Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi

1.GİRİŞ

Günümüzde birçok şirket, kamu kurum ve kuruluşu, yabancı kuruluş veya gerçek kişi kendi faaliyetleri kapsamında çok sayıda kişisel veri elde etmekte, kullanmakta ve daha iyi hizmet sunmak veya ticaret hacmini artırmak üzere daha fazla kişisel veriye ulaşmayı ve üçüncü kişilerle paylaşmayı hedeflemektedir. Daha fazla kişisel veri işlemeye yönelmek; işlenen kişisel verilerin sağladığı kolaylık ve avantajlar nedeniyle ekonomik katkı sağlamakla birlikte veri güvenliğine dair çeşitli risk ve ihlal ihtimallerini de gündeme getirmektedir.

Bu riskler ve ihlal ihtimalleri nedeniyle kişisel verilerin korunmasına yönelik hukuki bir altyapının oluşturulmasına ihtiyaç duyulmuş ve öncelikle Türkiye Cumhuriyeti Anayasasında 2010 yılında yapılan değişiklikle, kişisel verilerin korunması hakkı Anayasal güvenceye kavuşturulmuştur. Anayasada yapılan değişiklikle, kişisel verilerin korunmasının usul ve esaslarının Kanunla düzenlenmesi gerektiği hükme bağlanmıştır. Bu hükme istinaden TBMM tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kabul edilmiş ve 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kanun, temel hak ve hürriyetlerin korunması ve kişisel veri işlenmesi konusunda gerçek ve tüzel kişilerin uyacakları usul ve esasları belirlemiştir. Ancak genel olarak değerlendirildiğinde Kanun, kişisel verilerin işlenmesini sınırlamamakta, kişisel veri işlenmesini belli kurallara bağlayarak disiplin altına almaktadır.

Kanunun veri sorumlularına ilişkin getirdiği en önemli yükümlülüklerden biri de aydınlatma yükümlülüğüdür. Bu yükümlülük, ilgili kişilerin kişisel verileri üzerinde kontrol ve denetim yetkisinin sahip olduğunun en önemli göstergesidir. Kişisel veriler üzerinde denetim yetkisine sahip olan ilgili kişiler, kişisel verilerinin geleceğini de belirleyebileceklerdir.

Kanunun 10. maddesi ile getirilen aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte aynı zamanda kişisel verisi işlenen gerçek kişiler için de bir haktır. Söz konusu yükümlülük esasen, işlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmekte olup, kişisel veri işlemenin hukuka uygun şekilde yerine getirilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ġlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür.

Aydınlatma yükümlülüğünün yerine getirilmemesi durumlarında Kanunun 18.maddesinde düzenlenen yaptırım uygulanır.

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Hukuka uygun şekilde aydınlatma yükümlülüğünün yerine getirilmesi; veri sorumluları ile ilgili kişiler arasındaki güven ilişkisinin tesisi, şeffaflık ve hesap verebilirlik ilkeleri açısından önem arz etmektedir.

1.1 Amaç ve Dayanak

Kanunun 10. maddesine göre kişisel verilerin elde edildiği sırada, veri sorumlusu ya da yetkilendirdiği kişilerce, ilgili kişilere aydınlatma yapılması gerekmektedir.

Bu hüküm ve Kanunun 22. maddesinin birinci fıkrasının (e) bendi uyarınca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) hazırlanmış olup anılan tebliğ 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanmıştır.

Bu Tebliğe dayanarak söz konusu yükümlülüğün nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından Kurul tarafından “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” (“Rehber”) hazırlanmış ve kamuoyunun bilgi ve istifadesine sunulmuştur.

1.2 İçerik

Rehberin;

Birinci bölümü giriş bölümü olup bu bölümde rehber hazırlanmasının amacına, dayanağına, içeriğine ve tanımlara yer verilmiştir.

İkinci bölümünde veri sorumlusu ya da yetkilendirdiği kişilerce ilgili kişilere yapılacak aydınlatmanın kapsamına yer verilmiştir.

Üçüncü bölümde, aydınlatma yükümlülüğü yerine getirilirken uyulması gereken usul ve esaslar belirtilmiştir.

Dördüncü bölümde, açık rıza ve aydınlatma ilişkisine değinilmiştir.

Beşinci bölümde, aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili aşamalardan bahsedilmiştir.

