1. Giriş
Veri sorumlusunun aydınlatma yükümlülüğü, kişisel verilerin korunması alanında en temel yükümlülüklerden biridir ve kişisel veri işleme süreçlerinin şeffaflığı açısından büyük önem taşır. Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, veri sorumlularının aydınlatma yükümlülüğü, ilgili kişilerin haklarının korunması ve kişisel verilerin hukuka uygun işlenmesinin sağlanması için zorunludur.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Örneğin, bir banka müşterilerinin kimlik bilgilerini, adreslerini ve finansal verilerini işleyerek, kredi değerlendirmesi ve müşteri hizmetleri sağlamak gibi amaçlarla kullanır. Aynı şekilde, bir e-ticaret şirketi müşterilerinin ad, adres ve ödeme bilgilerini sipariş sürecini yönetmek ve pazarlama yapmak için işler. Bir hastane ise hastaların sağlık bilgilerini tedavi süreçlerini yürütmek amacıyla toplar ve kullanır. Bu gibi durumlarda banka, e-ticaret şirketi ve hastane, verilerin işlenme süreçlerini kontrol ettikleri için veri sorumlusu olarak kabul edilirler.
Veri sorumlusunun aydınlatma yükümlülüğü, KVKK’nın 10. maddesinde düzenlenmiş olup bu yükümlülüğe ilişkin detaylar, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (Tebliğ) belirtilmiştir. Bu yazıda, veri sorumlusunun aydınlatma yükümlülüğüne dair usul ve esaslar anlatılacaktır.
Veri sorumlusunun VERBİS’e kayıt yükümlülüğü hakkında bilgi edinmek için internet sitemizde yer alan VERBİS Kayıt Zorunluluğu başlıklı yazımıza göz atabilirsiniz.
2. Aydınlatma Yükümlülüğü Kimler İçin Öngörülmüştür?
Aydınlatma yükümlülüğü, tüm veri sorumluları için öngörülmüş bir yükümlülüktür. Kişisel Verileri Koruma Kurulunun aldığı kararlar doğrultusunda, VERBİS’e kayıt yükümlülüğünden muaf tutulan veri sorumluları dahi aydınlatma yükümlülüğünü yerine getirmek zorundadır. Nitekim, Tebliğ’in 5. maddesinin birinci fıkrasının (a) bendinde, ilgili kişinin açık rızasına veya KVKK’daki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği açıkça belirtilmiştir. Ayrıca, VERBİS’e kayıt yükümlülüğü varsa, aydınlatma yükümlülüğü kapsamında ilgili kişiye verilecek bilgiler, VERBİS’e açıklanan bilgilerle uyumlu olmalıdır (Tebliğ m. 5/1-ç).
VERBİS’e kayıt zorunluğundan muaf tutulmuş veri sorumluları hakkında bilgi edinmek için, internet sitemizde yer alan VERBİS’e Kayıt Zorunluluğuna İstisna Getirilmiş Veri Sorumluları isimli yazımıza göz atabilirsiniz.
Örneğin, küçük ölçekli bir işletme VERBİS’e kayıt yükümlülüğünden muaf tutulmuş olsa bile, müşterilerinin kişisel verilerini toplarken aydınlatma yükümlülüğünü yerine getirmek zorundadır. Aynı şekilde, bir dernek ya da vakıf gibi sivil toplum kuruluşları da VERBİS kaydı yapmasalar bile üyelerinin verilerini işlerken bu yükümlülüğü ihmal edemez.
İlgili kişi: Kişisel verisi işlenen gerçek kişidir. Örneğin, bir bankanın müşterisi olan birey, bankanın kimlik bilgilerini ve finansal bilgilerini işlemesi durumunda ilgili kişidir. Aynı şekilde, bir hastanede tedavi gören bir hasta, sağlık bilgileri işlendiğinde ilgili kişi olarak kabul edilir. Bir e-ticaret sitesinden alışveriş yapan müşterinin adı, adresi ve sipariş bilgileri işlendiğinde de bu müşteri ilgili kişidir. Kısacası, kişisel verisi işlenen her birey, ilgili kişi olarak tanımlanır.
3. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı
Kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere aşağıdaki konularda bilgi vermek zorundadır (KVKK m. 10/1). Bu hususlar şunlardır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği.
- Kişisel verilerin hangi amaçla işleneceği.
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği.
- Kişisel veri toplamanın yöntemi ve hukuki sebebi.
- İlgili kişinin, KVKK’nın 11. maddesinde yazılı hakları.
