Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 18.02.2022 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan 7 adet ilke kararı yayınlanmıştır.

Kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.  

  • Kurul, bahse konu ilke kararlarıyla, daha önceki kararlarıyla da uyumlu olarak veri sorumlusunun veri işleme faaliyetinde alması gerektiği idari ve teknik tedbirlerin üstünde durmaktadır.

Bu kapsamda Kurul, bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri alması gerektiğini belirtmektedir.

  • Kararlarda Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin hukuka aykırı olduğuna değinilmiştir.
  • Kurul, veri sorumlusunda çalışmakta olan ve görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından bu yetkileri kötüye kullanarak kişisel amaçlarla bu verileri işleme amaçlarına aykırı bir şekilde üçüncü kişilerle paylaşıldığının Kanun’a aykırı olduğunun üstünde durmaktadır.
  • Kurul, ilgili kişilerin rızalarını almadan veya Kanunda belirtilen açık rıza olmaksızın veri işleme faaliyetinin mümkün olduğu şartları sağlamadan, veri sorumlusunun, veri sahiplerinin telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendirmenin hukuka aykırı olduğuna dikkat çekmektedir.
  • Kurul, avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanıldığını belirtmekte olup bu yazılımları kullananlar hakkında idari para cezasının yanı sıra yasal işlem başlatılacağını vurgulamaktadır.
  • Aynı zamanda Kurul, Kanunda belirtilen ilkelere dikkat çekmektedir ve kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğunu belirtmektedir. Bu kapsamda Kurul, veri sorumlusunun veri işleme faaliyeti, kişisel verilere dayalı olarak veri sahibi kişi hakkında bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü bulunduğu belirtmektedir. Bu noktada olumsuz sonuçların ortaya çıkmaması adına, veri sahibinin bilgilerinin doğrulanmasına yönelik (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerektiği belirtilmektedir.

Kurulun ilgili yayınına aşağıdaki linkten ulaşabilirsiniz:

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7a2f2dc1-b656-4325-9249-73e350c3ea57.pdf

Batuhan Şahmay
Behiç Ateş Gülenç
Avukat | [email protected]