Altıncı bölümde aydınlatma yükümlülüğü kapsamında, uygun olan ve olmayan uygulama örnekleri paylaşılmıştır.

1.3 Tanımlar

a)        Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

b)        Ġlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

c)         Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Katmanlı aydınlatma: Kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel verilerinin elde edildiği konusunda ön bilgilendirme yapılarak, ilgili kişinin Kanunun 10. maddesine uygun aydınlatmaya yönlendirilmesini,

d)        Kurul: Kişisel Verileri Koruma Kurulunu,

e)        Kurum: Kişisel Verileri Koruma Kurumunu,

f)         Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

g)        Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ğ) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

h)        Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,

ifade eder.

Bu Rehberde yer almayan tanımlar için Kanun ve Tebliğdeki tanımlar geçerli olacaktır.

2. AYDINLATMA YÜKÜMLÜLÜĞÜNÜN KAPSAMI

Aydınlatma yükümlülüğü, faaliyetleri kapsamında kişisel veri işlemekte olan gerçek ve tüzel kişi veri sorumluları için getirilmiş bir yükümlülüktür. Bu nedenle aydınlatma yükümlülüğü, veri sorumlularını kapsamaktadır.

Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ġlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür.

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.

Aydınlatma yükümlülüğü yerine getirilirken Kanunun 4. maddesindeki genel ilkeler göz önünde bulundurulmalıdır.

3.UYULMASI GEREKEN USUL ve ESASLAR

3.1. Kişisel Verilerin İlgili Kişilerden Elde Edilmesi Halinde Aydınlatma

Kanuna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Aydınlatma yükümlülüğüne ilişkin hükümlerin yer aldığı Kanunun 10. maddesine göre ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken veri sorumlusu veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki şartları içermesi gerekmektedir:

3.1.1. Veri sorumlusunun ve varsa temsilcisinin kimliği

Veri sorumlusu ve varsa temsilcisi, aydınlatma sırasında kimliğini ortaya koyan bilgileri ve kendisiyle farklı yöntemlerle kolaylıkla iletişime geçilebilecek iletişim bilgilerini açıklamalıdır.

Örneğin; veri sorumlusu tüzel kişi ise tüzel kişinin unvanı, gerçek kişi ise gerçek kişinin adı soyadı, yurtdışında yerleşik veri sorumlusu ise, atadığı veri sorumlusu temsilcisinin adı / unvanı gibi kimlik bilgileri ile telefon numarası, e-posta adresi, internet adresi veya posta adresi gibi iletişim bilgileri belirtilmelidir.

3.1.2 Kişisel verilerin hangi amaçla işleneceği

Tebliğin 5. maddesi birinci fıkrasına göre; aydınlatma yükümlülüğü yerine getirilirken işleme amacının belirli, açık ve meşru olması gerekir. Ayrıca bilgilendirmede; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır.

Örneğin bir çalışana ait kişisel verilerin bir şirketin insan kaynakları sürecinin planlanması için işleneceği ya da bir sempozyum katılımcısının kişisel verilerinin katılımcıya geri dönüş yapılabilmesi gibi amaçlarla işlenebileceği açıkça belirtilmelidir. “Kişisel verilerinizi yeni hizmetler geliştirmek için kullanabiliriz” ya da “Kişisel verilerinizi araştırma amaçlı olarak kullanabiliriz” şeklinde muğlak ifadelerden kaçınılmalıdır.

3.1.3 Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

Tebliğin 5. maddesine göre, veri sorumlusunca aydınlatma yükümlülüğü yerine getirilirken kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da açıkça belirtilmelidir.

Kişisel verilerin yurt içinde ve yurt dışına aktarımı hususları Kanunun 8 ve 9. maddelerinde düzenlenmiştir. Buna göre veri sorumluları, işlemekte oldukları kişisel verilerin yurtiçinde ve yurtdışına aktarımı durumunda bu hükümlere uygun hareket etmek zorundadır.

Söz konusu alıcı gruplarına iş ortağı, tedarikçi, iştirakler, hissedarlar, kanunen

yetkili kamu kurum ve kuruluşları, kanunen yetkili özel hukuk kişileri, topluluk şirketleri vb.

örnek olarak verilebilir.

