Kişisel Verilerin Korunması Kanunu (KVKK) Danışmanlığı
Haklar ve Yükümlülükler

Şeffaflık ve Aydınlatma Yükümlülüğü

5 Ocak 2024
Şeffaflık ve Aydınlatma Yükümlüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlularının belirli yükümlülükleri bulunmaktadır. Bu yükümlülüklerden bir tanesi olan aydınlatma yükümlülüğü, Kişisel Verilerin Korunması Kanunu‘nun 10’uncu maddesinde düzenlenmiştir. Buna göre, veri sorumluları kişisel verilerin elde edilmesi sırasında ilgili kişilere aşağıdaki bilgileri vermekle yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği; örneğin veri sorumlusu tüzel kişi ise tüzel kişinin unvanı, gerçek kişi ise gerçek kişinin adı-soyadı, yurt dışında yerleşik veri sorumlusu ise, atadığı veri sorumlusu temsilcisinin adı/unvanı gibi kimlik bilgileri
  • Kişisel verilerin hangi amaçla işleneceği; örneğin bir çalışana ait kişisel verilerin çalışanın özlük dosyasının oluşturulması için işlenmesi
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; örneğin bağımsız bir denetim kuruluşuna çalışanların belirli kişisel verilerinin denetim amacıyla aktarılması
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi; örneğin ilgili kişilere ait kişisel verilerin ilgili kişinin açık rızasının alınması hukuki sebebine dayanarak veri sorumlusunun internet sitesi üzerinde iletişim formu doldurmak suretiyle işlenmesi
  • Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamında sayılan ilgili kişinin hakları

Aydınlatma yükümlülüğünün temelinde şeffaflık ilkesi yer almaktadır. Şeffaflık ilkesi, Kişisel Verilerin Korunması Kanunu ve 95/46 sayılı Avrupa Birliği Veri Koruma Tüzüğü kapsamında açıkça belirtilmemiştir. Bununla birlikte, şeffaflık ilkesi dürüstlük kurallarına uygun olma kapsamında değerlendirilmektedir.

Teknolojinin hızla gelişmesiyle birlikte gündelik hayata dâhil olan nesnelerin interneti, yapay zekâ uygulamaları, akıllı cihazların gerçek zamanlı olarak yürüttükleri otomatik veri işleme faaliyetleri karşısında ilgili kişilerin korunabilmesi için şeffaflık ilkesinin veri sorumluları tarafından benimsenmesi ve bu doğrultuda aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Ayrıca, veri sorumluları, aydınlatma yükümlülüğünü yerine getirirken Kişisel Verilerin Korunması Kanunu kapsamında belirtilen genel ilkelere uygun hareket etmelidir.

Aydınlatma yükümlülüğü, veri sorumluları açısından bir yükümlülük olmakla birlikte, kişisel verileri işlenen kişiler açısından bir hak teşkil etmektedir. Nitekim, aydınlatma yükümlülüğü ve şeffaflık Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında, ilgili kişinin hakları başlığı altında düzenlenmiştir. İlgili kişiler, kişisel verileri işleme faaliyetinin hukuka uygunluğunu aydınlatma metinleri aracılığıyla denetleme imkânı bulmaktadır.

Aydınlatma yükümlülüğü, kişisel verilerin işlenmesi faaliyetinin hukuka uygun olabilmesi için olmazsa olmaz bir şarttır. Ayrıca, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmesi, veri sorumluları ile ilgili kişiler arasındaki güven ilişkisinin tesisi, şeffaflık ve hesap verilebilirlik ilkeleri açısından önem arz etmektedir.

Aydınlatma yükümlülüğü ile ilgili olarak Kişisel Verileri Koruma Kurumu tarafından “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hazırlanmış ve 10 Mart 2018 tarihinde Resmî Gazete’de yayımlanmıştır. Bu tebliğ ile, veri sorumlusu ya da yetkilendirdiği kişi tarafından; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulacak usul ve esaslar tespit edilmiştir. Buna göre:

