Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında faaliyetleri sebebiyle kişisel veri işleyen kimseler “veri sorumlusu” olarak adlandırılmaktadır. KVKK veri sorumluları için “VERBİS’e kayıt olmak”, “Kişisel Verilerin Korunması Kurulu kararlarına uymak”, “Veri güvenliğini sağlamak” ve “Aydınlatma yükümlülüğü” şeklinde yükümlülükler öngörmüştür. Bu yazımızda, veri sorumluları açısından hukuka uygun veri işlemenin olmazsa olmaz bir şart olan Aydınlatma Yükümlülüğü’nün nasıl yerine getirileceği ele alınacaktır.
Aydınlatma Yükümlülüğü esas olarak KVKK’nın 10.maddesinde düzenlenmekle birlikte, ilgili maddenin uygulama detaylarını gösteren “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” de önemli bir kaynaktır. Diğer taraftan 26 Haziran 2020 tarihinde Kurul tarafından yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu” da veri sorumluları açısından yol göstericidir. Bu Kamuoyu Duyurusu’nda Kurul, veri sorumlularının Aydıntlatma Yükümlülüğü’nü yerine getirirken, Kanun ve Tebliğ’in yanı sıra Kurum internet sayfasında yayınlanan Kurul kararlarını ve Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’ni de esas almaları belirtilmiştir.
Bu doğrultuda, KVKK’nın 10.maddesinde Aydıntlatma Yükümlülüğü’nün “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” hususlarında ilgili kişilere bilgi verilmesiyle yerine getirileceğini düzenlemiştir. Bu madde her ne kadar ele alınış biçimi bakımından basit görünse de Tebliğ ile birçok usul ve esas belirlenmiştir. Bu usul ve esasların kolay kavranması adına başlıklar halinde ele alınmasında yarar bulunmaktadır.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı
Tebliğ uyarınca Aydınlatma Yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılarak alınabilir. Bu noktada herhangi bir şekil şartı bulunmuyormuş gibi gözükse de Aydınlatma Yükümlülüğü’nün yerine getirildiğinin ispatı veri sorumlusu üzerinde olduğundan, en güvenli yolun ilgili kişinin imzasını taşıyan yazılı şekil olduğu açıkça ortadadır. Ancak bunun mümkün olmadığı iş hacmi geniş olan şirketler açısından ilgili kişinin rızası dahilinde ses kaydı alınarak aydınlatma metninin açıkça anlaşıldığı beyanının alınması yöntemi yararlı olacaktır. Herhangi bir şekil şartı öngörülmediğinden aydınlatma metninin e-posta ile ilgili kişiye iletilmesi suretiyle aydınlatma metninin açıkça anlaşıldığı yönündeki bir teyit e-postası gönderilmesinin talep edilmesi de ispat açısından yararlı olabilecektir.
Altı çizilmelidir ki, Aydınlatma Yükümlülüğü hangi şekilde yerine getirilirse getirilsin, anlaşılır, açık ve sade bir dil kullanılması gerekmektedir. Buna ek olarak, eksik, yanıltıcı ve yanlış bilgelere yer verilmemeli; belirsizlik yaratan ucu açık ifadelerden kaçınılmalıdır. Bu kapsamda, aydınlatma metnine erişimin kolay olmaması, hizmetin sunulmasının aydınlatma metninin onaylanması şartına bağlanması veya aydınlatma metni ile birlikte açık rızanın alınması Kurul tarafından ihlal olarak nitelendirilmektedir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulması Gereken Esaslar
Aydınlatma Yükümlülüğü’nün mevzuata uygun bir şekilde yerine getirilmesi için yukarıda sayılan beş başlık altında bilgi verilmesi gerekmektedir. Bu başlıklar kapsamında nasıl bilgi verilmesi gerektiği aşağıda ele alınacaktır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği:
Veri sorumlusunun ve varsa temsilcisinin kimliğinin eksiksiz bir şekilde verilmiş olması önem arz etmektedir. Zira, kişisel verilerin hangi hukuki sebeplerle ve amaçlarla işlenebileceği veri sorumlusunun konumuna göre şekillenecektir. Ayrıca, ilgili kişi veri sorumlusuna karşı KVKK’dan kaynaklanan haklarını kullanmak istediğinde yapacağı ilk başvuru veri sorumlusuna olacağından bu bilgilerin tam olarak sunulmuş olması mevzuata uygunluk bakımından önemlidir.
