15 Ocak 2021 Tarihli ve 31365 Sayılı Resmi Gazete ’de Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 Sayılı ilke kararı yayımlanmıştır.
İlgili karar; Kişisel Verileri Koruma Kurumu’na intikal eden şikayet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım ve turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiğine ilişkindir.
Kurul ilke kararı ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veriler ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğinin hüküm altına alınmış olduğu, kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması ve veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunduğu hususlarını vurgulamıştır.
Ayrıca önemle belirtmek gerekir ki, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Zira kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bunun dışında Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.
İlke kararı ile Kurul, veri sorumlularının elde ettiği iletişim bilgilerinin doğruluğunu teyit etmeleri gerektiği ve bu yönde idari ve teknik tedbirleri almak ile gerekli mekanizmaları oluşturmakla yükümlü olduğunu vurgulamıştır. Bu karar neticesinde e-ticaret, telekomünikasyon, ulaşım ve turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderim yapmadan önce iletişim bilgilerinin doğrulanması amacıyla ilgili kişinin e-posta adresine ya da telefon numarası doğrulama linki/kodu gönderilmesi uygun olacaktır. Gerekli doğrulamanın yapılamadığı hallerde ise kişisel veri içeren dokümanların bahse konu iletişim bilgileri üzerinden paylaşılması kişisel verinin izinsiz olarak başka bir kişiyle paylaşılması sonucunu doğurabilecektir. Bu ilke kararından, Kurul’un devam eden süreçte yapacağı incelemeler yönünden de veri sorumlularının işbu yükümlülüğü yerine getirip getirmediği hususunu göz önünde bulunduracağı anlaşılmaktadır.
Commentaires