3.1.4 Kişisel veri toplamanın yöntemi ve hukuki sebebi

Tebliğin 5. maddesine göre; Kanunun 5 ve 6. maddelerinde sayılan kişisel veri işleme şartlarından hangisine dayanılarak kişisel verinin işlendiğinin açıkça belirtilmesi gerekir.

Yine bu maddeye göre; kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde belirtilmesi de gerekmektedir.

Örneğin, “bu kişisel veriler, kanunlarda açıkça öngörülmesi hukuki sebebine dayanarak, elektronik ortamda başvuru formu doldurulması suretiyle işlenmektedir.” şeklinde bilgilendirmede bulunulabilir.

Veri toplama yöntemlerine örnek olarak; bir form doldurulması, telefon görüşmesi, web sitesi, veri entegrasyonu yoluyla ya da kamera çekimi vasıtasıyla kişisel veri elde edilmesi verilebilir.

Veri sorumlusu, veri toplama yöntemi ve aracına kendisi karar verecektir.

3.1.5 İlgili kişinin, Kanunun 11. maddesinde sayılan diğer hakları

Veri sorumlusu ve varsa temsilcisi ilgili kişiye aydınlatmada bulunurken Kanunun 11. maddesinde sayılan haklara da sahip olduğunu belirtmelidir. Bu bilgi, bir formda sayma suretiyle verilebileceği gibi yine aynı formda söz konusu Kanun maddesine atıfta bulunarak da verilebilir.

Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenebilir, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilir, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı kişileri öğrenebilir, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilir. Ayrıca Kanunun 7. maddesi çerçevesinde kişisel verilerinin silinmesi ya da yok edilmesini isteyebilir, eksik veya yanlış işleme düzeltilmişse ya da silme, yok etme veya anonim hale getirme işlemleri yapılmışsa bu durumun, verinin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir ya da kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararının giderilmesini isteyebilir.

3.2. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Halinde Aydınlatma

Kişisel verilerin Kanuna uygun bir şekilde işlenebilmesi için öncelikle kişisel verilerin ilgili kişiden elde edilmesi gerekmektedir. Ancak, Tebliğin 6. maddesi, kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğünün nasıl yerine getirileceğini düzenlemiştir.

Buna göre; fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle kişisel veriler doğrudan ilgili kişiden elde edilemiyorsa;

–          Kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde,

–          Kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

–          Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada,

ilgili kişiye aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

3.3. Aydınlatma Yükümlülüğünün Yerine Getirilmediği Haller

Kanunun 10. maddesi, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere bilgilendirmede bulunması gerektiği hükmünü getirmiştir. Bu nedenle, kural olarak kişisel veri işlemekte olan veri sorumlularının aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.

Bununla birlikte, Kanunun “Ġstisnalar” başlıklı 28. maddesinde belirtilen faaliyetler kapsamında kişisel veri işlenmesi durumunda aydınlatma yükümlülüğünün yerine getirilmesi zorunlu değildir. Bunlar, aydınlatma yükümlülüğüne getirilen istisnalar olarak da değerlendirilebilir.

3.3.1. Kanunun 28. maddesi birinci fıkrası;

Bu Kanun hükümlerinin uygulanmayacağı hâller Kanunun 28. maddesinin birinci fıkrasında düzenlenmiştir. Dolayısıyla bu fıkrada sayılan faaliyetler kapsamında işlenmekte olan kişisel veriler için Kanun hükümleri uygulanmayacaktır. Bu durumda aydınlatma yükümlülüğünden de bahsetmek mümkün olmayacaktır.

Örneğin resmi istatistik kapsamında veya anonim hâle getirmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlemekte olan bir veri sorumlusunun, sadece bu verilere özgü olmak kaydıyla herhangi bir aydınlatma yapması gerekmemekle birlikte diğer faaliyetleri (örneğin insan kaynakları, muhasebe, bilgi işlem, halkla ilişkiler, destek hizmetleri gibi) kapsamında işlediği kişisel veriler bakımından ilgili kişileri aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.

3.3.2 Kanunun 28. maddesi ikinci fıkrası;

Kanunun bazı hükümlerinin uygulanamayacağı faaliyetler Kanunun 28. maddesi ikinci fıkrasında düzenlenmiştir. Bu maddeye göre, ilgili fıkrada sayılan faaliyetler kapsamında işlenmekte olan kişisel veriler için Kanunun 10. maddesi uygulanmayacaktır. Örneğin emniyet birimleri tarafından suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması işleme şartına dayalı olarak yapılan takip kapsamında, trafik veya MOBESE kayıtlarının işlenmesi halinde ilgili kişilere aydınlatma yapılması zorunlu değildir.

