KVKK Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulması Gereken Usul ve Esaslar

Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolaylaştırmış olması ve bu durumun hukuki bir sorun olarak kendini göstermesi kişisel veriler ile ilgili yasal düzenlemeler gerçekleştirmeyi zorunlu hale getirmiştir. Bunun neticesinde Kişisel Verileri Koruma Kanunu kabul edilmiş ve 24 Mart 2016 tarihinden itibaren yürürlüğe girmiştir. Sürekli olarak artan ve çeşitlenen kişisel veri işleme faaliyetleri ilgili kişilerin ve kurumların şeffaflık beklentilerini artırmaktadır. Kişisel verilerin korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına[2] getirilmiş olan yükümlülükler kişisel verilerin korunması alanındaki temel organları oluşturmaktadır. Aydınlatma yükümlülüğü de gerek ilgili kişilerin kişisel verilerinin üzerinde kontrolünün sağlanması gerekse veri işleme faaliyetinin hukuka uygunluğunun denetlenebilmesi için önemli bir rol almaktadır. Bu yazımızda aydınlatma metninin hazırlanmasında uyulması gereken usul ve esasları inceleyeceğiz.

Anahtar Kelimeler: Kişisel Verileri Koruma Kanunu(KVKK), Aydınlatma Yükümlülüğü, Aydınlatma Metni, Kişisel Veri, Kişisel Verileri Koruma Kurumu 

Veri Sorumlusunun Aydınlatma Yükümlülüğü Nedir?

Kişisel verilerin korunması hukuku alanında verisi işlenen gerçek kişiye yaratılan koruma alanı içerisinde kişisel verilerinin ilgili kişi tarafından kontrolünün sağlanması, kişinin özgür iradesiyle hareket etmesi ve bu iradesinin doğrultusunda kişiliğini geliştirmesi ve geleceğini belirlemesi yer almaktadır. Bununla birlikte teknolojinin ivmeli bir şekilde gelişmesi ve sürekli olarak artan veri işleme faaliyetleri kişisel verilere değer kazandırırken, ilgili kişilerin kişisel verileri üzerindeki hâkimiyetini ise azaltmaktadır.(Küzeci, 2014)

Türk hukuk sisteminde 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete ’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 10 kapsamında veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiş ve usul ve esasları 10.03.2018 tarihli 30356 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliğ”) kapsamında belirlenmiştir.(Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ, 2018)

Kanun, kişisel verileri işlenen ilgili şahıslara bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlar doğrultusunda aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Kanunun 10. maddesinde belirtildiği üzere “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11. maddede sayılan diğer hakları” konusunda ilgili kişiye bilgi sağlamakla yükümlüdür.(KİŞİSEL VERİLERİN KORUNMASI KANUNU, 2016)

Kanunun 10. maddesinde atıf yapılan ilgili kişinin diğer hakları ise 11. madde içerisinde şu şekilde düzenlenmiştir; “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,  Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini[3] veya yok edilmesini[4] isteme, kanunda belirtilen (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,  Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,” haklarına sahiptir.(KİŞİSEL VERİLERİN KORUNMASI KANUNU, 2016)

Veri işleme faaliyetinin ilgili kişinin açık rızasına[5] bağlı olduğu veya faaliyetin kanundaki diğer bir şarta bağlı olarak yürütüldüğü hallerde de veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Veri Sorumluları Siciline[6] kayıt yükümlülüğünün bulunması durumunda aydınlatma yükümlülüğü kapsamında ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.(KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ, 2019)

Aydınlatma Yükümlülüğünün Yerine Getirilmesi Ve Aydınlatma Metninin Hazırlanması

KVKK 10. maddesi ile getirilen aydınlatma yükümlülüğü, veri sorumluları için bir “yükümlülük” olmakla birlikte aynı zamanda kişisel verisi işlenen gerçek kişiler için de bir “hak” niteliği taşımaktadır. Bu hak ve yükümlülük kişisel verilerin hukuka uygun bir şekilde işlenebilmesi için elzemdir. Bu yüzden aydınlatma yükümlülüğün yerine getirilmesi; veri sorumluları ve ilgili kişiler tarafınca güven ilişkisinin tesisi, şeffaflık ve hesap verebilirlik ilkeleri açısından önem arz etmektedir. (AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ, 2019)

Aydınlatma yükümlülüğüne ilişkin yargıları içeren KVKK’ nin 10. maddesine göre ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken veri sorumlusu veya yetkilendirdiği kişilerce bilgilendirme yapılması gerekmektedir. Bu bilgilendirme asgari olarak aşağıda maddeler halinde açıklayacağımız şartlara sahip olmalıdır.

  1. Veri Sorumlusunun ve Veri Temsilcisin Kimliği

Veri sorumlusu ve varsa temsilcisi, aydınlatma sırasında kimliğini ortaya koyan bilgileri ve kendisiyle farklı yöntemlerle kolaylıkla iletişime geçilebilecek iletişim bilgilerini açıklamalıdır.(AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ, 2019)

  1. Kişisel Verilerin Hangi Amaçla İşleneceği

Tebliğin 5. maddesinde belirtildiği üzere aydınlatma yükümlülüğü yerine getirilirken işleme amacının belirli, açık ve meşru olması gerekmektedir. Ayrıca bilgilendirmede; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanaatini uyandıran ifadelerden uzak durulmalıdır.(Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ, 2018)

Aydınlatma metni hazırlanırken metnin öz ve şeffaf olması, hukuki ve ağdalı bir dilin kullanılmaması, kişisel verilerin işlenmesi ve korunmasına ilişkin olmayan gereksiz açıklamalardan kaçınılması gerekmektedir. Bu aydınlatma metninin ilgili kişiler tarafından anlaşılmasını kolaylaştıracak ve hak mağduriyetlerinin önüne geçecektir.(Aşıkoğlu, 2019)

  1. Kişisel Verilerin Kimlere Ve Hangi Amaçla Aktarılabileceği

Tebliğin 5. maddesinde belirtildiği üzere, veri sorumlusunca aydınlatma yükümlülüğü yerine getirilirken kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da açıkça ifade edilmelidir.

