Giriş

Kişisel Verileri Koruma Kanunu kapsamında hayatımıza giren ve yeni bir kavram olan ''aydınlatma yükümlülüğü'' veri sorumlularının en önemli yükümlülüklerinden birisidir. Aydınlatma yükümlülüğü en genel tanımıyla işlenen kişisel verilerle alakalı bilgilendirmeyi ifade eder. Fakat bu yükümlülük yerine getirilirken de hukuka uygun davranılması gerekmektedir. Makalemizde aydınlatma yükümlülüğü yerine getirilirken dikkat edilmesi gereken temel hususlar hakkında bilgi vereceğiz.

Aydınlatma Yükümlülüğü Nedir?

Aydınlatma yükümlülüğü kişisel veri işleyen gerçek ve tüzel kişiler için getirilmiş bir yükümlülüktür. Bu yükümlülük ilgili kişilerin kişisel verileri üzerinde kontrol ve denetim yetkisine sahip olduğunu gösterir. Ama ifade etmemiz gereken husus şudur ki; aydınlatma yükümlülüğü ilgili kişinin talebinden bağımsızdır.

Aydınlatma yükümlülüğünün kapsamına bakacak olursak, Kişisel Verileri Koruma Kanununun 10 uncu maddesine göre;

Görüldüğü üzere aydınlatma yükümlülüğü ilgili kişiler açısından bir hak, veri sorumlusu ya da temsilcisi açısından bir yükümlülüktür. Aydınlatma yükümlülüğünü yerine getirecek veri sorumlusu, aydınlatma metninde kendisinin ya da temsilcisinin kimliğini, verinin hangi amaçla işleneceğini, verilerin kimlere ve hangi amaçla aktarılabileceğini, bu veriyi toplamanın yöntemini ve hukuki sebepleri konusunda mutlaka bilgi vermelidir.

Aydınlatma Yükümlülüğü Hangi Aşamada Yerine Getirilecektir?

Veri sorumlusu aydınlatma yükümlülüğünü, ilgili kişinin açık rızasının varlığında ya da veri işleme şartlarından birisinin olması durumunda yerine getirecektir. Fakat aydınlatma yükümlülüğü başlı başına bir işlemdir ve açık rıza sürecinden ve veri işleme sürecinden bağımsızdır. Aydınlatma yükümlülüğüne ilişkin ispat yükümlülüğü de veri sorumlusuna aittir.

Aydınlatma Yükümlülüğü Yerine Getirilirken Uyulması Gereken Usul ve Esaslar Nelerdir?

Aydınlatma yükümlülüğü yerine getirilirken uyulması gereken belli başlı usul ve esaslar bulunmaktadır. Aydınlatma yükümlülüğünü daha sağlıklı bir zemine oturtmak açısından bu usul ve esasları incelememiz gerekecektir.

Kişisel Verilerin İlgili Kişilerden Elde Edilmesi Halinde Aydınlatma Metninde;

Veri sorumlusunun ve varsa temsilcisinin kimliği

Veri sorumlusu ya da temsilcisi aydınlatma sırasında mutlaka kimlik ve iletişim bilgilerini ilgili kişiye açıklamalıdır. Aydınlatma metninde bulunması gereken ilk unsur kimlik bilgisidir. Veri sorumlusu tüzel kişi ise tüzel kişilik unvanı, gerçek kişi ise adı- soyadı mutlaka açıkça belirtilmelidir. Eğer veri sorumlusu yurtdışında yaşayan gerçek kişi ise, atadığı veri sorumlusu temsilcisinin adı- soyadı/ unvanı ve telefon numarası, e posta adresi, internet adresi ya da posta adresi gibi iletişim bilgileri ter almalıdır.

Kişisel verilerin hangi amaçla işleneceği

Aydınlatma yükümlülüğünü düzenleyen tebliğin 5 inci maddesinin (g) bendine bakacak olursak;

Görüldüğü üzere aydınlatma yapılırken kişisel veri işleme amacının açık, net ve meşru olması gerekmektedir. Muğlak ifadelerden uzak durmak gerekir. İlgili kişilere ait kişisel verilerin başka amaçlarla işlenebileceği anlamı çıkan ifadelerden kaçınılmalıdır. Örneğin bir seminere katılmak için kimlik bilgileri alınan ilgili kişi için aydınlatma yükümlülüğü yerine getirilirken, bu verinin yalnızca katılımcıya geri dönüş yapılması için alındığı ifade edilmelidir.

Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

Tebliğin 5 inci maddesi (ı) bendine bakacak olursak;

Yani kişisel verinin aktarılması söz konusu ise, aktarılma amacı ve aktarılan alıcı grubu açıkça belirtilmelidir.