4. AÇIK RIZA ve AYDINLATMA YÜKÜMLÜLÜĞÜ İLİŞKİSİ

Kanunun 3. maddesinde unsurları belirtilen açık rıza, bir kişisel veri işleme şartıdır. Açık rıza; kişinin sahip olduğu verinin işlenmesine kendi isteği ile ya da karşı taraftan gelen talep üzerine onay vermesi anlamına gelmektedir. Kişi açık rıza beyanı ile; kendi kişisel verisinin işlenmesine ilişkin kararını veri sorumlusuna bildirmiş olmaktadır. Bu sebeple, işleme şartlarından biri olan açık rızaya dayalı olarak kişisel veri işlenmesi durumunda (kişisel veri işlemeye başlamadan önce) aydınlatma yükümlülüğü de yerine getirilmelidir.

Bununla birlikte, Tebliğin 5. maddesi gereği, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olması durumunda, veri sorumlusunun aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

5. AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ

5.1. Aydınlatma Yükümlülüğünün Hangi Yöntemle Yerine Getirileceğinin Tespiti

Tebliğin 5. maddesine göre veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebilmektedir. Veri sorumlusu veya yetkilendirdiği kişi, bu yöntemlerden hangisini kullanacağına kendisi karar vermelidir.

Bu yöntemlere örnek olarak; veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma gibi), yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi), ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere çıkması, mobil uygulamalar gibi) kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi verilebilir.

Ayrıca, görme engellilerin söz konusu aydınlatmaya erişebilmesi için ilgili mevzuatta (5378 sayılı Engelliler Hakkında Kanun, Erişilebilirlik Ġzleme ve Denetleme Yönetmeliği vb.) öngörülen uygulamaların yapılması önem arz etmektedir.

Bu şekilde ilgili kişilerin okudukları, gördükleri ya da duyduklarında anlayabilecekleri kadar açık, sade, anlaşılabilir ve tereddüde yer bırakmayacak aydınlatmalar yapılabilmesi mümkün olacaktır.

5.2. Aydınlatma Yükümlülüğü Sürecini Yürütecek Kişi / Kişilerin Görevlendirilmesi

Aydınlatma yükümlülüğü, bizzat veri sorumlusu veya yetkilendireceği kişi / kişiler tarafından yerine getirilmelidir. Yetkilendirilecek kişi / kişilerin Kanun ve Tebliğ hakkında detaylı ve güncel bilgiye sahip olup olmadığının göz önünde bulundurulması gerekmektedir.

5.3. Kişisel Veri İşleme Envanteri Hazırlanması

Kişisel veri işlemekte olan veri sorumlularının hangi tür iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetleri için kişisel veri işlediğini ortaya koyması gerekir.

Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesinin birinci fıkrasının (h) bendinde kişisel veri işleme envanteri tanımlanmış, 5. maddesinin birinci fıkrasının (d) bendinde ise aydınlatma yükümlülüğü yerine getirilirken kişisel veri işleme envanterinde yer alan bilgilerin esas alınması gerektiği belirtilmiştir.

Kişisel veri işleme envanterinin hazırlanması, aydınlatma yükümlülüğünü yerine getirme noktasında veri sorumluları açısından önemli bir kolaylık sağlayacaktır.

Bununla birlikte, kişisel veri işleme envanteri hazırlama yükümlülüğü sadece Sicile kayıtla yükümlü olan veri sorumluları için geçerlidir. Ancak aydınlatma yükümlülüğünün Kanuna uygun bir şekilde yerine getirilmesi için Sicile kayıtla yükümlü olmasa dahi tüm veri sorumlularınca kişisel veri işleme envanteri hazırlanması önerilmektedir.

Son tahlilde veri sorumlusunun kişisel veri işleme envanteri hazırlama yükümlülüğünden bağımsız olarak aydınlatma yükümlülüğü devam etmektedir.

5.4. Aydınlatma Metni Hazırlanması Aşamaları

Aydınlatma yükümlülüğü hangi yöntemlerle yerine getirilirse getirilsin, öncelikle bunun yazılı doküman şeklinde hazırlanması faydalıdır.

