KİŞİSEL VERİLERİ KORUMA KURULUNUN VERİ GÜVENLİĞİNİN SAĞLANMASINA İLİŞKİN 22.12.2020 TARİHLİ VE 2020/966 SAYILI İLKE KARARI
Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 15. maddesinin 6. fıkrasına göre şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından ilgili konuda ilke kararı alınır ve yayımlanır.
Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun (“Kurum”), 22.12.2020 tarihli ve 2020/966 sayılı “veri sorumluları tarafından kişilerin telefon numarası, elektronik posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkındaki İlke Kararı” (“İlke Kararı”) 15.01.2021 tarihli ve 31365 sayılı Resmi Gazete’de yayımlanmıştır.
İlke Kararında, Kuruma intikal eden şikâyet ve ihbarlar kapsamında söz konusu Kararın alındığı belirtilerek ilgili kişilerce beyan edilen kişisel verilerin doğru olmaması neticesinde veri sahipleri açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi için bahse konu bilgilerin doğrulanmasına yönelik makul önlemler alınması konusunda veri sorumluları uyarılmıştır.
Kuruma İntikal Eden Şikâyet ve İhbarlar Kapsamında Kurulun Tespiti
Karar’a göre e-ticaret, telekomünikasyon, ulaşım ve turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumluları tarafından; fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren belgelerin gönderilmesini sağlamak üzere, ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmeleri istenilmektedir. Ancak ilgili veri sahiplerinin yanlış beyanı veya üçüncü kişilere ait bilgilerin beyan edilmesi hallerinde, veri sahiplerine ait belgelerin kanuna aykırı olarak üçüncü kişilere iletilmesi söz konusu olmaktadır.
İlke Kararında Temel Hukuki Dayanaklar
Kararda belirtilen ilk hukuki dayanak, kişisel verilerin işlenmesinde gözetilmesi gereken ilkeleri ortaya koyan Kanun’un “Genel İlkeler” başlıklı 4. maddesidir. Bu maddenin birinci fıkrasına göre “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” Yine aynı maddenin ikinci fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu olan temel ilkeler şöyle sıralanmıştır:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin bu ilkeler, kişisel veri işleme faaliyetlerinin özünde bulunması ve veri işleme faaliyetlerinde gözetilmesi gereken ilkelerdir.
Kanun’un 12. maddesinin 1. fıkrasında ise veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almak zorunda oldukları hüküm altına alınmıştır.
Kararda, “…veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçların ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik makul önlemler alınması gerekli görülmektedir.” İfadelerine yer verilmiştir.
Buna göre kişisel verinin “doğru ve gerektiğinde güncel olması” ilkesinin veri sorumlusunun çıkarlarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğu; veri sorumlusunun kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturması veya doğurması durumunda söz konusu kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından “aktif özen yükümlülüğü” olduğu ortaya konulmuştur.
Ayrıca, Karar’da iletişim bilgilerinin doğruluğunun teyidine yönelik makul önlemler bakımından veri sahibinin telefon numarasına ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi gibi mekanizmalar örnekleme yoluyla belirtilmiştir.
İlke Kararına Uyum Bakımından Veri Sorumluları Tarafından Yapılması Gerekenler
Kanun’a aykırılık oluşturacak şekilde 3. kişilere ait olan telefon numarası ve e-posta adresi gibi iletişim kanallarına, veri sahiplerinin ekstre, fatura vb. belgelerinin gönderilmesinin önlenmesi için Kanun’un 12. maddesinin 1. fıkrası gereğince; veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların (telefon numarasına ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi gibi) oluşturulması için gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
Öte yandan Kurumun bu ilke kararını yerine getirmeyen veri sorumluları hakkında Kanun’un 18/1-b maddesi çerçevesinde yaptırım uygulanması gündeme gelebilir. Buna göre 2021 yılı yeniden değerleme oranlarına göre veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk Lirasından 1.966.856 Türk Lirasına kadar idari para cezası uygulanabilecektir.