Kişisel Verileri Koruma Kurulu (“Kurul”), veri sorumlularının veri sahipleri tarafından sağlanan iletişim adreslerini doğrulayabilmesi adına alması gereken teknik ve idari tedbirlere ilişkin ilke kararı yayımladı.
Kurul’a intikal eden şikâyet ve ihbarlar kapsamında; işbu ilke kararında:
- E-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların SMS ve/veya e-posta vasıtasıyla gönderimini sağlamak üzere, veri sahiplerinden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği,
- bununla birlikte veri sahipleri tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine veri sahiplerince üçüncü kişilere ait bilgilerin beyan edilmesinin söz konusu olabildiği,
- bunun sonucunda, veri sahiplerine ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiğinin anlaşıldığı
belirtilmektedir.
Karara konu şikâyette yer alan hususlar önce de Kurul tarafından tartışılmış ve Kurul’un 7 Kasım 2019 tarihli ve 2019/333 sayılı kararına konu olmuştur. Karara konu olayda, aynı e-posta adresini beyan eden iki müşterinin faturalarının da bu e-posta adresine gönderilmesi söz konusu olmuştur. E-posta adresini yanlış beyan eden müşterinin faturalarının da söz konusu e-posta adresine göndermesi sebebi ile bir müşterinin kişisel verileri bir başka müşteri ile hukuka aykırı şekilde paylaşılması durumu oluşmuştur. Kurul, bu olay sonucunda birden fazla müşterinin aynı e-posta adresini beyan etmesinin engellenmesine yönelik tedbirleri almayan veri sorumlusu hakkında idari para cezasına hükmetmiştir.
Yaşanan olumsuzluklar değerlendirilerek, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla, Kurul veri sahiplerince beyan edilen iletişim bilgilerinin telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb. yöntemlerle doğrulanmasına dair makul önlemlerin alınması gerektiğine hükmetmiştir.
Bu nedenle Kurul, veri sorumluları tarafından kişisel veri içeren belgelerin üçüncü kişilere gönderilmesi önlenmek için iletişim bilgilerinin doğruluğunun teyit edilmesine yönelik gerekli idari ve teknik tedbirlerin alınması hususunda ilke kararı yayımlanmıştır.
Kurul’un resmi internet sitesinde yayımlanan 2020/787sayılı ve 22 Aralık 2020 tarihli özet karara bu bağlantıdan ulaşabilirsiniz.