Avukat Özlem Sezgin: Kişilerin iletişim bilgilerini alırken doğrulama yapıyor musunuz?

15 Ocak 2021 tarihli Resmi Gazetede Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı yayımlandı. Bu karar doğrultusunda veri sorumluları, kişilerden aldıkları telefon numarası, e-posta adresi gibi iletişim bilgilerinin doğruluğunu teyit etmekle, bunun için gerekli mekanizmaları oluşturmakla yükümlü. Yani alınan iletişim bilgilerinin doğruluğunu koşulsuz kabul etmek gibi bir durum söz konusu değil.

Neden böyle bir karara ihtiyaç duyuldu, kararın çıkış noktası ne idi?

Kararın çıkış noktası, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırılık oluşturacak şekilde üçüncü kişilere ait kişisel verilerin gönderilmesi idi.

Malum e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumluları, hizmetleri sebebiyle fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanları SMS ve/veya e-posta vasıtasıyla göndermek için ilgili kişilerden telefon numarası ve/veya e-posta adreslerini istemekte, bazı durumlarda bu bilgilerin ilgili kişilerce yanlış verilmesi veya üçüncü kişilere ait bilgilerin verilmesi söz konusu olabilmekte. İşte, bu gibi durumlarda da ilgili kişilere ait verileri içeren bahse konu dokümanlar üçüncü kişilere iletilebilmekte. Kişisel Verileri Koruma Kurumu kendisine yapılan bu kapsamdaki şikayet ve ihbarları değerlendirdi ve ortaya da bu ilke karar çıktı.

Diyeceksiniz ki bu bilgiyi ilgili kişi kendisi veriyor, doğru verseydi; burada veri sorumlusunun suçu ne, neden bu yükün altına giriyor?

Kanun’un 4.1 maddesinde kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve 4.2 maddesinde de kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenlenmiştir.

Kişisel verilerin işlenmesine ilişkin bu ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Yani bu ilkeler veri koruma düzenlemelerinin temelini oluşturur, uygun hareket edilmesi veri sorumlusuna ait bir yükümlülüktür, uyulması bir zorunluluktur.

Kurul da bu ilkeler arasında yer alan kişisel verilerin “doğru ve gerektiğince güncel olma”sı ilkesi kapsamında değerlendirme yapıyor.

Öte yandan verilerin doğru ve güncel olması her iki taraf için de önem taşır ve her iki tarafın da lehinedir; asıl olarak ilgili kişinin çıkarlarını korumaya yönelik olsa da veri sorumlusunun da menfaatinedir. Zira verinin doğru ve güncel olmaması ilgili kişinin temel hak ve özgürlüklerine, ekonomik çıkarlarına ve manevi bütünlüğüne zarar verme riski yaratacağı gibi şüphesiz kişisel verileri belli bir amaç için işleyen veri sorumlusunun yanlış kişisel verileri işlemesi, amacına ulaşmasını engelleyebilir. Örneğin veri sorumlusunun sisteminde adres bilgisi yanlış kaydedilen bir ilgili kişinin, kendisine yapılan tebligatları zamanında alamaması veya yanlış bir kişiye tebliğ edilmesi sonucunu doğurabilir. Ya da sağlık kapsamında sigorta hizmeti alan bir ilgili kişinin, aldığı hizmet kapsamındaki sağlık bilgilerine ilişkin SMS’ler, veri sorumlusunun sisteminde, kişinin telefon numarası yanlış girilmiş ise üçüncü bir kişiye gönderilebilir. Yine kredi almak için bir bankaya başvuran ilgili kişinin kredi geçmişine dair bankanın sisteminde doğru ve güncel olmayan bilgiler var ise kişinin kredibilitesine ilişkin yanlış sonuçlar doğmasına ve kişinin başvurusunun reddine sebebiyet verebilir.

Bununla birlikte veri sorumlularının verilerin güvenliğine ilişkin de yükümlülükleri vardır. “Veri güvenliğine ilişkin yükümlülükler”in düzenlendiği Kanunun 12.1 maddesi gereğince veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadırlar.

Dolayısıyla Kanun’un bu iki maddesi veri sorumlusunun somut duruma ilişkin yükümlülüklerinin çerçevesini çizmektedir.

Peki ilke kararı kapsamında veri sorumluları tarafından ne yapılması gerekiyor, Kurul ne diyor?

1- Veri sorumlusunun kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında -eğer bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise (örneğin kredi verme işlemleri gibi)- aktif özen yükümlülüğü bulunmaktadır. Veri sorumlusu verilerin doğruluğunu ve güncelliğini sağlayacak adımları atmadan bu bilgileri kullanmamalıdır.

2- Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebileceğinden, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Yani Kanun’un 11. maddesinde öngörülen ilgili kişinin verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesine ilişkin talep hakkının gereği yerine getirilmelidir.

3- Kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması (iletişim bilgisinin hangi yollardan elde edildiği) ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemlerin alınması gerekmektedir.

Resmi Gazete’de yayımlanan ilke kararına https://www.resmigazete.gov.tr/eskiler/2021/01/20210115-3.pdf linkinden ulaşabilirsiniz.