Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 22 Aralık 2020 tarih, 2020/966 karar sayılı ilke kararı 15 Ocak 2021 tarihinde 31365 sayılı Resmi Gazete’de yayımlanmıştır.

Kurum’a iletilen şikâyet ve ihbarlar dikkate alınarak hazırlanan ilke kararında, e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının ilgili kişilerin e-posta ve telefon numarası gibi iletişim bilgilerini ilgili kişilerden talep etmesi ve ilgili kişilerin yanlış beyanları sebebiyle, kişisel verileri içeren dokümanların üçüncü kişilere iletilmesine ilişkin görüşe yer verilmiştir. Kurul’un ilke kararında;

 

• Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan “kişisel verilerin doğru ve gerektiğinde güncel olması” hususunun ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğu ve veri sorumlusunun kişisel verilere dayanarak ilgili kişi hakkında bir sonuç oluşturuyorsa bu noktada verilerin doğru ve gerektiğinde güncel olmasının sağlanması için veri sorumlusunun aktif özen yükümlülüğünün bulunduğu,

 

• İlgili kişilerin güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi söz konusu olacağından veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutmasının önem arz ettiği,

 

• Kişisel verilerin doğru ve gerektiğinde güncel tutulmasını sağlamak ve kişisel verilerin doğru olmamasından doğacak olumsuz sonuçların önlenmesi adına ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınmasının gerekli görüldüğü belirtilmiştir.

 

• Ayrıca, Kişisel Verilerin Korunması Kanunu’nun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinde yer alan yükümlülükler kapsamında, veri sorumlularının uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları özellikle vurgulanmıştır.

Sonuç olarak yayımlanan ilke kararı kapsamında; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, Kişisel Verilerin Korunması Kanunu’na aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesi için, Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gereği belirtilmiştir.