Kişisel Verilerin İşlenmesinde “Doğru ve Gerektiğinde Güncel Olma” İlkesi ve Kişisel Verileri Koruma Kurulunun 2023/78 Sayılı Kararı

Yıl 2023, Cilt: I Sayı: 1, 105 - 133, 29.10.2023

Emir Efe Egemen

Öz

Kişisel veriler, bireyleri tanımlayan, onların belirlenmesini doğrudan veya dolaylı olarak sağlayan bilgilerdir. Kişisel veriler, bireylerin özel hayatlarına ilişkin birçok bilgiyi içermektedir. Kişisel verilerin korunması hakkı, özel hayatın gizliliğinin korunması hakkıyla yakından ilişkilidir. Nitekim kişisel verilerin korunması hakkı, Anayasada özel hayatın gizliliğinin korunmasıyla bir arada düzenlenmiştir. Kişisel verilerin korunması, veri toplayan ile verisi toplanan kişi arasında hassas bir denge gerektirmektedir. Kişisel verilerin işlenmesi, bu verilerin elde edilmesi ve devamında bu veriler üzerinde çeşitli işlemler gerçekleştirilmesini ifade etmektedir. Bu işlemler gerçekleştirilirken, uyulması zorunlu olan bazı ilkeler mevcuttur. Bu ilkelerden birisi, doğru ve gerektiğinde güncel olma ilkesidir. Buna göre; kişisel verilerin doğru ve güncel olarak işlenmesi gerekmektedir. O halde, kişiler hakkında işlenen kişisel veriler, yanlış ve eski olmamalıdır. Yani kişisel veriler hem doğru olarak işlenmeli hem de bu verilerde değişiklik olduğunda, gerekli güncelleme işlemi gerçekleştirilmelidir. Kişisel Verileri Koruma Kurulunun 2023/78 sayılı kararı, kişisel verilerin işlenmesinde doğru ve güncel olma ilkesine önemli bir örnek oluşturmaktadır. Nitekim karara konu olayda, kişi hakkında işlenen kişisel verilerden birisi olan telefon numarası, doğru ve güncel değildir. Buradaki yanlışlık dolayısıyla, kişinin borcuna dair bilgiler, ortağı olduğu şirketin kurumsal telefon numaralarına mesaj olarak gönderilmiştir. Böylece kişiye özel bir durum olan “bir yere borçlu olma bilgisi”, kişinin ortağı olduğu şirketin çalışanlarınca öğrenilmiştir. Gönderilen mesajda, her ne kadar kişinin soyadı tam olarak yazılmamış ve maskelenmiş olsa da adının tam yazılması ve soyadının ilk harfinin mesajda olması, kişiyi belirlenebilir kılmış ve onun kolaylıkla tespit edilebilmesine sebep olmuştur. Kurul kararına göre; bu durum, kişisel verilerin işlenmesinde doğru ve güncel olma ilkesine aykırılık dolayısıyla kişisel verilerin korunması hakkının ihlalidir. Çünkü kişisel verilerin işlenmesinde, kişinin telefon numarası doğru ve güncel şekilde işlenmemiştir. Ayrıca gönderilen mesajın kısmen maskelenmiş olması, kişinin kimliğinin ortaya çıkmasını engelleyememiştir. Hukuki yönden isabetli olan Kurul kararı, kişisel verilerin korunması amacına uygundur ve insan haklarının korunmasına hizmet etmektedir.

Anahtar Kelimeler

Kişisel Veriler, Kişisel Verilerin Korunması Hakkı, Kişisel Verilerin İşlenmesi, Kişisel Verileri Koruma Kanunu, Kişisel Verileri Koruma Kurulu.

THE PRINCIPLE OF “ACCURACY AND, WHEN NECESSARY, UP TO DATE” IN THE PROCESSING OF PERSONAL DATA AND THE DECISION NUMBERED 2023/78 OF THE PERSONAL DATA PROTECTION BOARD

Öz

Personal data is information that identifies individuals and enables them to be identified directly or indirectly. Personal data includes a lot of information about the private lives of individuals. The right to the protection of personal data is closely related to the right to the protection of the privacy of private life. As a matter of fact, the right to the protection of personal data is regulated together with the protection of the privacy of private life in the Constitution. The protection of personal data requires a delicate balance between the data collector and the person whose data is collected. Processing personal data means obtaining these data and subsequently performing various operations on this data. While performing these operations, there are some principles that must be followed. One of these principles is the principle of “accuracy and, when necessary, up to date”. According to this, personal data must be processed accurately and up to date. Therefore, the personal data processed about individuals should not be inaccurate and outdated. In other words, personal data should be processed correctly and when there is a change in this data, the necessary update process should be performed. The Decision Numbered 2023/78 of the Personal Data Protection Board is a significant example of the principle of “accuracy and, when necessary, up to date” in the processing of personal data. As a matter of fact, in the case subject to the decision, the phone number, which is one of the personal data processed about the person, is not correct and up to date. Due to the mistake here, information about the debt of the person was sent as a message to the corporate phone numbers of the company he is a partner of. Thus, the “knowledge of being indebted to a place”, which is a personal situation, was learned by the employees of the company of which the person is a partner. Although the surname of the person was not written in full in the sent message and it was masked, the fact that the name of the person was written in full, and the first letter of the surname was in the message made the person identifiable and caused him to be easily identified. According to the decision of the Board, this is a violation of the right to protection of personal data due to the violation of the principle of “accuracy and, when necessary, up to date” in the processing of personal data. Because in the processing of personal data, the phone number of the person is not processed accurately and up to date. In addition, the fact that the sent message was partially masked could not prevent the identity of the person from being revealed. The Board decision, which is legally correct, is in line with the purpose of protecting personal data and serves the protection of human rights.

