15 Ocak 2021 tarih ve 31365 sayılı Resmî Gazete’de Kişisel Verileri Koruma Kurulunun 22 Aralık 2020 tarih ve 2020/966 sayılı kararı yayımlanmıştır.
Kurul kararında, Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlara göre; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca fatura, ekstre, rezervasyon belgesi vb. kişisel veri içeren dokümanların SMS ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği; bununla birlikte ilgili kişilerin söz konusu bilgileri yanlış beyan edebildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği belirtilmiştir.
Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu md. 4/2’de düzenlenen kişisel verilerin işlenmesinde dikkate alınan ilkelere değinerek, kişisel verilerin doğru ve gerektiğinde güncel tutulmasının veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğunu belirtmiş; kişisel verilerin ilgili kişiye dair bir sonuç oluşturması ve doğurması hâlinde verilerin doğru ve gerektiğinde güncel olmasının sağlanmasında veri sorumlusunun aktif özen yükümlülüğü bulunduğunu ifade etmiştir.
Kişilerin güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görebileceğini vurgulayan Kişisel Verileri Koruma Kurulu, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla, kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik makul önlemler alınmasının gerekli olduğunu vurgulamıştır. Bununla birlikte, KVKK md. 12 uyarınca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı erişimi engellemek gibi gerekli her türlü teknik ve idari tedbiri almak zorunda oldukları ifade edilmiştir.
Sonuç olarak Kurul tarafından KVKK md. 15/6 hükmüne dayanılarak alınan ilke kararı doğrultusunda, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, KVKK’ye aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura gibi belgelerin gönderilmesinin önlenmesi amacıyla, KVKK md. 12/1 gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması için idari ve teknik tedbirlerin alınmasına oy birliğiyle karar verilmiştir.
Kurul tarafından alınan ilke kararının tam metnine buradan ulaşabilirsiniz.