Kişisel Verileri Koruma Kurulu (KVKK), 15 Ocak 2020 tarihinde veri sorumluları tarafından veri sahipleri ile iletişimini sağladığı sms ve/veya e-posta gibi iletişim kanallarının doğruluğunun yani ilgili kişiye ait olduğunun saptanması gerektiği hakkında ilke kararı yayımladı.
Eğer faaliyet gösterdiğiniz sektörde ürün/hizmet alıcılarınıza (müşteri, hasta vb.) fatura, ekstre, rezervasyon belgesi, teklif belgesi gibi kişisel veri içeren dokümanları onlardan aldığınız iletişim bilgilerini kullanarak sms ve/veya e-posta ile gönderiyorsanız söz konusu ilke kararı sizi ilgilendirmektedir ve siz de bir kimlik doğrulama sistemi kurgulamaya başlamalısınız.
Aktif özen yükümlülüğü nedir?
Kişilerin iletişim adreslerini yanlış beyan etmeleri ya da bu bilgilerin yanlış kaydedilmesi veya iletişim adreslerinin güncel olmaması durumunda kişisel veri içeren bu dokümanlar üçüncü kişilere iletilmesi söz konusu olur. KVK Kurulu, ilgili kişilerin kişisel verilerini içeren dokümanların veri sorumluları tarafından üçüncü kişilere gönderilmesine dair şikayet ve ihbarlar neticesinde veri sorumlularının KVK Kanunu’nun 4. maddesi uyarınca “aktif özen yükümlülüğü”nün bulunduğunu belirtmiştir. Aktif özen yükümlülüğü, kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulmasının bir parçasıdır.
Kurul kararı ışığında KVK Kanunu’nun 4. maddesi uyarınca kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünüzün yerine getirilebilmesi için KVK Kanunu madde 12 uyarınca gerekli idari ve teknik tedbirleri almak ile mükellefsiniz.
Almanız gereken idari ve teknik tedbirler ilke kararında şu şekilde belirtilmiştir:
- Veri sahibinin bilgilerinin doğru ve gerektiğinde güncel olmasının sağlanmasını temin edecek kanalları açık tutmalısınız.
- Kişisel verileri elde ettiğiniz kaynakların belirli olması ve bu kaynakların doğruluğunu teyit etmeniz gerekmektedir. Veri sahipleri tarafından sizlere beyan edilen iletişim bilgilerinin doğruluğunu tespit ederek veri sahiplerine ait kişisel verileri yanlış kişilerle paylaşmanın önüne geçmelisiniz.
İlke kararında veri sahipleri tarafından beyan edilen iletişim bilgilerinin doğruluğunun teyit edilmesi için telefon numarası ve/veya e-posta adresine doğrulama kodu/linki vb. gönderilmesi makul idari ve teknik tedbir olarak belirtilmiştir.
Bu karar ışığında iletişim kanallarınızı ve aşamalarınızı gözden geçirerek belirtilen hususlarla birlikte yeniden kurgulamanızı öneririz. Detaylar için bizimle irtibata geçebilirsiniz.
Kararın tam metnine https://www.kvkk.gov.tr/Icerik/6858/2020-966 linkine tıklayarak ulaşabilirsiniz.