- Kişisel verilerin hangi amaçla işlenebileceği:
Kişisel verilerin hangi amaçla işlenebileceği veri sorumlusuna bırakılmış durumdadır. Ancak Tebliğ’de bu hususa ilişkin şartlar belirtilmiş durumdadır. Buna göre, amaç belirli, açık ve meşru olmalıdır. Genel nitelikli ve muğlak ifadelerden kaçınılmalı, kişisel verilerin ileride ortaya çıkabilecek amaçlar için işlenebileceği şeklinde ucu açık ifadelere yer verilmemelidir. Anlaşıldığı üzere, veri sorumluları tarafından amaçların tek tek gösterilmesi ve gerçek olması gerekmektedir. Unutulmamalıdır ki, veri sorumlusu tarafından belirlenecek her bir amacın KVKK kapsamında düzenlenmiş bir hukuki sebebe dayanması şarttır. Aksi takdirde, Aydınlatma Yükümlülüğü’nün hukuka uygun bir şekilde yerine getirilmesi mümkün olmayacaktır.
- Kişisel veri toplamanın hukuki sebebi:
Tebliğ’e göre “hukuki sebep” ile ifade edilmek istenilen husus, kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Hukuki sebebin de açık ve belirli bir şekilde ortaya konulması gerekmektedir. Kurul’un Kamuoyu Duyurusu’nda belirttiği üzere amaç ve hukuki sebep kavramları birbirinin yerine kullanılmakla beraber veri sorumluları hukuki sebepleri göstermekle yetinmektedir. Bu uygulama KVKK’ya aykırıdır; zira, hukuki sebebin gösterilmesinden kasıt bunun işlenecek kişisel veri ile bağdaştırılmasıdır. Bu sebeple veri sorumlularının hangi verileri, hangi amaçla ve hangi hukuki sebebe dayanarak işleyeceğini bilmesi oldukça önemlidir. Bütün bu hususların tek tek belirtilmesinin Aydınlatma Yükümlülüğü’nün hukuka uygun bir şekilde yerine getirilmesinde önemli olduğu Kurul kaynaklarından anlaşılmaktadır.
- Kişisel veri toplamanın yöntemi:
KVKK bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Tebliğ uyarınca da kişisel verilerin bu yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. Bu noktada önemli olan husus kişisel verilerin elde edilmesinde kullanılacak yöntemlerin hepsini yazmak değildir. Veri sorumluları hangi yöntemle kişisel veri elde ediyorsa yalnızca bunu aydınlatma metninde ortaya koymalıdır. Zira, kullanılmayan yöntemlerin yazılması aydınlatma metninin muğlak olmasına yol açacak ve bu şekilde hukuka aykırılık söz konusu olacaktır.
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği:
Kişisel verilerin elde edilmesinde olduğu gibi aktarılma konusunda da amaç ve hukuki sebebin gösterilmesi gerekmektedir. Bu nedenle amaç ve hukuki sebebe ilişkin yukarıda değinilen noktalar bu altbaşlık için de geçerlidir. Ancak burada farklı olarak işlenen kişisel verilerin kimlere aktarıldığı belirtilmelidir. Bu doğrultuda, KVKK’nın genel mantığı çerçevesinde kişisel verilerin kimlere aktarıldığı da tek tek ve açık bir şekilde ortaya konulmalıdır. Yukarıda ele aldığımız üzere, kişisel verilerin aktarıldığı kişilerinin ucunun açık bırakılması hukuka aykırılık doğmasına neden olacaktır.
- 11.maddede sayılan haklar:
11.maddede sayılan haklar “a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme” şeklindedir.
Bu haklara aydınlatma metninde yer verilmesi yeterli değildir. Kurul kaynakları uyarınca ilgili kişinin veri sorumlusuna nasıl başvurabileceği açık bir şekilde belirtilmelidir. Şöyle ki, başvurunun hangi adrese ve nasıl yapılacağı, kaç gün içinde sonuçlandırılacağı, hangi durumda ücret talep edilebileceği hususlarının yazılması gerekmektedir.
Sonuç
Aydınlatma Yükümlülüğü veri sorumluları açısından hukuka uygun veri işlenmesinde olmazsa olmaz bir yükümlülük iken, verisi işlenen gerçek kişiler bakımından ise bir haktır. Bu kapsamda, işlenen her bir kişisel veri için Aydınlatma Yükümlülüğü’nün yerine getirilmesi esastır. Kurul da bu yükümlülüğü fazlasıyla önemsediğini yukarıda bahsedilen kaynaklar kapsamında göstermiş durumdadır. Bu sebeple veri sorumlularının Aydınlatma Yükümlülüklerini hukuka uygun bir şekilde yerine getirmesinde işbu yazımızda ele aldığımız şekil şartlarına ve esaslara uymaları büyük önem arz etmektedir.