Aydınlatma Yükümlülüğünün Faaliyet Bazlı Yerine Getirilmesi İsimli Yazısı

Aydınlatma Yükümlülüğünün Faaliyet Bazlı Yerine Getirilmesi İsimli Yazısı
Bu MüşavirlikHukuk MakaleleriAydınlatma Yükümlülüğünün Faaliyet Bazlı Yerine Getirilmesi İsimli Yazısı

Mustafa Baysal

Sayın Mustafa Baysal’ın
Aydınlatma Yükümlülüğünün Faaliyet Bazlı Yerine Getirilmesi İsimli Yazısı

 

  • Aydınlatma yükümlülüğünün faaliyet bazlı yerine getirilmesi

    Aydınlatma yükümlülüğü, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun veri sorumlularına getirdiği önemli yükümlülüklerden birisidir. Ancak aydınlatma yükümlülüğünün tek bir metinle yerine getirilmesi çoğu zaman mümkün olmaz ve süreç/faaliyet bazlı aydınlatma yapılması gerekebilir.

  • Aydınlatma yükümlülüğü nedir?

    Aydınlatma yükümlülüğü veri sorumluları için bir yükümlülük olmakla birlikte, ilgili kişiler için de bir haktır. Dolayısıyla aydınlatma yükümlülüğü yerine getirilmeden kişisel verinin işlenmesi düşünülemez.
    Aydınlatma yükümlülüğü ilgili kişinin belirli konularda bilgilendirilmesi olarak tanımlanabilir ve bir aydınlatma metninin hangi başlıkları içermesi gerektiği gerek 6698 sayılı Kanun’da gerekse Kişisel Verileri Koruma Kurumu tarafından çıkarılan çeşitli yazılı metinlerde ortaya koyulmuştur https://kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf

    Buna göre bir aydınlatma yükümlülüğün asgari olarak aşağıdaki başlıkları içermesi gerekir:


    • Veri sorumlusunun ve varsa temsilcisinin kimliği,

    • Kişisel verilerin hangi amaçla işleneceği

    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

    • Kişisel veri toplamanın yöntemi ve hukuki sebebi,


    Ayrıca aşağıda sayılan ilgili kişinin hakları da metinde yer almalıdır:


    • Kişisel veri işlenip işlenmediğini öğrenme

    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme

    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

    • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme

    • Kişisel verilerin silinmesini veya yok edilmesini isteme
      Önceki iki madde kapsamında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

  • Aydınlatma metni neden faaliyet bazlı yapılmalı?

    Bunun cevabını vermeden önce Kişisel Verileri Koruma Kurulu’nun şu kararına birlikte bakalım:
    “… Ayrıca veri sorumlusu tarafından Kuruma iletilen cevap metninde Kararda yer alan “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin herhangi bir ifadeye ve tevsik edici belgeye yer verilmediği görülmüş olup internet sayfasında yapılan incelemede kredi kartı başvurusu yapılmak istenildiğinde “HEMEN BAŞVUR” butonu seçildiğinde yönlendirilen sayfada “Kişisel Verilerin Korunması Kanunu kapsamında hazırlanan Aydınlatma Metni’ni okudum.” ifadesinin yer aldığı, aydınlatma metni linki seçildiğinde ise ekranda beliren aydınlatma metninin veri sorumlusunun anasayfasında “Kişisel Verilerin Korunması” başlığı altında yer alan aydınlatma metninden farklı olduğu görülmekle birlikte bahsi geçen aydınlatma metninin de kredi kartı başvurusuna özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni olduğu, bu aydınlatma metninde de Bankanın ana sayfasında yer alan aydınlatma metni gibi veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ayrıntılı bir şekilde yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırı olduğu,
    Ayrıca veri sorumlusunun internet sayfasında konut kredisi başvurusu yapılmak istenildiğinde ise kredi kartı başvurusunda olduğu gibi bir uygulama ile karşılaşılmayıp yönlendirilen ilk sayfada sağ üst köşede “Gizlilik” butonunun yer aldığı, bu buton seçildiği takdirde “Gizlilik Politikası” sayfasına yönlendirildiği, “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni” sekmesine girildiğinde ise Kurul Kararı ardından Kurumumuza gönderilen güncellenmiş olan ve ana web sayfasında yer alan aydınlatma metni ile karşılaşıldığı, dolayısıyla konut kredisi başvurusu için bu başvuruya özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni ile aydınlatma yapıldığı…” (08/10/2020 tarih ve 2020/766 sayılı karar).

  • Faaliyet bazlı aydınlatmanın önemi

    Bir aydınlatma metninin temel gayesi; hangi kişisel verilerin hangi amaçla ve hangi hukuki sebebe dayanarak işlendiği, kimlere aktarıldığı ve ne kadar süre ile saklanacağı gibi temel konularda ilgili kişiyi bilgilendirmektir.
    O halde; ilgili kişi hangi faaliyetle ilgili bir işlem gerçekleştirirken kişisel verisi işlenecekse, onun tam da o faaliyetle ilgili olarak bilgilendirilmesi doğru olacağı gibi yasanın ruhuna da uygun olacaktır. Çünkü amaç yalnızca maktu bir aydınlatma yapmak değil; ilgili kişiyi gerçek ve öz olarak bilgilendirmektir.
    Birden fazla aydınlatma metni olmalı
    Yukarıdaki kararda da açıkça görülmektedir ki; gerektirmesi halinde faaliyet/süreç bazlı aydınlatmaların yapılması önemlidir.
    Elbette küçük ölçekli veri sorumlularında birbirinden çok farklı süreçler olmayabilir; fakat bu durumda dahi mümkünse en azından kişi grubu bazında farklı aydınlatma metinlerinin hazırlanması gerekir.
    KVKK uyum süreci yürütülürken odaklanılması gereken ana konu, ilgili kişiyi en doğru şekilde ve kafasını karıştırmadan bilgilendirmek olmalı ve gerektiği kadar çok sayıda aydınlatma metni hazırlamaktan kaçınılmamalıdır.

  • SONUÇ

    Tek bir aydınlatma metni hazırlayarak bunu veri sorumlusunun her bir faaliyetinde kullanmak ve her kişi grubunun önüne koymak doğru bir yaklaşım olmayacaktır.
    Veri sorumlusunun büyüklüğüne göre, faaliyet ya da kişi grubu bazında aydınlatmalar yapılması hem kanunun ruhuna uygun olacak hem de ilgili kişi net bir şekilde bilgilendirilecektir.
    Diğer türlü örneğin; diş hekimi muayenehanesine gelen bir hastaya sunulan aydınlatma metninde çalışanlara, tedarikçilere ya da çalışan adaylarına ait bilgilerin olması hiçbir işe yaramayacağı gibi kişinin doğru bilgiyi almasını da güçleştirecektir.
    Kişi grubu bazlı aydınlatma metni örnekleri için Mustafa Baysal tarafından yazılan KVKK Kitabı’na göz atabilirsiniz: https://mustafabaysal.com/
    Aydınlatma metni ile ilgili teknik detaylar için ayrıca aşağıdaki bağlantıları ziyaret edebilirsiniz:
    https://kvkk.gov.tr/Icerik/5420/2018-90
    https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

by Bayrakçı Müşavirlik
Share on
Bir cevap yazın