Kişisel Verilerin İşlenmesinde “Doğru ve Gerektiğinde Güncel Olma” İlkesi ve Kişisel Verileri Koruma Kurulunun 2023/78 Sayılı Kararı

dc.contributor.authorEgemen, Emir Efe
dc.description.abstractKişisel veriler, bireyleri tanımlayan, onların belirlenmesini doğrudan veya dolaylı olarak sağlayan bilgilerdir. Kişisel veriler, bireylerin özel hayatlarına ilişkin birçok bilgiyi içermektedir. Kişisel verilerin korunması hakkı, özel hayatın gizliliğinin korunması hakkıyla yakından ilişkilidir. Nitekim kişisel verilerin korunması hakkı, Anayasada özel hayatın gizliliğinin korunmasıyla bir arada düzenlenmiştir. Kişisel verilerin korunması, veri toplayan ile verisi toplanan kişi arasında hassas bir denge gerektirmektedir. Kişisel verilerin işlenmesi, bu verilerin elde edilmesi ve devamında bu veriler üzerinde çeşitli işlemler gerçekleştirilmesini ifade etmektedir. Bu işlemler gerçekleştirilirken, uyulması zorunlu olan bazı ilkeler mevcuttur. Bu ilkelerden birisi, doğru ve gerektiğinde güncel olma ilkesidir. Buna göre; kişisel verilerin doğru ve güncel olarak işlenmesi gerekmektedir. O halde, kişiler hakkında işlenen kişisel veriler, yanlış ve eski olmamalıdır. Yani kişisel veriler hem doğru olarak işlenmeli hem de bu verilerde değişiklik olduğunda, gerekli güncelleme işlemi gerçekleştirilmelidir. Kişisel Verileri Koruma Kurulunun 2023/78 sayılı kararı, kişisel verilerin işlenmesinde doğru ve güncel olma ilkesine önemli bir örnek oluşturmaktadır. Nitekim karara konu olayda, kişi hakkında işlenen kişisel verilerden birisi olan telefon numarası, doğru ve güncel değildir. Buradaki yanlışlık dolayısıyla, kişinin borcuna dair bilgiler, ortağı olduğu şirketin kurumsal telefon numaralarına mesaj olarak gönderilmiştir. Böylece kişiye özel bir durum olan “bir yere borçlu olma bilgisi”, kişinin ortağı olduğu şirketin çalışanlarınca öğrenilmiştir. Gönderilen mesajda, her ne kadar kişinin soyadı tam olarak yazılmamış ve maskelenmiş olsa da adının tam yazılması ve soyadının ilk harfinin mesajda olması, kişiyi belirlenebilir kılmış ve onun kolaylıkla tespit edilebilmesine sebep olmuştur. Kurul kararına göre; bu durum, kişisel verilerin işlenmesinde doğru ve güncel olma ilkesine aykırılık dolayısıyla kişisel verilerin korunması hakkının ihlalidir. Çünkü kişisel verilerin işlenmesinde, kişinin telefon numarası doğru ve güncel şekilde işlenmemiştir. Ayrıca gönderilen mesajın kısmen maskelenmiş olması, kişinin kimliğinin ortaya çıkmasını engelleyememiştir. Hukuki yönden isabetli olan Kurul kararı, kişisel verilerin korunması amacına uygundur ve insan haklarının korunmasına hizmet etmektedir.
dc.description.abstractPersonal data is information that identifies individuals and enables them to be identified directly or indirectly. Personal data includes a lot of information about the private lives of individuals. The right to the protection of personal data is closely related to the right to the protection of the privacy of private life. As a matter of fact, the right to the protection of personal data is regulated together with the protection of the privacy of private life in the Constitution. The protection of personal data requires a delicate balance between the data collector and the person whose data is collected. Processing personal data means obtaining these data and subsequently performing various operations on this data. While performing these operations, there are some principles that must be followed. One of these principles is the principle of “accuracy and, when necessary, up to date”. According to this, personal data must be processed accurately and up to date. Therefore, the personal data processed about individuals should not be inaccurate and outdated. In other words, personal data should be processed correctly and when there is a change in this data, the necessary update process should be performed. The Decision Numbered 2023/78 of the Personal Data Protection Board is a significant example of the principle of “accuracy and, when necessary, up to date” in the processing of personal data. As a matter of fact, in the case subject to the decision, the phone number, which is one of the personal data processed about the person, is not correct and up to date. Due to the mistake here, information about the debt of the person was sent as a message to the corporate phone numbers of the company he is a partner of. Thus, the “knowledge of being indebted to a place”, which is a personal situation, was learned by the employees of the company of which the person is a partner. Although the surname of the person was not written in full in the sent message and it was masked, the fact that the name of the person was written in full, and the first letter of the surname was in the message made the person identifiable and caused him to be easily identified. According to the decision of the Board, this is a violation of the right to protection of personal data due to the violation of the principle of “accuracy and, when necessary, up to date” in the processing of personal data. Because in the processing of personal data, the phone number of the person is not processed accurately and up to date. In addition, the fact that the sent message was partially masked could not prevent the identity of the person from being revealed. The Board decision, which is legally correct, is in line with the purpose of protecting personal data and serves the protection of human rights.