Kişisel verisi işlenen gerçek kişinin, KVKK’nın 11. maddesinde yazılı hakları ise şunlardır:
- Kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme.
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
- KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
- Önceki iki satır uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmiş sayılması için yukarıda belirtilen hususlar asgari gerekliliklerdir. Başka bir deyişle, bilgilendirme en az bu konuları içermelidir. (Tebliğ m. 4/1) Yukarıda belirtilen hususların tamamı hakkında bilgilendirme yapılmalıdır. Bu hususlardan biri hakkında bile bilgilendirme yapılmadığı takdirde, aydınlatma yükümlülüğü yerine getirilmiş sayılmaz.
Örneğin, bir hastane, hastalarından kişisel sağlık verilerini toplarken, hastalara veri sorumlusunun kimliği, verilerin hangi amaçlarla işleneceği, bu verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel verilerin nasıl toplandığı ve hukuki sebebi gibi konularda bilgi vermelidir. Ayrıca, hastalarına KVKK’nın 11. maddesinde belirtilen haklarını da açıklamalıdır; örneğin, kişisel verilerinin işlenip işlenmediğini öğrenme, yanlış veya eksik işlenen verilerin düzeltilmesini talep etme ve verilerinin silinmesini isteme gibi. Bu bilgilerin tamamı hastaya eksiksiz sunulmazsa, hastanenin aydınlatma yükümlülüğü yerine getirilmiş sayılmaz.
4. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Yerine Getirilmesi Esnasında Uyulması Gereken Usul ve Esaslar
A. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Kullanılacak Araç
Aydınlatma yükümlülüğünün yerine getirilmesi için hangi aracın kullanıldığı önemli değildir. Veri sorumlusu veya yetkilendirdiği kişi, bu yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi yöntemlerle fiziksel ya da elektronik ortamda yerine getirebilir. (Tebliğ m. 5/1)
Örneğin, bir otel, müşterilerine check-in sırasında aydınlatma yükümlülüğünü yerine getirmek için çeşitli araçlar kullanabilir. Müşteri resepsiyona geldiğinde, aydınlatma yükümlülüğü sözlü olarak anlatılabilir, yazılı bir form sunulabilir veya dijital bir ekranda gösterilebilir. Aynı şekilde, müşteri çağrı merkezi ile iletişime geçtiğinde, ses kaydı ile bilgilendirme yapılabilir. Otelin internet sitesi üzerinden rezervasyon yapıldığında ise bu bilgilendirme elektronik ortamda, yazılı olarak sağlanabilir.
B. Aydınlatma Metninde Anlaşılır, Açık ve Sade Bir Dil Kullanılması, Eksik, İlgili Kişileri Yanıltıcı ve Yanlış Bilgilere Yer Verilmemesi
Veri sorumlusunun aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. (Tebliğ m. 5/1-ğ) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir. (Tebliğ m. 5/1-j)
Örneğin, bir e-ticaret sitesi, kullanıcılarının kişisel verilerini işlerken onları aydınlatmak için hazırladığı bildirimde, açık ve sade bir dil kullanmalıdır. Bildirimde, ‘kişisel verileriniz güvenlik ve hizmet kalitesi için işlenmektedir’ gibi belirsiz ifadeler yerine, ‘kişisel verileriniz siparişlerinizin işlenmesi, teslimatın gerçekleştirilmesi ve yasal yükümlülüklerimizin yerine getirilmesi amacıyla işlenmektedir’ gibi net açıklamalar yapılmalıdır. Ayrıca, bildirimde eksik veya yanlış bilgi verilmemelidir; örneğin, verilerin sadece şirket içinde kullanılacağı belirtilip aslında üçüncü taraflara aktarıldığı gerçeği saklanmamalıdır. Eksik, yanıltıcı veya yanlış bilgiler içeren bir aydınlatma, yükümlülüğün tam olarak yerine getirilmediği anlamına gelir ve yasal sorumluluk doğurabilir.
