Hukuk Hakkı Korumaktır

Ocak 2021

VERİ SORUMLULARI TARAFINDAN KİŞİSEL BİLGİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI

15.01.2021 tarihli ve 31365 sayılı Resmi Gazete’de Kişisel Verileri Koruma Kurumu tarafından, e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletilmesi hakkında Kişisel Verileri Koruma Kurumu “ilke kararı” vermiştir.

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanında ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

 

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilerine dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi halde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu bağlamda, kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

 

Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.

 

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmalarını oluşturulması adına gerekli idari ve teknik tedbirlerinin alınması noktasında kurumca ilke kararı verilmiştir.

Sonuç olarak; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi yani veri sorumlusu ilgili kişilerden temin etmiş olduğu kişisel verilerin güncelliğini rutin aralıklarla kontrol etmeli veyahut yeni bir veri aktarımı ya da veri işlemesi yapılmadan önce işlenecek veya aktarılacak verilerin güncelliği teyit edilmelidir. Aksi halde yanlış verilerin paylaşılmasından doğan ilgili kişilerin uğramış olduğu maddi ve manevi zararları tazmin etmekle mükellef olacaktır. Ayrıca veri sorumluları, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.