Hazırlanacak aydınlatma metinlerinde açık, anlaşılabilir ve sade bir dil kullanılması gerekir. Aydınlatma metinlerinin anlaşılmasının zor olmaması ve tamamen teknik bilgi ve terminolojiye boğulmaması gerekir.

Ayrıca, mümkünse ilgili kişilerden alınan geri dönüşler üzerinden aydınlatma metninin tekrar değerlendirilmesi, değişen koşullar uyarınca güncellenmesi ve varsa hata ve eksiklerin giderilmesi önem arz etmektedir.

Aydınlatma metni hazırlama sürecinde aşağıdaki adımlar takip edilebilir:

1)        Veri sorumlusunun öncelikle, hangi tür verileri işlediğini iyi tespit etmesi gerekmektedir.

2)        Kanunun 4. maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.

3)        Yurt içi ve yurt dışına aktarım yapılacaksa, aktarımın amacının aydınlatma metninde belirtilmesi gerekmektedir. Ayrıca bu aktarımın yapılacağı gerçek veya tüzel kişilerin kimler olacağı da belirtilmelidir.

4)        Veri sorumlularının, Kanunun 5. veya 6. maddelerinde yer alan işleme şartlarından hangisine dayanarak kişisel veri topladıklarını tespit etmesi ve bunun aydınlatma metninde belirtilmesi gerekmektedir. Bunun dışında kişisel veri toplama yöntemi de mutlak surette tespit edilmelidir.

5)        Veri sorumlusunun ilgili kişiye, Kanunun 11. maddesinde belirtilen haklarını uygun bir şekilde belirtmesi gerekmektedir.

Ayrıca, aydınlatma yükümlülüğü yerine getirilirken aşağıdaki tablonun da dikkate alınmasında fayda bulunmaktadır:

TABLO 1

Aydınlatma Yapılırken Verilmesi Gereken Bilgiler Kişisel Verilerin Doğrudan İlgili Kişiden Elde Edilmesi Halinde Kişisel Verilerin ilgili Kişiden Elde Edilmemesi Halinde
Veri sorumlusunun   ve varsa temsilcisinin kimliği
Kişisel verilerin hangi amaçla işleneceği
Kişisel verilerin kimlere ve hangi amaçla aktarılacağı
Kişisel veri  toplamanın yöntemi ve hukuki sebebi
İlgili kişinin Kanunun 11.maddesinde sayıların hakları

Aydınlatmanın ne zaman yapılacağına karar verilirken aşağıdaki tablonun dikkate alınmasında fayda bulunmaktadır:

TABLO – 2:

Kişisel Verilerin Doğrudan ilgili  Kişiden  Elde Edilmesi Halinde Kişisel verilerin ilgili kişiden elde edilmesi sırasında
Kişisel Verilerin Doğrudan İlgili Kişiden Elde Edilmemesi Halinde Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde
  Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında
  Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

6. AYDINLATMA METNİ ÖRNEKLERİ

6.1. Aydınlatma Yükümlülüğüne Uygun Örnekler

Örnek 1. Aydınlatma Metni

İçerik Açıklama
KVKK Alo 198 Hattı Çağrı Merkezi
Kişisel Verileri Koruma Kurumu; bilgi danışma hattını arayanların paylaşmış olduğu ad-soyad, iletişim bilgisi ve ses kaydına ait kişisel verilerini;  
Kanun ve Tebliğdeki “Veri sorumlusunun kimliği” ile hangi kişisel veriler olduğu  
a) Arayan kişiye doğru hitap edilebilmesi,
b) Aramanın teyidi ve arama sayısının istatistiksel amaçla tespiti,
c) Kurumumuzun bilgi danışma hizmeti temin sürecinin yürütülmesi,
ç) Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla sınırlı olarak işlemektedir.  
Kanun ve Tebliğde yer alan “Kişisel verilerin hangi amaçla işleneceği” bilgisi  
Bu kişisel veriler üçüncü kişilerle paylaşılmamaktadır.   Kanun ve Tebliğde yer alan “Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği” bilgisi  
Bu kişisel veriler, Kanunun 5. maddesinde belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması” hukuki sebebine dayalı olarak telefon yoluyla otomatik olarak işlenmektedir.   Kanun ve Tebliğde yer alan “kişisel veri toplamanın yöntemi ve hukuki sebebi” bilgisi  
Kanunun “ilgili kişinin haklarını düzenleyen” 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre Kişisel Verileri Koruma Kurumunun Nasuh Akar Mahallesi 1407 sokak No: 4 Çankaya / Ankara adresine yazılı olarak iletebilirsiniz.   Kanun ve Tebliğde yer alan “ilgili kişinin Kanunun 11. maddesinde sayılan diğer hakları” bilgisi  