Anahtar Kelimeler

Personal Data, Right to Protection of Personal Data, Processing of Personal Data, Personal Data Protection Law, Personal Data Protection Board.

Kaynakça

• KAYNAKÇA Akdağ H, Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, (Adalet Yayınevi 2013).
• Akgül A, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması: Unutulma Hakkı ve Biyometrik Veriler İlaveli, (Beta Basım Yayım Dağıtım 2016).
• Aşıkoğlu Şİ, Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri, (On İki Levha Yayıncılık 2018).
• Aydın SE, AİHM İçtihatları Bağlamında Kişisel Verilerin Kaydedilmesi Suçu, (On İki Levha Yayıncılık 2015).
• Başalp N, Kişisel Verilerin Korunması ve Saklanması, (Yetkin Yayınları 2004).
• Çekin MS, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, (On İki Levha Yayıncılık 2018).
• Çelikel S ‘Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi’ (2021) 17 Uyuşmazlık Mahkemesi Dergisi 161-190.
• Dülger MS, Kişisel Verilerin Korunması Hukuku, (Hukuk Akademisi Eğitim ve Yayıncılık 2019).
• European Union, ‘General Data Protection Regulation: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of such Data, and Repealing Directive 95/46/EC’ (4 Mayıs 2016) <https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1690203930552> Erişim Tarihi 23 Temmuz 2023.
• Gül İ ve Alagöz İ, Yeni Bir Güvenlik Sorunu: Kişisel Verilerin Korunmasına Yönelik İhlaller (Dinlemeler) ve Uluslararası Düzenlemeler, (Yargı Yayınevi 2016).
• Henkoğlu T, Bilgi Güvenliği ve Kişisel Verilerin Korunması, (Yetkin Yayınları 2015).
• Kalkınma Bakanlığı, ‘Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi’ (Çalışma Raporu - 6, Ayşe Nur AKINCI, Yayın No: 2968, İktisadi Sektörler ve Koordinasyon Genel Müdürlüğü Bilgi Toplumu Dairesi Başkanlığı, Haziran 2017) <http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf> Erişim Tarihi 24 Temmuz 2023.
• Kaya MB, ‘Kişisel Verilerin İşlenmesi ve Korunması Arasında Denge’ iç Leyla Keser Berber & Ali Cem Bilgili (ed), Güncel Gelişmeler Işığında Kişisel Verilerin Korunması Hukuku: Marmara Hukuk Bilimsel Toplantılar Serisi – I 17 Nisan 2019 - Haydarpaşa (On İki Levha Yayıncılık 2020) 33-68.
• Kılınç D ‘Anayasal Bir Hak Olarak Kişisel Verilerin Korunması’ (2012) 61(3) Ankara Üniversitesi Hukuk Fakültesi Dergisi 1089-1169.
• Kişisel Verileri Koruma Kurulu, “İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/78 sayılı Karar Özeti. (19 Ocak 2023) <https://www.kvkk.gov.tr/Icerik/7596/2023-78> Erişim Tarihi 23 Temmuz 2023.
• Kişisel Verileri Koruma Kurulu, ‘Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’ (31 Ocak 2018) <https://www.kvkk.gov.tr/Icerik/4110/2018-10> Erişim Tarihi 23 Temmuz 2023.
• Kişisel Verileri Koruma Kurumu, ‘Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler’ <https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler> Erişim Tarihi 23 Temmuz 2023.
• Kocabaş G, ‘KVKK’da Yer Alan Kurum ve Kavramların TMK ve Kıta Avrupası Hukuk Sistemi Kapsamında Değerlendirilmesi’ iç Leyla Keser Berber & Ali Cem Bilgili (ed), Güncel Gelişmeler Işığında Kişisel Verilerin Korunması Hukuku: Marmara Hukuk Bilimsel Toplantılar Serisi – I 17 Nisan 2019 - Haydarpaşa (On İki Levha Yayıncılık 2020) 83-120.
• Küzeci E, Kişisel Verilerin Korunması, (Turhan Kitabevi 2019).
• Oğuz S ‘Kişisel Verilerin Korunması Hukukunun Genel İlkeleri’ (2018) 13(2) Bilgi Ekonomisi ve Yönetimi Dergisi BEYDER 121-138.
• Şimşek O, Anayasa Hukukunda Kişisel Verilerin Korunması, (Beta Basım Yayım Dağıtım 2008).
• Yosif U ‘Kişisel Verilerin İşlenmesi Şartları ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun Ruhu Olarak Genel İlkeler’ (2021) 4(1) Selçuk Üniversitesi Adalet Meslek Yüksekokulu Dergisi 1-22.
• Yücedağ N ‘Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler’ (2019) 1(1) Kişisel Verileri Koruma Dergisi 47-63.