Şirketlerin Dikkat Etmesi Gerekenler
Veri sorumlusu olan şirketler, ilgili kişinin Kanun’un 11. Madde de düzenlenen haklarını kullanmalarına yardımcı olmak zorundadır. Çünkü bu durum Kanun’da veri sorumlusunun yükümlülüğü olarak düzenlenmiştir. Veri sorumlusu olan şirketler yükümlülüğünü yerine getirmek zorundadır.
Birçok veri sorumlusu şirket, ilgili kişiler tarafından yapılan talepleri ciddiye almamaktadır. Birçok veri sorumlusu ilgili kişilerin talep konusu sorularına cevap vermemektedir. Böylece talebin unutulduğunu veya talepten sorumlu olmadıklarını düşünmektedirler. Bazı veri sorumluları ise ilgili kişilerin taleplerine mevcut durumun gerektirdiği gibi değil de yanıltıcı şekilde cevap vermektedir.
Ancak veri sorumlusu şirketler ilgili kişilere karşı sergiledikleri bu tutum ile farkında olmadan kendilerini idari para cezası tehlikesi ile karşı karşıya bırakmaktadır. Veri sorumlusu olan şirketler ilgili kişinin haklarını kullanması konusunda yanıltmak yerine dürüstlük ilkesine uygun şekilde talepleri cevaplamalıdır. Eğer ki talep konusu hakkında şirketin eksik veya yanlış bir işlemi var ise durum ilgili kişiye açıklanarak hızlı bir şekilde düzeltilmelidir.
Tabi bu noktada tekrar hatırlatmak gerekir ki ilgili kişilerin taleplerine verilen cevabı her ne kadar şirket bünyesindeki herhangi bir çalışan vermiş olsa da aslında şirketin tüzel kişiliğinin sorumluluğu söz konusudur. Bu sebeple şirket çalışanları için verilen KVKK Eğitimine gerekli önem verilmelidir.
Veri sorumlusu olan şirketlerin ilgili kişilerin talepleri konusundaki bir başka yanlış tutumu ise ilgili kişinin Kanun tarafından belirlenen başvuru yolları dışında bir başvuru yoluna zorlamasıdır. Konu ile ilgili Kişisel Verileri Koruma Kurulu Karar Özeti aşağıdadır.
Konu Özeti : Bir operatör şirketinin ilgili kişinin internet sitesi üzerinden yapmış
olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle
reddetmesine ilişkin olarak Kurula yapılan başvuru hakkında
Karar Tarihi : 01/10/2019
Karar No : 2019/296
İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,
Şikâyete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şirketin internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirkete yapılacak başvurunun KVKK talep formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiği doğrultusunda bilgilendirme mahiyetinde açıklamada bulunulduğu ve söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uygun bir formatta sunulduğu, Şirketin yapılacak başvurularda belirtilen şekilde başvuruyu aramasının nedeni olarak kişilerin kimlik tespitinin amaçlandığı, Şirket tarafından başvuran kişi ile bilgisi talep edilenin aynı kişi olup olmadığı hususunda Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu, ilgili kişinin başvurusunun Şirket tarafından belirtilen yöntem üzerinden değil Şirketin müşteri hizmetlerine elektronik ortamda yapıldığı, ilgili kişinin başvurusunu ilettiği formda ise Şirketin başvuru amacına yönelik oluşturduğu KVKK talep formunun aksine kimlik teyidini sağlayacak TC kimlik numarası, adres gibi bilgilerin istenmediği, yalnızca ad soyad, telefon, e-posta adresi gibi bilgilerin zorunlu olarak yer aldığı ve bu sebeplerle bahsi geçen şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmış olup,
6698 sayılı Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileceği, bu kapsamda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü tutulduğu hükümlerine yer verildiği dikkate alınarak;
§ Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına,
§ İlgili kişiye ise 6698 sayılı Kanun’un 11’inci maddesi kapsamında ilgili kişinin hakları ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in ilgili maddelerinin hatırlatılmasına
karar verilmiştir.
Comments