Örnek 2. Katmanlı Aydınlatma Metni

İçerik Açıklama
KVKK KİŞİSEL VERİLERİ KORUMA KURUMU   Veri sorumlusunun kimliği  
BİNAMIZ İÇERİSİNDE, GÜVENLİĞİN SAĞLANMASI AMACIYLA, 7 GÜN 24 SAAT KAMERA SİSTEMLERİ İLE İZLEME YAPILMAKTA VE KAYIT ALTINA ALINMAKTADIR.   Aydınlatma ön bilgisi  
Detaylı Bilgi İçin www.kvkk.gov.tr/….   Detaylı aydınlatma metnine eriĢim sağlamak için kullanılmaktadır.  

Örnek 3. Aydınlatma Metni

İçerik Açıklama
………….. ……….. Hizmet Binası İçerisinde Yer Alan Güvenlik Kameraları Hakkında Aydınlatma Metni
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla …………………….. ………….. tarafından hazırlanmıştır.   Kanun ve Tebliğde yer alan “Veri sorumlusunun kimliği” bilgisi
Hizmet binamız içerisindeki giriş kapıları, bina dış cephesi, yemekhane, kafeterya, ziyaretçi bekleme salonu, otopark, güvenlik kulübesi ve kat koridorları hizmet alanında bulunan toplam … adet güvenlik kamerası vasıtasıyla ve bina güvenliğinin sağlanması amacıyla görüntü kaydı yapılmakta ve kayıt işlemi ………. ………….. birimi tarafından denetlenmektedir.   Kanun ve Tebliğde yer alan “Kişisel verilerin hangi amaçla işleneceği” bilgisi  
Söz konusu kişisel veri, Kanunun 5. maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanarak otomatik yolla işlenmektedir.   Kanun ve Tebliğde yer alan “kişisel veri toplamanın yöntemi ve hukuki sebebi” bilgisi  
Söz konusu kişisel veriler hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuatı gereği talep halinde adli makamlar veya ilgili kolluk kuvvetlerine aktarılabilecektir.   Kanun ve Tebliğde yer alan “Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği” bilgisi  
Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre ……….. ……….. nin ……… Mahallesi, …… Caddesi ….. Sokak No: …… ………. / ……… adresine yazılı olarak veya üyeliğinizin teyit edildiği elektronik posta üzerinden ……….. com.tr e-posta adresine iletebilirsiniz.   Kanun ve Tebliğde yer alan “ilgili kişinin Kanunun 11. maddesinde sayılan diğer hakları” bilgisi  

Örnek 4. Aydınlatma Metni
(Sembol, İşaret ve İkonlar Kullanmak Suretiyle Katmanlı Aydınlatma)

6.2. Aydınlatma Yükümlülüğüne Uygun Olmayan Örnekler

Örnek 1. Aydınlatma Metni

İçerik Açıklama
Çağrı Merkezi  
Bilgi danışma hattımızı arayanların paylaşmış olduğu adsoyad, iletişim bilgisi ve ses kaydı gibi kişisel verilerini;   Kanun ve Tebliğde yer alan “Veri sorumlusunun kimliği” bilgisi bulunmamaktadır. İşlenen verilerde genelleme yapılmıştır.
a) Arayan kişiye doğru hitap edilebilmesi,
b) Aramanın teyidi ve arama sayısının istatistiksel amaçla tespiti,
c) Kurumumuzun bilgi danışma hizmeti temin sürecinin yürütülmesi,
ç) Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla sınırlı olarak işlemektedir.  
 
Bu kişisel veriler hissedarlar ile paylaşılmaktadır.   Kişisel verilerin hangi amaçla aktarılacağı bilgisine yer verilmemiştir.  
Bu kişisel veriler, telefon yoluyla otomatik olarak işlenmektedir.   Kanun ve Tebliğde yer alan hukuki sebebi bilgisi eksik.  
Duygu ve düşüncelerinizi ornek@ornek.com.tr mail adresimize iletebilirsiniz.   İlgili kişinin Kanunun 11. maddesinde sayılan hakları konusunda bilgi verilmemiştir.  