C. Aydınlatma Yükümlülüğü İçin Talep Aranmaması, Yükümlülüğün Yerine Getirildiğinin İspatı
Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. (Tebliğ m. 5/1-d) Veri sorumlusu, ilgili kişinin talebi olsun veya olmasın, ilgili kişiyi aydınlatmak zorundadır. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. (Tebliğ m. 5/1-e)
Örneğin, bir banka, müşterilerinin kişisel verilerini işlerken aydınlatma yükümlülüğünü yerine getirmek zorundadır. Müşteri bu bilgilendirmeyi talep etmese bile, banka kişisel verilerin nasıl işlendiğini, hangi amaçlarla kullanıldığını ve kimlerle paylaşıldığını açık bir şekilde müşteriye bildirmelidir. Ayrıca, bu bilgilendirmenin yapıldığını ispat etmek de bankanın sorumluluğundadır. Örneğin, banka, müşteriye bilgilendirme içeren bir form imzalatabilir ya da elektronik ortamda yapılan bilgilendirmelerin kaydını tutarak aydınlatma yükümlülüğünü yerine getirdiğini kanıtlayabilir.
D. Aydınlatma Yükümlülüğü ile Açık Rızanın Alınması İşlemlerinin Ayrı Ayrı Yerine Getirilmesi
Kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gereklidir. (KVKK m. 5/1) Ancak, KVKK’da öngörülen hâllerde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. (KVKK m. 5/2) Kişisel verilerin işlenmesi için açık rıza şartının aranmadığı durumlarda da veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir. (Tebliğ m. 5/1-f)
Örneğin, bir işveren, çalışanlarının kişisel verilerini iş sağlığı ve güvenliği tedbirlerini yerine getirmek amacıyla işleyebilir ve bu durumda çalışanların açık rızasını almak zorunda değildir, çünkü bu işlem KVKK’da öngörülen istisnalardan birine girmektedir. Ancak, işveren yine de bu verilerin nasıl işlendiği, hangi amaçlarla kullanıldığı ve kimlerle paylaşıldığı konusunda çalışanları aydınlatmak zorundadır. Eğer işveren, çalışanların kişisel verilerini açık rızaya dayalı olarak işleyecekse, çalışanlardan açık rıza almalı ve aynı zamanda aydınlatma yükümlülüğünü de ayrı bir işlem olarak yerine getirmelidir. Bu iki işlem birbirinden bağımsız olarak gerçekleştirilmelidir.
E. Aydınlatma Metninde Kişisel Verilerin Hangi Amaçla İşleneceğinin Belirtilmesi
Aydınlatma metninde, kişisel verilerin hangi amaçla işleneceğinin belirtilmesi zorunludur. (KVKK m. 10/1-b) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. (Tebliğ m. 5/1-g) Ayrıca, kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. (Tebliğ m. 5/1-b)
Örneğin, bir e-ticaret şirketi, müşterilerinin kişisel verilerini “müşteri memnuniyetini artırmak” gibi belirsiz bir amaçla işlediğini belirtemez; bunun yerine, “siparişlerin teslimatı ve faturalandırma işlemlerinin gerçekleştirilmesi” gibi açık ve belirli bir amaç sunmalıdır. Benzer şekilde, bir işyeri, çalışanların verilerini “iş süreçlerinin yönetimi” gibi genel ifadelerle açıklayamaz; bunun yerine “çalışan maaş ödemelerinin yapılması ve yasal yükümlülüklerin yerine getirilmesi” gibi net amaçlar belirtilmelidir.
Örneğin, bir işletme, müşteri verilerini işlerken “verileriniz ileride yapılacak analiz ve araştırmalar için kullanılabilir” gibi belirsiz ifadeler kullanmamalıdır. Bu tür ifadeler, kişisel verilerin ileride öngörülmeyen başka amaçlarla da işlenebileceği izlenimi yaratabilir. Bunun yerine, “verileriniz yalnızca sipariş işlemlerinin tamamlanması ve müşteri memnuniyet anketlerinin yapılması için işlenecektir” gibi net ve spesifik amaçlar belirtilmelidir. Benzer şekilde, bir okul, öğrenci verilerini işlerken “verileriniz eğitim hizmetleri kapsamında kullanılabilir” gibi genel bir açıklama yapmaktan kaçınmalı ve “verileriniz yalnızca akademik performans değerlendirmesi ve iletişim için kullanılacaktır” gibi belirli ifadeler kullanmalıdır.
F. Aydınlatma Metninde Kişisel Veri İşlemenin Hukuki Sebebinin Belirtilmesi
Aydınlatma metninde, kişisel veri toplamanın hukuki sebebinin belirtilmesi zorunludur. (KVKK m. 10/1-ç) Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. “Hukuki sebep”ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. (Tebliğ m. 5/1-h)
Örneğin, bir banka, müşterilerinin kişisel verilerini kredi başvurusu sırasında topluyorsa, aydınlatma metninde bu verilerin işlenmesinin hukuki sebebini açıkça belirtmelidir. Aydınlatma metninde, “Kişisel verileriniz, kredi değerlendirme süreçlerinin yürütülmesi ve sözleşmenin kurulması amacıyla işlenmektedir” ifadesine yer verilmelidir. Bu açıklama, kişisel verilerin KVKK’nın 5. maddesinin ikinci fıkrasının (c) bendindeki “sözleşmenin kurulması veya ifası için gerekli olması” işleme şartına dayanılarak işlendiğini açıkça belirtir. Bu şekilde hukuki sebebin net olarak ifade edilmesi, aydınlatma yükümlülüğünün doğru ve eksiksiz bir şekilde yerine getirilmesini sağlar.
G. Kişisel Verilerin Aktarılma Amacı ile Aktarılacak Alıcı Gruplarının Belirtilmesi
Veri sorumlusunun aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. (Tebliğ m. 5/1-ı)
Örneğin, bir sağlık kuruluşu, hastaların kişisel verilerini sigorta şirketleriyle paylaşırken, aydınlatma yükümlülüğü kapsamında hastalara bu verilerin hangi amaçla ve kimlerle paylaşıldığını açıkça belirtmelidir. Aydınlatma metninde, “Kişisel verileriniz, sağlık hizmetlerinin finansmanı ve sigorta işlemlerinin yürütülmesi amacıyla sigorta şirketleriyle paylaşılacaktır” şeklinde bir açıklama yapılmalıdır. Burada, aktarımın amacı ve verilerin kimlerle paylaşıldığı (sigorta şirketleri gibi alıcı grupları) net olarak ifade edilmelidir. Bu bilgiler, ilgili kişiyi yanıltmayacak şekilde açık ve anlaşılır bir biçimde sunulmalıdır.
H. Kişisel Verilerin Elde Edilme Yönteminin Belirtilmesi
Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. (Tebliğ m. 5/1-i)
Örneğin, bir banka, müşterilerinin kişisel verilerini toplarken bu verilerin nasıl elde edildiğini aydınlatma metninde net bir şekilde belirtmelidir. Aydınlatma metninde, ‘Kişisel verileriniz, internet sitemiz, mobil uygulamamız veya şubelerimizdeki başvurularınız sırasında tamamen otomatik yöntemlerle veya doğrudan yazılı belgeler aracılığıyla manuel olarak toplanmaktadır’ ifadesine yer verilmelidir. Bu açıklama, verilerin tamamen veya kısmen otomatik yollarla mı yoksa manuel yöntemlerle mi toplandığını açıkça ifade ederek ilgili kişiyi bilgilendirir ve Tebliğ’in gerekliliklerine uygun bir bilgilendirme yapılmasını sağlar.
5. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Hâlinde Aydınlatma Yükümlülüğü
Kişisel veriler, ilgili kişi dışında başka bir kişiden de elde edilebilir. Bu durumda da, veriler doğrudan ilgili kişiden alınmasa bile, veri sorumlusunun aydınlatma yükümlülüğü vardır.
Kişisel verilerin ilgili kişiden elde edilmemesi hâlinde; kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması hâlinde en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir. (Tebliğ m. 6/1)
Örneğin, bir sigorta şirketi, müşteri hakkında sağlık bilgilerini doğrudan müşteriden değil de bir sağlık kuruluşundan elde ettiğinde, bu verilerin toplanmasından sonra makul bir süre içinde müşteriyi bilgilendirmelidir. Eğer bu bilgiler, müşteriyle iletişim kurmak için kullanılacaksa, ilk iletişim sırasında aydınlatma yapılmalıdır. Benzer şekilde, eğer bu sağlık bilgileri başka bir kuruma aktarılacaksa, ilk aktarım yapılmadan önce müşteriye bilgilendirme yapılması gerekmektedir.
6. Veri Sorumlusunun Aydınlatma Yükümlülüğünü Yerine Getirmemesinin Cezası
KVKK’nın 18. maddesinin birinci fıkrasında, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi kabahat olarak düzenlenmiştir. Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlaları hakkında 2025 yılı için 68.083,00 Türk lirasından 1.362.021,00 Türk lirasına kadar idari para cezası öngörülmüştür.
Bizimle iletişime geçebilirsiniz
Büromuz tarafından sunulan kişisel verilerin korunması hukuku alanındaki hizmetlerden yararlanmak veya bu hizmetler hakkında detaylı bilgi almak isterseniz, bizimle e-posta veya telefon yoluyla iletişime geçebilir ya da iletişim bölümünde yer alan formu doldurabilirsiniz.
