KİŞİSEL VERİLERİN DOĞRULUĞU VE GÜNCELLİĞİ HK. BİLGİ NOTU
Veri Sorumluları Tarafından Kişisel Verilerin Doğruluğunun, Güncelliğinin ve Güvenliğinin Sağlanamaması Veri İhlallerine Sebebiyet Vermektedir.
Kişisel Verileri Koruma Kurulu, 16.01.2020 Tarih ve 2020/32 Sayılı kararı ile bir banka tarafından ilgili kişinin kredi kartının, rızası dışında üçüncü kişilere teslim edilmesi hususunda kişisel veri ihlalinin ortaya çıktığı gerekçesiyle Banka hakkında idari para cezasına hükmedilmesine karar vermiş olup işbu karar özeti Kişisel Verileri Koruma Kurumuna ait internet sitesinde 13.03.2020 tarihinde yayımlanmıştır.
(“Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin Kişisel Verileri Koruma Kurulu’nun 16/01/2020 Tarih ve 2020/32 Sayılı Karar Özeti”)[1]
Karara konu olay, kişinin kredi kartının Banka sisteminde kayıtlı bulunan adres ve iletişim bilgilerinin güncel olmaması ve Kurye Şirketi tarafından sisteme girilen bilgilerin yanlışlığı neticesinde kişinin rızası dışında üçüncü kişilere teslim edilmesidir. Kurum tarafından yapılan inceleme ve tespit neticesinde aşağıda yer alan gerekçelerle,
“Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,
Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu,
Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,
Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği, değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine” karar verilmiştir.
Bilindiği üzere KVKK kapsamında kişisel verilerin işlenmesi hususu birtakım ilkelere tabi tutulmuştur. Buna göre, KVKK’nın kişisel verilerin işlenmesinde uygulanması gereken usul ve esaslara ilişkin 4. Maddesi[2] uyarınca kişisel veriler işlenirken doğru ve gerektiğinde güncel olmalıdır. Yani kişisel verileri işlenirken bu verilerin doğru ve düzgün biçimde işlenmesi ve bu verilerin güncelliğini de sağlaması gerekmektedir. Kişisel verilerin doğru ve güncelliği ilkesinin önemi işbu karar ile de açıkça görülmektedir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması ile ilgili özen yükümlülüğü veri sorumlusunda olup, veri sorumlusu aynı zamanda her zaman için ilgili kişinin kişisel verilerini doğru ve güncel olmasını sağlayacak kanallarını da açık tutması gerekmektedir. Aksi halde yanlış tutulan ve güncel olmayan kişisel veriler nedeniyle tarafların mağduriyet yaşaması mümkündür. Kurul tarafından yayınlanmış olan rehberlerde[3] de işbu karara konu olaya benzer örneklere yer verildiği görülmektedir. Örneğin, adres bilgisi yanlış kaydedilen kişinin kendisine ait tebligatları zamanında alamaması veya yanlış bir kişiye tebliğ edilmesi durumlarında ilgili kişi maddi ve manevi zarar görebileceği belirtilmiştir.
İşbu Bilgi Notumuza konu kararla da ilgilinin kişisel verilerinin banka tarafından işlenmesi noktasında doğru ve gerektiğinde güncel olması ilkesine bir aykırılığın söz konusu olduğu vurgulanmıştır. Zira, somut olayda, ilgili kişinin adres bilgilerinin doğru ve güncelliği veri sorumlusu banka tarafından zamanında sağlanmış/teyit edilmiş olsaydı güncelliğini kaybetmiş adrese teslimat yapılmayacak, tarafların bu denli mağduriyet yaşamasının önüne geçilmiş olacak idi. Nitekim, bankalar kişilere ait verileri devamlı olarak bünyelerinde barındırmak durumunda olduklarından, bankacılık alanında bir verinin, doğru ve güncel olması çok büyük önem arz etmektedir. Aksi halde doğru ve güncel olmayan veriler hem banka hem de müşterileri açısından telafisi güç durumlara sebebiyet verebilecektir. Örneğin, banka müşterilerine ait verilerdeki en ufak hata, telafi edilmesi zor olan finansal zararlara yol açabilir ve banka açısından prestij kaybı gündeme gelebilir.
Hal böyleyken, veri sorumluları tarafından (somut olay nezdinde Banka) temin edilen bilgilerin belli periyotlarla denetlenmesi, ilgili verinin doğru ve güncel olma durumunun sağlanması açısından büyük önem arz etmekle birlikte bu hususun sağlanması için birtakım idari tedbirlerin de alınmış olması zaruridir. Bu idari tedbirler kapsamında veri sorumlularının Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi noktasında da yükümlülükleri bulunmakta olup, bu kapsamda veriler üzerinde düzenli denetim ve kontrollerin yapılması, güncellenmesi ve gelişen teknolojiye uyarlanması gereken hususların belirlenerek gereğinin yerine getirilmesi gerekmektedir. Söz konusu kararla veri sorumlusu banka tarafından bahse konu önlemlerle ilgili yeterli ve makul çaba gösterilmediği, mevcut risk ve tehditlerin gereği gibi belirlenmediği, işlenen bilgiler üzerinden belli periyotlarla güncelleme denetimleri yapılmadığı için ihlal kararı verildiği anlaşılmaktadır. Bu husus kişisel verilerin işlenmesi noktasında temel ilkelere aykırı davranılmayacağı hususunu da net bir şekilde ortaya koymaktadır. Bu haliyle belirtilmesi gerekmektedir ki, verilerin işlenmesi esnasında uyulması gereken ilkelere uyulmaması ve veri güvenliğinin sağlanmasına ilişkin yeterli tedbirlerin sağlanamaması, kişisel veri ihlallerinin oluşması sonucunu doğuracak ve veri sorumluları açısından idari para cezası ile karşı karşıya kalma durumu gündeme gelecektir.
Bunların yanı sıra, kurul tarafından yayınlanan rehberde[4] kargo Firmaları ile ilgili olarak, “Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.” şeklinde görüş bildirilmiştir. Kurul vermiş olduğu kararında hala bu görüşte olduğunu belirtmiş, daha önce yapılmış olan açıklamalara paralel bir karar tesis etmiştir.
[2] MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.