KVKK Kapsamında Aydınlatma Yükümlülüğünün Usul ve Esasları
Aralık 2020, ERDEMİR&ÖZMEN AVUKATLIK ORTAKLIĞIKVKK Kapsamında Aydınlatma Yükümlülüğünün Usul ve Esasları
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK ya da Kanun”)’nda, temel hak ve hürriyetlerin korunması ve kişisel veri işlenmesi konusunda gerçek ve tüzel kişilerin uyacakları usul ve esaslar belirlenmiştir. Esasen Kanun’da kişisel verilerin işlenmesinin sınırlanmasından ziyade, kişisel veri işleme faaliyeti belirli kurallara bağlanarak kapsam alanı belirlenmiştir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”)’de ise; KVKK’nın 10’uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar düzenlenmektedir.
Kanun, kişisel veri işleyen veri sorumlularına bir kısım yükümlülükler getirmiştir. Bunlardan en temeli kuşkusuz ilgili kişiyi aydınlatma yükümlülüğüdür. Nitekim veri sahibinin aydınlatma yükümlülüğü altında olması, ilgili kişinin kendi kişisel verileri üzerine denetim yetkisinin olduğunu açıkça ortaya koymaktadır. Aynı zamanda veri işleyen tarafından ilgili kişinin aydınlatılması da, ilgili kişiye tanınan bir haktır. Bu yükümlülüğün yerine getirilmesi, veri işleme faaliyetinin esaslı bir şartıdır.
Belirtmek gerekir ki, aydınlatma yükümlülüğü ilgili kişinin talebine bağlı bir yükümlülük değildir. Aksine, eğer ilgili kişinin açık rızasının yahut kişisel veri işleme şartlarının bulunduğu bir işleme faaliyeti var ise veri sahibi aydınlatmayı yerine getirmekle yükümlüdür.
İşbu bilgi notunda, Kanun ve Tebliğ uyarınca veri sahibi tarafından aydınlatma yükümlülüğü yerine getirilirken uyulması gereken usul ve esaslar ile aydınlatma metninde olması gereken unsurlar açıklanacaktır.
Aydınlatma Yükümlülüğünün Usul ve Esasları
1. Kişisel Verilerin İlgili Kişilerden Elde Edilmesi Halinde Aydınlatma
KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10. maddesinde, aydınlatmanın hukuka uygun olarak gerçekleştiğinin kabul edilebilmesi için bazı asgari unsurların yerine getirilmiş olması gerekmektedir. Buna göre aydınlatmada; (i) Veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) Kişisel verilerin hangi amaçla işleneceği, (iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) İlgili kişinin hakları konularında bilgi verilmesi gerekmektedir.
Aydınlatma metninde olması gereken asgari unsurlar aşağıda ayrıntılarıyla açıklanacaktır.
a. Veri sorumlusunun ve varsa temsilcisinin kimliği
Veri sorumlusu ve varsa temsilcisi, kimliğini ortaya koyan bilgileri ve kendisine ulaşılabilmesi için gereken iletişim bilgilerini aydınlatma sırasında açıklamak durumundadır.
Örnek vermek gerekirse; veri sorumlusu tüzel kişi ise, tüzel kişiliğin unvanın, gerçek kişi ise gerçek kişinin adının ve soyadının aydınlatmada yer alması gerekmektedir. Veri sorumlusu ile iletişime geçilebilmesi için ise; e-mail adresi, telefon ve adres bilgileri gibi iletişim bilgilerinin ilgili kişinin bilgisine sunulması gerekmektedir. Belirtmek gerekir ki, tüm bu verilerin güncel olması, ilgili kişinin veri sorumlusuna sağlıklı bir şekilde ulaşabilmesi için oldukça önem arz etmektedir.
b. Kişisel verilerin hangi amaçla işleneceği
Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esaslar Tebliğ’in 5/1. maddesinde düzenlenmiştir.
Bu kapsamda, Tebliğ’in 5/1. maddesi uyarınca; aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemeli, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Tebliğin 5. maddesine göre, veri sorumlusunca aydınlatma yükümlülüğü yerine getirilirken kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da açıkça belirtilmelidir.
Kişisel verilerin yurt içinde ve yurt dışına aktarımı hususları ise KVKK’nın 8. ve 9. maddelerinde düzenlenmiştir. Buna göre veri sorumluları, işlemekte oldukları kişisel verilerin yurt içinde ve yurt dışına aktarımı durumunda bu hükümlere uygun hareket etmek zorundadır. Belirtmek gerekir ki kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamazlar.
Yurt dışına aktarımda, kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
d. Kişisel veri toplamanın yöntemi ve hukuki sebebi
Tebliğ’in 5. maddesi uyarınca; aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
Buradaki “hukuki sebep” ile kast edilen; aydınlatma yükümlülüğü kapsamında kişisel verilerin KVKK kapsamında belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
e. İlgili Kişinin Hakları
Veri sorumlusu ve varsa temsilcisi tarafından, ilgili kişiye aydınlatmada bulunurken Kanun’un 11. maddesinde sayılan haklara da sahip olduğunu belirtmelidir.
KVKK md. 11 kapsamında ilgili kişi;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
2. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Halinde Aydınlatma
Kişisel veriler her zaman ilgili kişinin kendisinden elde edilmeyebilir. Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü Tebliğ’in 6’ıncı maddesinde düzenlenmiştir.
Bu kapsamda; kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişinin aydınlatılması gerekmektedir.
Sonuç
KVKK kapsamında veri sahibinin veya varsa temsilcisinin, kişisel verilerin elde edildiği sırada ilgili kişiyi aydınlatma yükümlülüğü vardır. Aynı zamanda bu aydınlatmanın, Kanun ve Tebliğ’de öngörülen kurallara göre yapılması gerekmektedir.
Bu itibarla aydınlatma metninde; (i) veri sorumlusunu ve varsa temsilcisinin kimliğine, (ii) kişisel verilerin hangi amaçla işleneceğine, (iii) kişisel verilerin kimlere ve hangi amaçla aktarılabileceğinin, (iv) kişisel veri toplamanın yönteminin ve hukuki sebebinin ve (v) ilgili kişinin haklarının eksiksiz şekilde yer verilmesi gerekmektedir. Aksi halde, aydınlatma tam anlamıyla yerine getirilmiş sayılmayacak ve veri işleme faaliyeti hukuka aykırı hale gelebilecektir.