru ve gerektiğinde güncel olması sağlanmalıdır. Ayrıca aynı iletişim adreslerinin iki farklı kişi tarafından verilip verilmediğin teyiti de yapılmalıdır. Veri sorumlusu buna ilişkin idari ve teknik tedbirleri almak zorundadır.
Kişisel Verilerin İşlenmesinde Temel İlkeler Hakkında Daha fazla bilgi için: https://www.eralp.av.tr/soru-324-kisisel-verilerin-islenmesinde-genel-temel-ilkeler-nelerdir/