  • Veri sorumlusu, kişisel verileri hem ilgili kişinin açık rızası ile hem de Kişisel Verilerin Korunması Kanunu kapsamında sayılan veri işleme şartlarından birinin varlığı sebebiyle işlemesi durumunda, ilgili kişiye aydınlatma yapmakla yükümlüdür.
  • Kişisel verilerin işleme amacının değişmesi durumunda, veri sorumluları, veri işleme faaliyeti gerçekleşmeden önce ilgili kişileri bu amaçla ilgili olarak aydınlatmakla yükümlüdür. Dolayısıyla, aydınlatma yükümlülüğünün veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sonrasında yerine getirilmesi veya hiç yerine getirilmemesi hukuka uygun değildir. Benzer şekilde, veri işleme amacının değişmesi durumunda, ilgili kişilere bilgilendirme yapılmazsa, aydınlatma yükümlülüğü yerine getirilmediği için veri işleme faaliyeti hukuka aykırı hâle gelecektir.
  • Kişisel veriler, veri sorumlularının farklı birimleri tarafından farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her birim tarafından ayrı ayrı yerine getirilmelidir. Dolayısıyla, veri sorumlusu tarafından kişisel verilerin işlenmesi ile ilgili genel bir bilgilendirme yapılması durumunda, aydınlatma yükümlülüğü yerine getirilmiş olmayacaktır.
  • Veri sorumlusunun, Veri Sorumları Siciline kayıt yükümlülüğü bulunması durumunda, Veri Sorumluları Siciline verilen bilgiler ile aydınlatma yükümlülüğü kapsamında ilgili kişilere verilen bilgiler uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi talebe bağlı bir yükümlülük değildir. Bu sebeple, kişisel verilerin işlenmesi ile ilgili bilgilendirme, ilgili kişi talepte bulunmadan, veri sorumlusu tarafından kendiliğinden yerine getirilecektir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı, veri sorumlusuna aittir. Kişisel verilerin işlenmesi ile ilgili bilgilendirme ilgili kişiler için bir hak, veri sorumluları için ise bir yükümlülük olarak düzenlenmiştir. Dolayısıyla, bu yükümlülüğün bir parçası olarak, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olacaktır.
  • Kişisel veri işleme faaliyetinin açık rızaya bağlı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı gerçekleştirilmelidir. Veri sorumluları, öncelikle ilgili kişilere kişisel verilerin işlenmesi ile ilgili bilgilendirmede bulunmalı, yani aydınlatma yükümlülüğünü yerine getirmeli ve daha sonrasında ilgili kişinin açık rızasını almalıdır.
  • Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte olmalı ve muğlak ifadelere yer verilmemelidir. Kişisel Verilerin Korunması Kanunu kapsamında yer verilen ilkelere uygun olarak, aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacı belirli, açık ve meşru olmalıdır. Ayrıca, kişisel verilerin aydınlatma yükümlülüğü kapsamında yer almayan amaçlarla işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • Aydınlatma yükümlülüğü yerine getirilirken; anlaşılır, açık ve sade bir dil kullanılmalı ve kişisel verileri işlenen kişiler dikkate alınarak aydınlatma yükümlülüğü yerine getirilmelidir. Örneğin, kişisel verileri işlenen kişinin on sekiz yaşından küçük ya da engelli olması durumunda, aydınlatma yükümlülüğü yerine getirilirken bu durum dikkate alınmalıdır. Duyma engelli bir kişiye, sesli olarak bilgilendirme yapılması durumunda, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmiş olmayacaktır.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesindeki hukuki sebep belirtilmelidir. Kişisel Verilerin Korunması Kanunu uyarınca, “işlenme amacı” ve “hukuki sebep” farklı kavramlardır. Kişisel verilerin işlenmesi ile ilgili hukuki sebepler, Kişisel Verilerin Korunması Kanunu kapsamında “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddede ve “Özel Nitelikli Verilerin İşlenme Şartları” başlıklı 6’ncı maddede düzenlenmiştir. Dolayısıyla, aydınlatma yükümlülüğü yerine getirilirken hukuki sebep ve işlenme amacı ayrı ayrı belirtilmelidir.
  • İlgili kişilerin kişisel verilerinin üçüncü kişilere ve yabancı ülkelere aktarılacak olması durumunda, aydınlatma yükümlülüğü kapsamında kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. Veri aktarımı, bir veri işleme faaliyeti olmakla birlikte, kişisel verilerin korunması açısından gerekli görülmesi sebebiyle, Kişisel Verilerin Korunması Kanunu kapsamında ayrıca düzenlenmiştir. Dolayısıyla, veri sorumlusu tarafından veri aktarımı yapılacaksa, aydınlatma yükümlülüğü yerine getirilirken, veri aktarımı ile ilgili ayrıca bilgi verilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin elde edilme yöntemi (tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla) ile elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer vermekten kaçınılmalıdır.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe ek olarak Kişisel Verileri Koruma Kurumu tarafından “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” hazırlanmıştır ve Kişisel Verileri Koruma Kurumunun resmî internet sitesinde yayımlanmıştır.