AÇIKLAMA

Aydınlatma metninde asgari olarak Kanunun 10. maddesi ile Tebliğin 4. maddesinde bulunan şartları sağlaması gerekmektedir. Bu metnin değerlendirilmesinde;

– Veri sorumlusu ve varsa temsilcisinin kimliği eksik ve işlenen kişisel verilerde genelleme yapılmıştır.

– Kişisel verilerin kimlere aktarılacağı belirtilmiş, ancak hangi amaçla aktarılacağı belirtilmemiştir.

– Kişisel veri toplamanın yöntemi belirtilmiş ancak hukuki sebebi belirtilmemiştir.

– İlgili kişinin Kanunun 11. maddesinde sayılan hakları konusunda bilgi verilmemiştir.

Örnek 2. Aydınlatma Metni

İçerik Açıklama
Doğum Tarihi: 10.10.1978
Meslek: ……………
Adres: ……………….. Mahallesi …….. Sokak No:…… ………. / ANKARA Posta Kodu: ………….
Yasal Bildirim: X Limited Şirketi Türkiye’de bulunan ve X Perakende Grubu’nun (Grup) bir üyesidir. Grup aynı zamanda Y Limited Şirketi ile Z Limited Şirketini ve onların bağlı şirketlerini de kapsamaktadır Kafa karıştırıcı ve hukuki terimlerle dolu bir dil kullanılmış, metin çok küçük punto, açık gri renkle ve italik yazılmış.
Verdiğiniz teşhis edilebilir kişisel veriler 6698 sayılı Kanun’a ve diğer yürürlükteki kanunlara uygun şekilde işlenecektir Bu bilginin verilmesi kamuoyu açısından anlamlı değildir.  
Siparişinizi işleme koymak üzere bilgilerinizi kullanacağız. Bu, banka ve kredi kartı bilgi detaylarınızın ödemenin gerçekleştirilmesi, satın alınan ürünlerin teslimi için kullanılması, dolandırıcılığın tespiti ve önlenmesini içermektedir. Bilgilerinizi, sizinle anlaşmamız çerçevesinde veya mevzuat çerçevesinde bu yönde hareket etmemiz gerekiyorsa, hak ve yükümlülüklerimizi aktardığımız kişiye verebiliriz. Bilgilerinizi pazar araştırması ve ürün ve hizmetlerimizin pazarlanması için kullanacağız.  
Bu, eğer 0 312 XXX XXX numaramızı arayarak aksini beyan etmediğiniz takdirde, posta, telefon, e-posta ve SMS yoluyla sizinle irtibata geçilmesini içerebilir. Bilginizi, kredi kayıt bürosu dosyalarında araştırma yapmak üzere kullanacağız. Bu bilgi, diğer borç verenler tarafından sizin hakkınızda kredi kararları verirken kullanılabilir. Kredi kayıt bürosunda hakkınızda tutulan kayıtlar, sizin finansal olarak bağlantınız bulunan kişilerin kayıtlarıyla daha önceden bağlantılandırılmış olabilir Burada ilgili kişinin, kendisi ile iletişime geçilmesi için açık rızasını otomatik olarak verdiğine dair bir varsayım söz konusudur. Açık rızanın Kanunda belirtilen unsurları açısından değerlendirildiğinde bu durum, doğru bir yaklaşım değildir. Açık rıza ile aydınlatma aynı metinde birleşmemelidir.
Kredi araştırması amaçlarıyla daha önceki kayıtlarla birlikte ve finansal bağlantılı olarak değerlendirileceksiniz.  
Bilgilerinizi diğer şirketlerle, pazar araştırması ve ürün ve hizmetlerinin pazarlanması amacıyla eğer 0 312 XXX XXX numaramızı arayarak aksini beyan etmediğiniz takdirde, paylaşılacaktır. Kafa karıştırıcı bir dil kullanılmış.
Bu formu imzalayarak, yukarıdaki amaçlarla bilgilerinizin işleneceğine rıza göstermiş olacaksınız Pek çok farklı işleme amacı için tek bir rıza alınmasına dair uygun olmayan bir örnektir.

Bu rehber PDF formatında olup KVKK Resmi sayfasından orijinalini indirebilirsiniz Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi