Kişisel Verileri Koruma Kurulu ("Kurul") tarafından 18.02.2022 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (''Kanun'') kapsamında alınan 7 adet ilke kararı yayınlanmıştır.
Kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.
- Kurul, bahse konu ilke kararlarıyla, daha önceki
kararlarıyla da uyumlu olarak veri sorumlusunun veri
işleme faaliyetinde alması gerektiği idari ve teknik
tedbirlerin üstünde durmaktadır.
Bu kapsamda Kurul, bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri alması gerektiğini belirtmektedir.
- Kararlarda Kanunda ve ilgili mevzuatta dayanağı
bulunmaksızın ilgili kişilerin iletişim
bilgilerinin paylaşımını yapan internet
siteleri ve mobil uygulamalar tarafından
gerçekleştirilen veri işleme faaliyetinin hukuka
aykırı olduğuna değinilmiştir.
- Kurul, veri sorumlusunda çalışmakta olan ve
görev itibariyle kişisel verilere erişme yetkisi
olanlar tarafından bu yetkileri kötüye kullanarak
kişisel amaçlarla bu verileri işleme
amaçlarına aykırı bir şekilde
üçüncü kişilerle
paylaşıldığının Kanun'a
aykırı olduğunun üstünde
durmaktadır.
- Kurul, ilgili kişilerin rızalarını almadan
veya Kanunda belirtilen açık rıza
olmaksızın veri işleme faaliyetinin mümkün
olduğu şartları sağlamadan, veri sorumlusunun,
veri sahiplerinin telefon numaralarına SMS göndermek,
arama yapmak veya e-posta adreslerine posta göndermek
suretiyle reklam içerikli ileti yönlendirmenin hukuka
aykırı olduğuna dikkat çekmektedir.
- Kurul, avukatlar/hukuk büroları ile finans,
gayrimenkul danışmanlık, sigorta vb.
sektörlerde faaliyet gösteren bazı kişi ve
kuruluşlar tarafından muhtelif yollarla elde edilen
veriler üzerinden vatandaşların kimlik ve
iletişim bilgileri gibi kişisel verilerinin
sorgulanmasına imkân tanıyan
yazılım/program/uygulamaların
kullanıldığını belirtmekte olup bu
yazılımları kullananlar hakkında idari para
cezasının yanı sıra yasal işlem
başlatılacağını
vurgulamaktadır.
- Aynı zamanda Kurul, Kanunda belirtilen ilkelere dikkat çekmektedir ve kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğunu belirtmektedir. Bu kapsamda Kurul, veri sorumlusunun veri işleme faaliyeti, kişisel verilere dayalı olarak veri sahibi kişi hakkında bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü bulunduğu belirtmektedir. Bu noktada olumsuz sonuçların ortaya çıkmaması adına, veri sahibinin bilgilerinin doğrulanmasına yönelik (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerektiği belirtilmektedir.
Kurulun ilgili yayınına aşağıdaki linkten ulaşabilirsiniz:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7a2f2dc1-b656-4325-9249-73e350c3ea57.pdf
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.