Aydınlatma yükümlülüğü ile ilgili olarak, kişisel verileri işlenen kişiler tarafından yapılan başvuru ve şikâyetler üzerine, Kişisel Verileri Koruma Kurulu, veri sorumluları tarafından Kişisel Verileri Koruma Kurumuna iletilen aydınlatma yükümlülüğü ile ilgili bilgi ve belgeleri incelemiş ve belirli mevzuata aykırılıkları ve eksiklikleri tespit etmiştir. Bu doğrultuda, Kişisel Verileri Koruma Kurumu tarafından, 26 Haziran 2020 tarihinde resmî internet sitesinde “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu” yayımlanmıştır. Duyuru kapsamında, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, veri sorumluları tarafından aydınlatma yükümlülüğü yerine getirilirken uyulması gereken usul ve esaslar hatırlatılmış ve ayrıca aşağıda belirtilen hususların eksiklik ve mevzuata aykırılık teşkil ettiği ifade edilmiştir:

  • Aydınlatma yükümlülüğünün kişisel verilerin elde edilmesinden önce yerine getirilmesi yerine sonradan yerine getirilmesi veya hiç yerine getirilmemesi
  • Aydınlatma kapsamında, kişisel verilerin işlenmesi ile ilgili asgari olarak yapılması gereken bilgilendirilmelerin yapılmaması
  • Aydınlatma metinlerinde kişisel veri işleme amacının işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmaması, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanılması
  • Aydınlatmanın asgari unsurlarından olan hukuki sebebe yer verilmemesi ya da işleme amacıyla aynı anlamda kullanılması
  • Aydınlatma metinlerinde anlaşılır, açık ve sade bir dil kullanılmaması ve genel nitelikte, yanlış anlaşılmaya müsait, eksik, yanıltıcı ve yanlış bilgilere yer verilmesi
  • Aydınlatma kapsamında aktarım amacına ve alıcı grubu ya da gruplarına yeterince yer verilmemesi
  • Aydınlatma yükümlülüğü yerine getirilirken “gizlilik politikası” veya “veri işleme politikası” gibi genel veri işleme belgesi niteliğindeki metinlerin aydınlatma metni olarak kullanılması
  • Aydınlatma metinlerinin ilgili kişiler tarafından kolayca erişilebilecek platformlarda yer almaması
  • Katmanlı aydınlatma yöntemi tercih edildiğinde, ilk aşamada temel bilgilerin sunulmaması, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmemesi ve aydınlatma metinleri yerine gizlilik politikası veya veri işleme gibi metinlere yönlendirme yapılması
  • Aydınlatma metni ile açık rızanın metninin aynı başlık altında ve aynı platformda sunulması
  • Aydınlatma yapıldığına dair onayın talep edilmesi ve onayın verilmemesi durumunda hizmetin sunulmaması

Kişisel verilerin veri sorumluları tarafından ilgili kişilerden elde edilmemesi durumunda, veri sorumlusunun aydınlatma yükümlülüğü devam etmektedir. Buna göre, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında ya da kişisel verilerin aktarılacak olması hâlinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilmelidir.

Veri sorumluları tarafından aydınlatma yükümlülüğü yerine getirilmediği takdirde, hem kişisel verileri işleme faaliyeti hukuka aykırı hâle gelecek hem de veri sorumluları idari para cezası ile karşı karşıya kalabilecektir. Nitekim, Kişisel Verilerin Korunması Kanunu‘nun 18’inci maddesinde “Bu Kanunun 10’uncu maddesinde öngörülen yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar … idari para cezası verilir.” hükmü yer almaktadır. Dolayısıyla, aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları 2024 yılı itibarıyla, 47.303 Türk lirasından 946.308 Türk lirasına kadar idari para cezasına çarptırılabilecektir.

Son olarak, aydınlatma yükümlülüğünün istisnalarına değinmekte fayda bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 28’inci maddesi kapsamında sayılan; örneğin, kişisel verilerin resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi ya da soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi gibi durumlarda aydınlatma yükümlülüğünün yerine getirilmesi gerekmemektedir.

1278
Share:

Benzer yazılar

Haklar ve Yükümlülükler

Veri İhlali Durumunda Yapılması Gerekenler

11 Ocak 2024
Haklar ve Yükümlülükler

Çocukların Kişisel Verilerini Nasıl Korumalıyız

9 Ocak 2024
Haklar ve Yükümlülükler

Veri İşlemiyoruz, Siliyoruz!

7 Ocak 2024
Haklar ve Yükümlülükler

Veri Aktarımı Hakkında Bilmeniz Gerekenler

6 Ocak 2024