1. Giriş

Veri sorumlusunun aydınlatma yükümlülüğü, kişisel verilerin korunması alanında en temel yükümlülüklerden biridir ve kişisel veri işleme süreçlerinin şeffaflığı açısından büyük önem taşır. Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, veri sorumlularının aydınlatma yükümlülüğü, ilgili kişilerin haklarının korunması ve kişisel verilerin hukuka uygun işlenmesinin sağlanması için zorunludur.

Veri sorumlusunun aydınlatma yükümlülüğü, KVKK’nın 10. maddesinde düzenlenmiş olup bu yükümlülüğe ilişkin detaylar, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (Tebliğ) belirtilmiştir. Bu yazıda, veri sorumlusunun aydınlatma yükümlülüğüne dair usul ve esaslar anlatılacaktır.

2. Aydınlatma Yükümlülüğü Kimler İçin Öngörülmüştür?

Aydınlatma yükümlülüğü, tüm veri sorumluları için öngörülmüş bir yükümlülüktür. Kişisel Verileri Koruma Kurulunun aldığı kararlar doğrultusunda, VERBİS’e kayıt yükümlülüğünden muaf tutulan veri sorumluları dahi aydınlatma yükümlülüğünü yerine getirmek zorundadır. Nitekim, Tebliğ’in 5. maddesinin birinci fıkrasının (a) bendinde, ilgili kişinin açık rızasına veya KVKK’daki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği açıkça belirtilmiştir. Ayrıca, VERBİS’e kayıt yükümlülüğü varsa, aydınlatma yükümlülüğü kapsamında ilgili kişiye verilecek bilgiler, VERBİS’e açıklanan bilgilerle uyumlu olmalıdır (Tebliğ m. 5/1-ç).

3. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı

Kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere aşağıdaki konularda bilgi vermek zorundadır (KVKK m. 10/1). Bu hususlar şunlardır: 

  • Veri sorumlusunun ve varsa temsilcisinin kimliği.
  • Kişisel verilerin hangi amaçla işleneceği.
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği.
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi.
  • İlgili kişinin, KVKK’nın 11. maddesinde yazılı hakları. 

Kişisel verisi işlenen gerçek kişinin, KVKK’nın 11. maddesinde yazılı hakları ise şunlardır:

  • Kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme.
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
  • KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
  • Önceki iki satır uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmiş sayılması için yukarıda belirtilen hususlar asgari gerekliliklerdir. Başka bir deyişle, bilgilendirme en az bu konuları içermelidir. (Tebliğ m. 4/1) Yukarıda belirtilen hususların tamamı hakkında bilgilendirme yapılmalıdır. Bu hususlardan biri hakkında bile bilgilendirme yapılmadığı takdirde, aydınlatma yükümlülüğü yerine getirilmiş sayılmaz. 

4. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Yerine Getirilmesi Esnasında Uyulması Gereken Usul ve Esaslar

A. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Kullanılacak Araç

Aydınlatma yükümlülüğünün yerine getirilmesi için hangi aracın kullanıldığı önemli değildir. Veri sorumlusu veya yetkilendirdiği kişi, bu yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi yöntemlerle fiziksel ya da elektronik ortamda yerine getirebilir. (Tebliğ m. 5/1) 

B. Aydınlatma Metninde Anlaşılır, Açık ve Sade Bir Dil Kullanılması, Eksik, İlgili Kişileri Yanıltıcı ve Yanlış Bilgilere Yer Verilmemesi

Veri sorumlusunun aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. (Tebliğ m. 5/1-ğ) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir. (Tebliğ m. 5/1-j)

C. Aydınlatma Yükümlülüğü İçin Talep Aranmaması, Yükümlülüğün Yerine Getirildiğinin İspatı

Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. (Tebliğ m. 5/1-d) Veri sorumlusu, ilgili kişinin talebi olsun veya olmasın, ilgili kişiyi aydınlatmak zorundadır. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. (Tebliğ m. 5/1-e) 

D. Aydınlatma Yükümlülüğü ile Açık Rızanın Alınması İşlemlerinin Ayrı Ayrı Yerine Getirilmesi

Kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gereklidir. (KVKK m. 5/1) Ancak, KVKK’da öngörülen hâllerde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. (KVKK m. 5/2) Kişisel verilerin işlenmesi için açık rıza şartının aranmadığı durumlarda da veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir. (Tebliğ m. 5/1-f) 

E. Aydınlatma Metninde Kişisel Verilerin Hangi Amaçla İşleneceğinin Belirtilmesi

Aydınlatma metninde, kişisel verilerin hangi amaçla işleneceğinin belirtilmesi zorunludur. (KVKK m. 10/1-b) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. (Tebliğ m. 5/1-g) Ayrıca, kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. (Tebliğ m. 5/1-b) 

F. Aydınlatma Metninde Kişisel Veri İşlemenin Hukuki Sebebinin Belirtilmesi

Aydınlatma metninde, kişisel veri toplamanın hukuki sebebinin belirtilmesi zorunludur. (KVKK m. 10/1-ç) Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. “Hukuki sebep”ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. (Tebliğ m. 5/1-h) 

G. Kişisel Verilerin Aktarılma Amacı ile Aktarılacak Alıcı Gruplarının Belirtilmesi

Veri sorumlusunun aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. (Tebliğ m. 5/1-ı) 

H. Kişisel Verilerin Elde Edilme Yönteminin Belirtilmesi

Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. (Tebliğ m. 5/1-i) 

5. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Hâlinde Aydınlatma Yükümlülüğü

Kişisel veriler, ilgili kişi dışında başka bir kişiden de elde edilebilir. Bu durumda da, veriler doğrudan ilgili kişiden alınmasa bile, veri sorumlusunun aydınlatma yükümlülüğü vardır. 

Kişisel verilerin ilgili kişiden elde edilmemesi hâlinde; kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması hâlinde en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir. (Tebliğ m. 6/1) 

6. Veri Sorumlusunun Aydınlatma Yükümlülüğünü Yerine Getirmemesinin Cezası

Bizimle iletişime geçebilirsiniz