Kişisel Verileri Koruma Kurulu'nun (“Kurul”) 2020/966 sayılı ve 22 Aralık2020 tarihli yeni ilke kararı (“İlke Karar”) Kişisel Verilerin Korunması Kurumu'nun (“Kurum”) internet sitesinde 15 Ocak 2021 tarihinde yayınlamıştır.

E-ticaret, telekomünikasyon, ulaşım ve turizm başta olmak üzere muhtelif sektörlerde faaliyet gösteren veri sorumlularına yönelik olarak Kurum'a iletilen şikayet ve ihbarları esas alarak Kurul, İlke Karar ile veri sorumluları tarafından ilgili kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına ilgili kişilerin yanlış beyanları sebebiyle sehven 6698 Sayılı Kişisel Verilerin Korunması Kanunu'na (“Kanun”) aykırı şekilde gönderilen üçüncü kişilere ait kişisel verilere ilişkin görüşünü ortaya koymuştur.

İlke Karar kapsamında özetle;

Kanun'un 4. Maddesi'nın (1) numaralı fıkrası gereğince kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğinin düzenlenmiş olduğu ve anılan maddenin (2) fıkrası uyarınca kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma ilkesine uyulmasının zorunlu olduğunun hüküm altına alınmış olduğuna dayanılarak,

  • İşleme faaliyeti kapsamında kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulmasında hem veri sorumlusunun hem de ilgili kişinin menfaati olduğu,
  • Kişisel verilerin doğru ve güncel şekilde muhafaza edilmesinin ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğu ve bununla birlikte özellikle veri sorumlusu kişisel verilere dayanarak ilgili kişi hakkında bir sonuç oluşturuyorsa bu noktada verilerin doğru ve gerektiğinde güncel olmasının sağlanması için veri sorumlusunun aktif özen yükümlülüğünün  bulunduğu,
  • Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi riskinin bulunduğunu belirterek veri sorumlusunun ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek iletişim kanallarının daimi olarak açık tutulmasının önemi vış,
  • Kişisel verilerin doğru ve güncel tutulabilmesini sağlamak ve kişisel verilerin doğru olmamasından kaynaklı şekilde ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önüne geçilmesi adına (i) kişisel verilerin elde edildiği kaynakların belirli olması ve (ii) kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ve bu kapsamda ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınmasının gerekliliği

belirtilmiştir.

  • Yukarıdaki gerekliliklerin sağlanmasında Kurul, Kanun'un 12. Maddesi'nin (1) fıkrasına dayanarak veri sorumlularının (a) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve (c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduklarını vurgulamıştır.

Bu açıklamaları ışığında ise sonuç olarak veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, Kanunu'na aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önüne geçmek adına, Kanunun 12. maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından ilgili kişilerce kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması amacıyla gerekli idari ve teknik tedbirlerin alınması hususunda karar verilmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.