MÜŞTERİYE BAŞKASININ VERİSİNİ GÖNDERMENİN CEZASI VAR! KVKK YENİ KARAR

Sisteminizde yer alan iletişim bilgilerinin doğru ve güncel olduğundan emin misiniz? İletişim bilgilerini, örneğin müşteriden aldığınız bir telefon numarasını teyit ettiğiniz mekanizmalarınız var mı?

Kişisel Verileri Koruma Kurulu, 15.01.2021’de Resmi Gazete’de konuya ilişkin bir İlke Karar yayınladı. Kurul’un ilke kararlarına uyulması zorunlu ve idari yaptırıma tabi. Ayrıca söz konusu ilke karara uyulmaması veri güvenliğini sağlama yükümlülüğünün de ihlaline sebep olacaktır.

Kişisel Verileri Koruma Kurulu daha önce de şikâyet üzerine yaptığı incelemelerde isim benzerliği ve benzeri nedenlerle yanlış kişiye bilgi/belge gönderimini hukuka aykırı kabul ederek veri sorumluları hakkında idari işlem tesis ettiğini de hatırlamalıyız.

Söz konusu İlke Karar’ın, e-ticaret, telekomünikasyon, ulaşım, turizm gibi çeşitli sektörlerde faaliyet gösteren veri sorumlularınca kişilerin telefon, e-posta adresi gibi iletişim adreslerine üçüncü kişilere ilişkin kişisel verilerin iletilmesi hususunda Kişisel Verileri Koruma Kurumu’na intikal eden şikâyet ve ihbarlar neticesinde alındığı belirtilmiştir.

İlke Karar’da, Kişisel Verileri Koruma Kurumu’nun yayınlamış olduğu “ Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberi”ne paralel olarak;

• “Doğru ve gerektiğinde güncel olma” ilkesinin kişilerin temel hak ve hürriyetlerinin korunması açısından önemli olduğu kadar veri sorumlularının çıkarına da olduğu,
• Veri sorumluları kişisel verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüklerinin bulunduğu,
• Veri sorumlularının her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmaları gerektiği,
• Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görebileceği vurgulanmıştır.

İlke Karar’da ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulama kodu/linki gönderilmesi gibi makul önlemler alınması gerektiği belirtilmiştir.

İlke Karar yalnızca “Doğru ve gerektiğinde güncel olma” ilkesinin gözetilmesi hususunda değil; ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nca ilgili kişilere tanınmış olan haklar bakımından da önem arz etmektedir. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde ilgili kişiler her zaman bunların düzeltilmesini veri sorumlusundan talep edebileceklerdir. Bununla birlikte; eğer ki ilgili kişi güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmüş ise sebebiyle zarara uğraması hâlinde zararın giderilmesini talep edebilecektir.

PEKİ NE YAPALIM?

İlke Karar kapsamında özet önerilerimiz şu şekildedir:

• Kişisel verilerin elde edildiği kaynaklar ve toplama yöntemleri doğru bir şekilde tespit edilmelidir. Bunun takibi için Kişisel Veri İşleme Envanterinin kapsamlı olarak hazırlanmalı ve gerektiğinde güncellenmelidir. Bir iletişim verisinin bizzat ilgili kişiden alındığı durumlarda bu iletişim adresinin teyit edilmesi amacıyla belirli süre ile geçerli olacak doğrulama kodu/linki (OTP) gönderilmesine yönelik süreç geliştirmelerinin yapılması gerekmektedir.
• İletişim verisinin üçüncü taraflar aracılığıyla toplandığı kanallar bakımından, bu üçüncü tarafların topladıkları kişisel verileri size aktarılması konusunda açık rıza alması ve üçüncü tarafların kişisel verilerin doğruluğu ve güncelliği bakımından makul önlemleri aldığına/alacağına yönelik taahhütlerinin alınmalıdır.
• “Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme” ilgili kişilere tanınmış bir hak olup; ilgili kişiler bu hakka ilişkin taleplerini her zaman veri sorumlusuna iletebilir. İlgili kişi başvurularına ilişkin süreçlerin veri sorumlusu nezdinde prosedürlere bağlanması önerilmektedir. Veri sorumlularınca ilgili kişilerin verilerini güncelleyebilecekleri web sitesi aracılığıyla veya basılı form doldurmak suretiyle “bilgi güncelleme” kanallarının oluşturulması önem arz etmektedir. İşbu kanallar vasıtası ile güncellenen iletişim adreslerinin doğruluğunun teyidine ilişkin makul önlemler alınmasını önemlidir.
• İyi uygulama örneği olarak, veri sorumlusu nezdinde kişisel verilerin değiştirildiği/güncellendiğine ilişkin kayıt tutulmasını önermekteyiz.
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınması adına mevzuat uyumluluğunun gerçekleştirilmiş olması gerekmektedir. Söz konusu güvenli düzeyinin ve mevzuat uyumluluğunun denetlenmesi ve sürdürülebilirliğinin sağlanması gerekmektedir.

Aksi durumda veri sorumluları Kişisel Verilerin Korunması Kanununun 12. maddesindeki gerekli teknik ve idari önlemleri almadıkları için 29.503 TL’den 1.966.862 TL’ye kadar idari para cezası ile karşılaşabileceklerdir.

Her türlü soru ve görüşleriniz için bizlere [email protected] adresinden ulaşabilirsiniz.

Bilgiyi Tecrübeyle Güce Dönüştürüyoruz…