Konu: Veri Sorumluları Tarafından Kişilerin Telefon Numarası, E-posta Adresi Gibi İletişim Kanallarına Kanuna Aykırı Şekilde Gönderilen Üçüncü Kişilere Ait Kişisel Veriler Hakkında İlke Kararı

Tarih: 15/01/2021


  1. GİRİŞ

 

Kişisel Verileri Koruma Kurulu (“Kurul”), 22.12.2020 tarihli Veri Sorumluları Tarafından Kişilerin Telefon Numarası, E-posta Adresi Gibi İletişim Kanallarına Kanuna Aykırı Şekilde Gönderilen Üçüncü Kişilere Ait Kişisel Veriler Hakkında İlke Kararı (‘’İlke Kararı’’) ile Kurul’a yapılan şikayet ve ihbarlar uyarınca; ulaşım, e-ticaret, telekomünikasyon ve turizm gibi farklı sektörlerde fatura, rezervasyon belgesi gibi içerisinde kişisel verilerin bulunduğu evrakların gönderilmesi için ilgili kişisel veri sahiplerinden sms veya e-posta bilgilerinin veri sorumlusuna iletilirken yanlışlıkla üçüncü kişilere ait bilgilerin  iletilmesi halinde veri sorumlusu tarafından ilgili evraklar üçüncü kişilere gönderilmektedir ve bu durum beraberinde bir takım sorunlara neden olmaktadır. Bu sebeple, veri sorumlularının alması gereken önlemlere ilişkin İlke Kararı yayımlanmıştır.

 

  1. İLKE KARARI’NIN DEĞERLENDİRİLMESİ

 

07.04.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’KVKK’’) 4. maddesi uyarınca; ‘’(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.’’ şeklinde ifade edilmiştir.

 

İlgili maddede veri sorumlusunun uyması gereken ilkelerden birisi olan kişisel verilerin doğru ve gerektiğinde güncel olması ilkesi hem veri sorumlusu hem de ilgili kişi açısından önem arz etmektedir. Şöyle ki; veri sorumlusu bu kişisel verilere dayanarak ilgili kişi hakkında bir sonuca varıp işlem yaptığı için bunun KVKK’ya aykırılık teşkil etmemesi ve ilgili kişinin kişisel veri güvenliğini koruması açısından aktif özen yükümlülüğü vardır. Buna ek olarak, veri sorumlusu tarafından ilgili kişilerin verilerinin güncellenmesine ilişkin üzerine düşen sorumluluğu yerine getirmesi ve verilerin güncel kalmasını sağlayacak yolları kullanması gerekmektedir. Kişisel verilerin güncel kalması içinde ilk olarak veri sorumlusu tarafından elde edilen kişisel verilerin kaynakları belirli olmalı ve ikinci olarak ise, kişisel verileri işlenen ilgili kişilerin iletişim bilgilerinin teyit edilmesi için veri sorumluları ile paylaşmış oldukları telefon numaralarına veya e-posta adreslerine doğrulama linkinin gönderilmesi gerekmektedir. Bu hususların en iyi şekilde yerine getirilmesi gerekmektedir. Böylelikle, kişisel verilerin güncel olmaması halinde ilgili kişiler açısından meydana gelebilecek olası maddi ve manevi zararlar önlenmektedir.

 

KVKK’nın 12. maddesi uyarınca; ‘’ (1) Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.’’ şeklinde düzenlenmiştir. İlgili madde uyarınca, veri sorumlularının telefon numarası ve e-posta adresi gibi iletişim yolları ile KVKK’yı ihlal edecek şekilde üçüncü kişilerin kişisel verilerini bulunduran ekstre, fatura, rezervasyon belgesi gibi belgelerin iletilmesinin önlenmesi için KVKK kapsamına veri sorumlularına iletilen iletişim bilgilerinin teyit edilmesi için gerekli idari ve teknik tedbirleri almaları gerekmektedir.

 

  • SONUÇ

 

Veri sorumluları tarafından birçok farklı sektörde kullanılan e-posta ve sms yoluyla fatura, ekstre gibi evrakların iletilmesinde, ilgili kişilerin ve üçüncü kişilerin veri güvenliğinin korunması açısından veri sorumluların KVKK’nın 4. ve 12. maddesinde düzenlenen ilke ve kurallara uymaları gerekmektedir.

 

 

 

 

İşbu Bilgilendirme Notu, ele aldığı konuların genel bir bakışı olarak hazırlanmıştır. Burada sağlanan bilgiler yayınlandığı gün itibariyle doğrudur. Narter & Partners Hukuk Bürosu, bu yayının dayanarak alınan herhangi bir eylemden dolayı sorumlu tutulamaz.

 

 

 

Saygılarımla,

Av. Cenk NARTER