Başkasının Faturası Sizin Cebinizde mi? KVKK 2020/966 Sayılı İlke Kararı ve Doğrulama Zorunluluğu

E-ticaret sitelerinden gelen yanlış faturalar, tanımadığınız birinin uçak bileti rezervasyonu veya banka ekstrelerinin yanlış e-posta adresine düşmesi… KVKK Kurulu, 2020/966 sayılı ilke kararı ile bu tür “yanlış veri gönderimi” vakalarına karşı veri sorumlularına çok net bir “aktif özen” ve “doğrulama” yükümlülüğü getirdi.

Veri Sorumlusunun “Aktif Özen” Yükümlülüğü

Kanun’un 4. maddesi, kişisel verilerin “doğru ve gerektiğinde güncel olması” ilkesini emreder. Kurul bu kararında, verinin doğruluğunu sağlamanın sadece bir temenni değil, veri sorumlusu için bir ödev olduğunu belirtmiştir. Eğer beyan edilen iletişim bilgisi (telefon veya e-posta) teyit edilmeden sisteme kaydediliyorsa, bu durum doğrudan bir güvenlik zafiyetidir.

Mevzuat Vurgusu (KVKK Md. 12/1): Veri sorumlusu, kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır.

Kararın Getirdiği Kritik Yenilik: İletişim Bilgisi Doğrulama

Kurul, özellikle e-ticaret, telekomünikasyon, turizm ve ulaşım sektörlerini uyararak şu tedbirlerin alınmasını zorunlu kılmıştır:

• Doğrulama Mekanizmaları: Kullanıcı tarafından beyan edilen telefon numarasına SMS doğrulama kodu (OTP) gönderilmesi veya e-posta adresine aktivasyon linki iletilmesi artık bir “makul önlem” olarak kabul edilmektedir.
• Hatalı Veri Girişini Önleme: Üçüncü kişilere ait bilgilerin yanlışlıkla veya kasten beyan edilmesi sonucu ortaya çıkabilecek veri sızıntılarının (başkasına ait faturanın size gelmesi gibi) sorumluluğu artık doğrudan veriyi kontrol etmeyen kuruma aittir.
• Maddi ve Manevi Zarar Riski: Yanlış adrese giden bir sağlık raporu veya banka ekstresi, ilgili kişinin mahremiyetini ağır şekilde ihlal edebilir. Bu durum veri sorumlusu için yüksek tazminat ve idari para cezası riskini beraberinde getirir.

Özgür Eralp Perspektifi: “Doğrulanmamış Veri, Kirli Veridir”

25 yıllık bilişim hukuku tecrübemizde, veri tabanlarının büyüklüğünden ziyade “sağlıklı” olmasının önemini her fırsatta vurguladık. Bir yatırımcı veya işletmeci için müşteri listesi bir varlıktır; ancak bu liste doğrulanmamışsa, her an patlamaya hazır bir hukuki mayın tarlasına dönüşebilir. Yazılım mimarilerinize “Doğrulama (Validation)” süreçlerini eklemek bir maliyet değil, hukuk karşısında en büyük sigortanızdır.

---

Sıkça Sorulan Sorular

1. Telefonuma başka birinin faturası geliyor, ne yapmalıyım?

Bu durum bir kişisel veri ihlalidir. Öncelikle gönderimi yapan veri sorumlusuna (şirkete) başvurarak numaranızın silinmesini ve doğrulama yapılmadan neden işlem yapıldığını sormalısınız. Çözüm alamazsanız KVKK Kurumu’na şikayette bulunabilirsiniz.

2. Şirketim için her kayıt olan müşteriye SMS onay kodu göndermek zorunda mıyım?

Kurul kararı, veri sorumlularına “makul önlemler” alma yükümlülüğü getirir. Eğer müşteriye hassas içerikli (fatura, sağlık verisi, ekstre) belgeler gönderiyorsanız, iletişim kanalını doğrulamak artık yasal bir zorunluluktur.

3. Yanlış veri beyan eden kişi sorumlu değil mi?

Kişi yanlış beyanda bulunsa dahi, veri sorumlusu bu bilgiyi teyit etmeden veri işleme faaliyetine devam ettiği için kusurlu sayılır. Kanun, profesyonel veri sorumlusundan “aktif özen” bekler.

4. E-posta doğrulama linki gönderilmesi KVKK için yeterli mi?

Evet, genellikle bir doğrulama linki veya kodu gönderilerek e-posta adresinin o kişiye ait olduğunun teyit edilmesi, Kurul’un işaret ettiği “makul önlemler” kapsamına girer.

5. Bu karara uymayan şirketlere ne tür cezalar verilir?

KVKK 12. maddedeki güvenlik yükümlülüklerini ihlal ettikleri gerekçesiyle, Madde 18 uyarınca yüksek tutarlı idari para cezaları ile karşı karşıya kalabilirler.

---

Kaynaklar

• KVKK Kurumu – 2020/966 Sayılı İlke Kararı
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 4, 12, 15)
• 15/01/2021 Tarihli ve 31365 Sayılı Resmi Gazete
• Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
• Türk Medeni Kanunu Dürüstlük Kuralı (Madde 2)