Kişisel Verileri Koruma Kurulu’nun 2020/966 Sayılı İlke Kararı’na İlişkin Değerlendirme
Giriş
Kişisel Verileri Koruma Kurulu (“Kurul”), fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanları SMS ve/veya e-posta iletisi aracılığıyla göndermek için kişilerden telefon numarası ve/veya e-posta adresi talep eden veri sorumlularının hukuka aykırı olarak ilgili kişiler dışındaki üçüncü kişilere ait kişisel verileri işlemelerini önlemek adına bir ilke kararı tesis etmiştir. Kurul’un tesis ettiği 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararı, 15.01.2021 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Bilhassa e-ticaret, telekomünikasyon, ulaşım ve turizm gibi sektörlerde faaliyet gösteren veri sorumluları, ilgili kişilerden iletişim kanallarına ilişkin olarak bilgi talep etmektedir. Ancak uygulamada ilgili kişilerin kendilerine ait iletişim kanallarına ilişkin bilgileri yanlış vermesi veya kendilerine ait olmayan, üçüncü kişilere ait bilgileri vermesi söz konusu olabilmektedir. Bu durumda veri sorumlularının üçüncü kişilere ait bilgileri Kanun’a aykırı bir şekilde üçüncü kişilerle paylaşması gibi durumlar ortaya çıkabilmektedir. Bunun önüne geçilebilmesi adına tesis edilen İlke Kararı’nda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde kişisel veri işleyen veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, Kanun’a aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına karar verilmiştir.
- İlke Kararı’na İlişkin Değerlendirmeler
Kurul tarafından tesis edilen İlke Kararı ile, veri sorumlularının halihazırda Kanun kapsamında bulunan yükümlülüklerine ek olarak getirilen yükümlülükler aşağıda belirtilen alt başlıklar ile özetlenebilecektir.
- Veri Sorumlusunun Aktif Özen Yükümlülüğü
İlke Kararı’nda, Kanun’un “Genel İlkeler” başlıklı 4. Maddesi uyarınca kişisel verilerin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğinin hüküm altına alındığı ve kişisel verilerin işlenmesinde Kanun’da yer alan genel ilkelere uyulması gerektiği belirtilmiş ve Kurum’a yapılan şikayetler Kanun’da düzenlenen genel ilkelerden birisi olan doğru ve gerektiğinde güncel olma ilkesi çerçevesinde değerlendirilmiştir. Bu değerlendirme çerçevesinde, veri sorumlularının kişisel verileri doğru ve gerektiğinde güncel bir şekilde tutma yükümlülüğünün hem veri sorumlularının çıkarlarına uygun olduğu hem de ilgili kişilerin temel hak ve özgürlüklerinin korunması açısından gerekli olduğu ifade edilerek, veri sorumlularının kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün bulunduğuna vurgu yapılmıştır. Aktif özen yükümlülüğü, Kurum tarafından evvelce yayımlanan rehberde de belirtildiği üzere, veri sorumlusunun işlediği kişisel verilere dayalı olarak ilgili kişiler ile ilgili bir sonuç meydana getiriyor olması halinde söz konusu olacaktır[1]. Dolayısıyla, veri sorumlusunun elde ettiği kişisel verileri işlemesi neticesinde ilgili kişilerin lehine ya da aleyhine bir sonuç meydana geliyorsa veri sorumlusunun aktif özen yükümlülüğünden bahsedilebilecektir. Bu duruma ilişkin olarak Kurum tarafından kredi verme işlemi örnek verilmiştir.
- Veri Sorumlusunun Her Zaman İlgili Kişinin Bilgilerinin Doğru ve Gerektiğinde Güncel Olmasını Temin Edecek Kanalları Açık Tutma Yükümlülüğü
İlke Kararı’nda, veri sorumlularının her zaman ilgili kişilerin verilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutmasının önem arz ettiği belirtilmiştir. Bu yükümlülük, ilgili kişilerin Kanun’un 11. maddesinde düzenlenen kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzenlenmesi hakkı ile de doğrudan bağlantılıdır. Dolayısıyla, ilgili kişilerin veri sorumlularına yöneltebileceği hakları çerçevesinde verilerinin doğru ve güncel olmasını talep etmeleri halinde veri sorumlularının bu taleplerin iletileceği kanalların açık olmasını temin etmeleri gerekmektedir. Örneğin, bir ilgili kişinin e-posta adresini değiştirmesi ve bu değişikliğin düzenli olarak hizmet aldığı veri sorumlusunun kayıtlarında da güncellenmesini istemesi halinde, bu talebin ilgili kişi tarafından veri sorumlusuna kolayca iletilebilmesi gerekmektedir. İlke Kararı’nda aksi takdirde ilgili kişilerin güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesinin gündeme gelebileceği belirtilmiştir.
- İlgili Kişiler Tarafından Beyan Edilen Bilgilerin Doğrulanmasına Yönelik Makul Önlemler Alma Yükümlülüğü
İlke Kararı’nda, ilgili kişilerin yahut ilgili kişilerin beyan ettiği üçüncü kişilerin kişisel verilerinin korunabilmesi adına veri sorumlularının kişisel verileri elde ettikleri kaynakların belirli olması ve kişisel verileri toplandığı kaynağın doğruluğunun tespit edilmesi gerektiği belirtilmiştir. Bu kapsamda veri sorumlularının, kişisel verilerin doğru olmamasından kaynaklı olarak ilgili kişiler açısından olumsuz sonuçların ortaya çıkmasının önlenmesi için ilgili kişiler tarafından beyan edilen iletişim bilgilerinin doğrulanmasına yönelik makul önlemler almalarının gerekli görüldüğü ifade edilmiştir. Bu doğrulama, ilgili kişilerin telefon numarası ve/veya e-posta adresine doğrulama kodu veya linki gönderilmesi gibi yöntemlerle gerçekleştirilebilecektir. Nitekim, bu husus Kanun’un 12. maddesinde düzenlenen veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünün bir uzantısıdır.
- Sonuç
Kurul’un bahse konu İlke Kararı ile birlikte veri sorumlularının ilgili kişilerin telefon numarası, e-posta adresi gibi iletişim bilgilerini doğrulaması, Kanun’un 12. maddesinde düzenlenen veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinden birisi haline gelmiştir. Bu doğrulamayı gerçekleştirmemesi halinde veri sorumluları, Kanun uyarınca cezai ve idari yaptırımlara maruz kalabilecektir.
[1] Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Uygulanmasına Yönelik Soru Cevaplar, s. 34.