E-ticaret faaliyetlerinde müşterilerin üyelik işlemleri tamamlanırken ve müşterilerin alışverişi sürecinde e-posta adreslerinin ve telefon numaralarının hukuka uygun toplanabilmesi ve işlenebilmesi için bu veriler alınırken doğrulama yapılmalıdır. Doğrulama gereksinimi, kişisel verilerin işlenmesi esnasında uyulması gereken temel ilkeler incelendiğinde açık bir şekilde anlaşılacaktır. Bu ilkeler; “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklindeki 5 ilkedir.
Bunların içinden e-posta ve telefon numarası onaylama süreçlerinde önemli olan ilke “doğru ve gerektiğinde güncel olma” ilkesidir. Kişisel Verileri Koruma Kurulu’nun ilgili ilke kararında da (ilgili karar 15 Ocak 2021’de Resmi Gazete’de yayınlanmıştır) buna şu şekilde vurgu yapılmıştır: “[…] kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.”
Burada öncelikle kısaca “makul önlemler” teriminin incelenmesi gereklidir. Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde kişisel verilerin hukuka aykırı işlenmesini önlemek için her türlü teknik ve idari tedbirlerin alınması gerektiği belirtilmektedir. Ancak, Kurul ilke kararlarında yukardaki paragrafta da açıkça belirtildiği gibi iletişim bilgileri için bir açıklama yapmıştır. Örneğin; e-faturanın doğrulanmış e-posta adresine müşteri tarafından yanlış verilmiş isim üzerinden gitmesi kişisel veriler açısından bir aykırılık oluşturmayacaktır. Ancak müşteriden ismin düzeltilmesi için bir başvuru alınırsa ve bu yanlışlık düzeltilmezse ihlal meydana gelecektir.
Kurul aynı ilke kararının devamında “[…] veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; […] veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda [..]” gerekli önlemlerin alınması gerektiği hakkında görüşünü belirtmiştir.
Bu aşamada sadece e-fatura vb. iletileceğinde e-posta doğruluğunun teyit edilmesi gerekeceği gibi bir yorum yapılabilecek olsa da, aşağıda detaylarıyla açıklanacağı üzere, böyle bir yorum doğru olmayacaktır. Kişisel Verilerin Korunması Kanunu’nun hükümleri incelendiğinde farklı bir yoruma yer bırakmayacak şekilde kişisel verilen hukuka aykırı işlenmesinin önlenmesi için her türlü teknik ve idari tedbirlerin alınması gerektiği ve kişisel verilerin hukuka uygun işlenmesi için doğru ve güncel olması gerektiği görülecektir. Bu durumda, kişisel verilerin hukuka uygun işlenmesi için alınması gereken bir teknik tedbir olarak doğruluklarının ve güncelliklerin ölçülülük ilkesinin ışığında kontrol edilmesi gereklidir. Kimlik kontrolü gibi aşamaların ölçülülük ilkesine uymayacağını ama e-posta ve telefon numarasının kontrolünün ölçülülük ilkesine uyacağını söylenebilir. Müşteri tarafından yanlış beyan edilen isim başka bir müşteri beyanı ile düzeltilebilecek ve müşteri beyanı olmaksızın kontrol edilmesi zor bir unsurdur (Kurul’un belirttiklerinden birisi de makul önlemler alınmasıdır); fakat müşteri tarafından beyan edilen e-posta ve telefon numaralarının doğruluğu kontrolü makul önlemlerle ve meşru amaçlar doğrultusunda gerçekleştirilebilir.
Devam etmeden önce kişisel veri işlemenin ne olduğunu açmamız gerekirse, bu terim Kişisel Verilerin Korunması Kanunu’nda açıkça tanımlanmıştır. Kanuna göre kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir”. Kişisel verilerin (bu yazı kapsamında e-posta adresleri ve telefon numaraları) kaydedilmesi, depolanması ve muhafaza edilmesi tartışılamayacak bir şekilde işleme faaliyetleridir. Yani mevzuata tam uyum için sadece e-fatura vb. iletirken değil, e-postayı sisteme kaydederken de doğrulanması gerektiği söylenebilir.
Konuya ilişkin verilmiş Kurul kararlarından bahsedecek olursak;
2019/166 numaralı kararda ilgili kişiye ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği için 50.000 TL idari para cezası uygulanmasına karar verilmişti. Bu karar verildiğinde alt limit 20.000 TL olarak belirlenmiştir.
2019/333 numaralı kararda ise ad ve soyadı benzerliği nedeniyle fatura bilgilerinin e-posta yoluyla yanlış kişiye iletilmesi nedeniyle 50.000 TL idari para cezası uygulanmasına karar verilmişti.
Yukarıdaki örneklerde görüldüğü üzere cezalar kişi başına uygulanmaktadır ve Kurulun ikili bir politikası vardır. Bunlar;
1. Şikâyet eden her kişi için inceleme yapıp bir para cezası belirlenir, bu genelde kıyasen düşük bir cezadır.
2. Farklı gerekçelerle (şikâyetlerin artması, kendilerinin bir eksikliği fark etmesi vb.) daha kapsamlı araştırmalar yapılır. Bu durumda genel açıklıklar üzerinde daha büyük para cezaları uygulanabilir.
Son olarak da Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde belirlenmiş ihlallerden bahsetmek gerekirse (cezalar bu ihlaller dolayısıyla verilmektedir);
1. Müşterinin verdiği e-posta adresi ve telefon numarası aktif olarak e-fatura iletimi vb. işlemlinde kullanılırken gerekli kontroller yapılmazsa iki farklı ihlal gerçekleşecektir: “Kurul kararlarının yerine getirilmemesi” ve “veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi”. Bu ihlaller belirttiğimiz ilke kararına uymayarak e-posta/SMS gönderildiği için ve gerekli önlemler alınmayarak ilk kaydetme aşamasından beri doğrulama yapılmadığı için meydana gelecektir.
2. Müşterinin verdiği e-posta adresi ve/veya telefon numarası kaydedilirken doğrulama yapılmadıysa “veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi” nedeniyle ihlal gerçekleşmiş olacaktır.
2022 yılı için belirlenmiş ceza alt-üst limitleri şu şekildedir:
1. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi nedeniyle 40.183 TL ve 2.678.866 TL arası,
2. Kurul kararlarının yerine getirilmemesi nedeniyle 66.972 TL ve 2.678.866 TL arası para ceza uygulanabilir.
Kısacası en başta doğrulamamak bir ihlalken, hiç doğrulamadan kullanmak daha büyük bir ihlal olacaktır.
Yukarda belirttiğim nedenlerle Kişisel Verilerin Korunması Kanunu’na uyum sağlanabilmesi için toplanan iletişim verilerin (e-posta adresleri ve telefon numaraları) toplama anında doğrulanması, doğrulanamaması durumunda ise kaydedilmemesi gereklidir.