Alıcı grubu nedir?

Alıcı grubu kişisel verilerin aktarımının yapılacağı ortam bilgisidir. Örnek verecek olursak; iş ortağı, tedarikçi, iştirakler, hissedarlar, kanunen yetkili kurum ve kuruluşlar, kanunen yetkili özel hukuk tüzel kişileri, topluluk şirketleri vb.

Kişisel veri toplamanın yöntemi ve hukuki sebebi

Tebliğin 5 inci maddesinin (h) ve (i) bendlerine bakacak olursak;

Örnek verecek olursak;

Veri toplama yöntemleri; internet üzerinden doldurulan bir form, çağrı merkezi telefon görüşmesi esnasında alınan bilgi, web sitesi, kamera kaydı ile kişisel bilgi elde edilmesi vb. olabilir.

İlgili kişinin 11 inci madde kapsamında sayılan diğer hakları 

Aydınlatma yükümlülüğü yerine getirilirken ilgili kişinin yukarıdaki hakları mutlaka açıklanmalıdır.

Kişisel Verilerin İlgili Kişilerden Elde Edilemediği Durumlarda Ne Yapılmalıdır?

Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,

b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

Aydınlatma Yükümlülüğü Hangi Hallerde Yerine Getirilmeyebilir?

Kanunun 28 inci maddesine göre aydınlatma yükümlülüğü aşağıdaki hallerde aranmaz;

  • Kişisel verilerin tamamen kendisiyle veya aynı konutta yaşayan aile bireyleri ile ilgili faaliyetler kapsamında işlenmesi durumunda ( üçüncü kişilere verilmemesi ve veri güvenliğinin sağlanması kaydıyla)
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda,
  • Kişisel verilerin, milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, özel hayatın gizliliği ya da kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda,
  • Kişisel verilerin önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi durumlarında aranmaz.

Aydınlatma Yükümlülüğü Kim Tarafından Yerine Getirilmelidir?

Bizzat veri sorumlusu ya da yetkilendirdiği kişi tarafından yerine getirilmelidir. Yetkilendirme yapılacaksa bu kişinin Kanun ve İlgili mevzuatlar hakkında yeterli bilgiye sahip olması gerekecektir. Bilindiği üzere kişisel veri işleme envanteri yalnızca sicile kayıt olmakla yükümlü olan veri sorumluları tarafından hazırlanacak bir rapordur. Fakat aydınlatma yükümlülüğü tüm veri sorumluları tarafından yerine getirilmesi gerekmektedir.

Ayrıca aydınlatma yükümlülüğünden önce kişisel veri işleme envanterinin hazırlanması veri sorumlusu açısından büyük bir kolaylık olacaktır.

Aydınlatma Metni Hazırlanma Aşamaları

Aydınlatma metninin yazılı döküman haline getirilmesi her zaman daha iyi olacaktır. Çünkü olası bir dava durumunda ispat yükümlülüğü işverene ait olduğundan yazılı belge delil niteliği taşıyacaktır. Hazırlanacak metinlerde sade, açık ve anlaşılabilir bir dil kullanılmalıdır.

  1. Öncelikle hangi tür verilerin işlendiği dikkatli bir şekilde tespit edilmelidir.
  2. İşlenen kişisel verilerin hangi amaçla işlendiği ayrı ayrı belirlenmeli ve aydınlatma metninde açık bir şekilde ifade edilmelidir.
  3. Yurtiçine ya da yurtdışına aktarım yapılacaksa aktarımın amacının aydınlatma metninde açıkça yazılması gerekir. Ayrıca metinde alıcı grupları da bulunmalıdır.
  4. Veri sorumlularının kanunda yer alan veri işleme şartlarından hangisine dayanarak kişisel veri topladıklarını tespit etmesi gerekmektedir. Bu şartların da metinde yer alması gerekir. Ayrıca kişisel veri toplama yöntemi de mutlaka tespit edilmelidir.
  5. Metinde kanunun 11 inci maddesinde bulunan haklar belirtilmelidir.

SONUÇ

Dolayısıyla veri sorumlusunun en önemli sorumluluklarından birisi de aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü kişisel verilerle ilgili bilgilendirmeyi ifade eder. Bu yükümlülük kişisel veri işlemenin hukuka uygun hale getirilmesi açısından olmazsa olmaz bir şarttır. Veri sorumluları ya da temsilcileri tarafından yerine getirilmesi gereken bu yükümlülük hem 6698 sayılı Kişisel Verileri Koruma Kanununda hem de Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenmiştir. Aydınlatma metinleri hazırlanırken; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılacağı, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin 11 inci maddedeki hakları mutlaka belirtilmelidir.