Şölen Arbak, Avukat
Kişisel Verileri Koruma Kurulu tarafından (“Kurul”), veri sorumlularının, ilgili kişilerin telefon numarası, e-posta adresi gibi kişisel iletişim kanallarına 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) aykırı bir şekilde gönderdikleri üçüncü kişilere ait kişisel verilere ilişkin olarak 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararı (“İlke Karar”) verilmiş ve söz konusu İlke Karar 15.01.2021 tarihli ve 31365 sayılı Resmi Gazete’de yayımlanmıştır.
Kurul tarafından verilen İlke Karar’da, Kişisel Verileri Koruma Kurumu’na(“Kurum”) intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiğinin görüldüğü belirtilmiştir.
15.01.2021 tarihli ve 31365 sayılı Resmi Gazete’de yayımlanan söz konusu İlke Karar ile bu durumun, Kanun’un kişisel verilerin işlenme amaçlarını düzenleyen 4. maddesine aykırılık oluşturduğu, nitekim ilgili Kanun’un 4. maddesi uyarınca, kişisel veriler işlenirken Kanun’da sınırlı olarak sayılan; “hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulmasının zorunlu olduğu belirtilmiştir.
Bu kapsamda, yukarıda sayılan ilkeler arasında yer alan verilerin doğru ve gerektiğinde güncel bir şekilde tutulması ilkesinin veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu ve veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün bulunduğu, bu doğrultuda makul önlemleri alması gerektiği ve veri sorumlularının ilgili Kanun’un 12. maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme, kişisel verilerin muhafazasını sağlama, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerinin bulunduğu ifade edilmiştir.
Özetle, Kurul tarafından verilen İlke Karar doğrultusunda, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına Kanun’da düzenlenen kişisel verilerin işlenmesine ilişkin ilkeler gözetilmek suretiyle gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
15 Ocak 2021 tarihli ve 31365 sayılı Resmi Gazete’de yayınlanan İlke Karar'ın tam metnine bu linkten erişebilirsiniz.