Kişisel verilerin yurt içinde ve yurt dışına aktarımı hususları Kişisel Verileri Koruma Kanunu’nun 8. ve 9. maddelerinde düzenlenmiştir. Buna göre veri sorumluları, işlemekte oldukları kişisel verilerin yurtiçinde ve yurtdışına aktarımı durumunda bu hükümlere uygun hareket etmek zorundadır.(Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ, 2018)

  1. Kişisel Veri Toplamanın Yöntemi Ve Hukuki Sebebi

Tebliğin 5. maddesinde belirtildiği üzere; Kişisel Verileri Koruma Kanunu’nun 5 ve 6’ ncı maddelerinde sayılan kişisel veri işleme şartlarından hangisine dayanılarak kişisel verinin işlendiğinin açıkça belirtilmesi gerekmektedir.

İlgili maddeye göre kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde ifade edilmesi de gerekmektedir.(Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ, 2018)

  1. İlgili Kişinin, Kanunun 11. Maddesinde Sayılan Diğer Hakları

Veri sorumlusu ve varsa temsilcisi ilgili kişiye karşı aydınlatma yükümlülüğünü yerine getirirken KVKK’ nin 11. Maddesinde sayılan haklara sahip olduğunu belirtmesi gerekmektedir. Bu bilgi, önceden hazırlanmış bir formda sayma suretiyle verilebileceği gibi yine aynı formda ilgili kanun maddesine atıfta bulunarak da verilebilir.(Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ, 2018)

Söz konusu maddeye göre her veri sahibi veri sorumlusuna başvurarak kendisiyle alakalı kişisel verilerin işlenip işlenmediğini öğrenebilir, eğer kişisel verileri işlenmişse bunlar hakkında bilgi talebinde bulunabilir, kişisel verilerin işlenme amacını ve bu verilerin amacına uygun bir şekilde kullanılıp kullanılmadığını öğrenebilir, yurt içinde ve yurt dışında olmak üzere kişisel verilerin aktarıldığı diğer kişileri öğrenebilir, kişisel verilerin eksik ya da yanlış işlenmesi halinde bunların düzeltilmesini talep edebilir. Bunlara ek olarak KVKK’ nin 7. maddesi çerçevesinde kişisel verilerin silinmesi veya yok edilmesini isteyebilir, eksik ya da yanlış işleme düzeltilmişse veya silme, yok etme veya anonim hale getirme işlemleri yapılmışsa bu durumun, verinin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir ya da kişisel verilerin hukuka aykırı şekilde işlenmesi sebebiyle uğramış olduğu zararların giderilmesini isteyebilir.

Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Halinde Aydınlatma

Kişisel verilerin KVKK’ ye uygun bir şekilde işlenebilmesi için öncelikle kişisel verilerin ilgili şahıstan elde edilmesi gerekmektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’ in 6’ ncı maddesi, kişisel verilerin ilgili şahıs tarafından elde edilmemesi halinde aydınlatma yükümlülüğünün nasıl yerine getirileceğini düzenlemiştir.

Buna göre; fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle kişisel veriler doğrudan ilgili kişiden elde edilemiyorsa; kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada, ilgili kişiye aydınlatma yükümlülüğünün yerine getirilmesi gerekir.(AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ, 2019

Kaynaklar

Aşıkoğlu, Ş. İ. (2019). Kişisel Verileri Koruma Dergisi Veri Sorumlularının Aydınlatma Yükümlülüğü-Avrupa Birliği ve Türk Hukukunda. www.kvkk.gov.tr

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ. (2019). www.kvkk.gov.tr

KİŞİSEL VERİLERİN KORUNMASI KANUNU. (2016). https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ. (2019). www.kvkk.gov.tr

Küzeci, E. (2014). İstatistikî Birimler ve Bilgilerin Geleceğini Belirleme Hakkı. 4, 53–75. https://www.academia.edu/37176330/İstatistikî_Birimler_ve_Bilgilerin_Geleceğini_Belirleme_Hakkı_Statistical_Units_and_Right_to_Informational_Self_Determination

Resmî Gazete, AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ. (2018). https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm

Dipnotlar

[1] Ömer Çaktu, Marmara Üniversitesi Hukuk Fakültesi Lisans Öğrencisi. e-mail: caktuomer7@gmail.com, ORCID: orcid.org/0000-0002-1219-5365

[2] Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.

[3] Silme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

[4] Yok etme; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

[5] Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

[6] 6698 sayılı Kanuna göre veri sorumlusu olanların kaydolmak zorunda oldukları Kişisel Verilerin Korunması Kurumu Başkanlığı tarafından kamuya açık olarak tutulması öngörülen bir kayıt sistemidir.