Günlük hayatta birçok işlem yapılırken kişisel verilerin başkalarıyla paylaşılması söz konusu olmaktadır. Modern hayatın geldiği bu noktada kişisel verilerin hukuki koruma altına alınması ihtiyacı doğmuştur. Bu amaçla yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, kişisel verileri işleyecek olan gerçek ve tüzel kişilerin -kanunun deyimiyle veri sorumlularının- öncelikle veri sahiplerini aydınlatma yükümlülüğü bulunuyor.
KVKK Kapsamında Aydınlatma Nedir?
Kişisel verileri işleyen tüm gerçek ve tüzel kişilerin, KVKK kapsamında veri sahiplerinin açık rızalarını almaları gerekmektedir. Veri sahibinin açık rızası olmaksızın yapılan veri işleme faaliyetleri hukuken geçerli kabul edilmeyecektir. Kişisel verilerin işlenmesi için gereken açık rızanın geçerlilik unsurlarından biri bilgilendirmeye dayalı olmasıdır. Bu noktada veri sorumlusunun aydınlatma yükümlülüğü karşımıza çıkmaktadır. Kişisel verilerin işlenmesinde kanun veri sorumlusuna aydınlatma yükümlülüğü getirmektedir. Bu yükümlülük KVKK m.10’da düzenlenmiştir. Veri sorumlusu yapılacak olan veri işleme faaliyetinin detayları hakkında veri sahibini bilgilendirmelidir.
Yapılan bilgilendirmenin veri sahibi tarafından “anlaşılabilir” nitelikte olması, aydınlatma yükümlülüğünün yerine getirildiğinin kabulü için büyük önem taşımaktadır. Elbette ki burada bahsettiğimiz “anlaşılabilirlik” hedef kitleye ve somut olaya göre değişiklik gösterecektir. Bununla birlikte yapılan bilgilendirmede genel olarak sade bir dil kullanılması, teknik kelimeler ile mesleki jargondan kaçınılması ve ihtiyaç duyulan yerlerde teknik terimlerin veri sahibine açıklanması gibi kriterler hukuki geçerlilik değerlendirilirken göz önünde bulundurulacak temel kriterler olarak sayılabilir.
Burada dikkat edilmesi gereken bir diğer husus da bilgilendirmenin doğrudan veri sahibine yapılması zorunluluğudur. Aydınlatma metninin veri sahibinin ulaşabileceği herhangi bir yerde bulunuyor olması yeterli değildir. Veri sorumlusu aydınlatma metnini doğrudan veri sahibine sunmakla mükelleftir. Uygulamada özellikle karşılaştığımız hatalardan biri de bu husustur. Örneğin KVKK Uyum danışmanlığı sürecinde titiz çalışmalar sonucu web site üyeliğinde işlenen kişisel veriler hakkında veri sahibine gösterilmesi için hazırladığımız aydınlatma metinlerinin üyelik aşamasında veri sahibine gösterilmediğini, web sitesinde herhangi bir yerde paylaşıldığını görmekteyiz. Önemli olan muhataba en geç veri elde edildiği sırada bu aydınlatmanın yapılmasının sağlanmasıdır. Aksi halde aydınlatma doğru şekilde yapılmamış olacaktır.
Aydınlatma Metninde Nelere Yer Verilmelidir?
Veri sorumlusu veya bu konuda yetkilendirdiği üçüncü bir kişi, aşağıda belirtilen konulara aydınlatma metninde yer vererek, verileri işlenecek olan veri sahiplerini bilgilendirmelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği:
Burada veri sorumlusu olan şirketin tam unvanı, MERSİS numarası ve iletişim bilgileri gibi asgari kimlik bilgilerine yer verilmesi gerekir.
- Kişisel verilerin hangi amaçla işleneceği:
Kişisel verilerin işlenme sebepleri aydınlatma metninin bu bölümünde detaylandırılır. Örneğin şirket ile veri sahibi arasında akdedilen satış veya hizmet sözleşmesinin yerine getirilebilmesi, iş yeri güvenliğinin sağlanabilmesi, kanunlar kapsamında hukuki yükümlülüklerin yerine getirilebilmesi, sözleşme kapsamında ödemelerin yapılabilmesi gibi amaçlar tek tek bu metinde belirtilir.
Örneğin şirketler çalışanlarının ad, soyad gibi kimlik bilgileri ile adres, iş veya özel e-posta adresi, ve telefon numarası gibi iletişim bilgilerini işleyebilmektedir. Ayrıca yine şirketler tarafından çalışanlarının kimlik doğrulama ve hesap erişimi için kullandıkları parola ve benzer güvenlik ve işlem bilgilerinin de işlenmesi gerekebilir. Çalışanların aileleri ve yakınları ile ilgili veriler de (eş durumu, çocuk sayısı, vb.) yine şirketler tarafından işlenen kişisel veriler arasında yer alır.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’nde kişisel verileri işleme amaçları kategoriler halinde belirtilmiştir. Burada çok sayıda alt kategori bulunmakla birlikte başlıca insan kaynakları süreçlerinin planlanması, eğitim faaliyetlerinin yürütülmesi, mal veya hizmet alım/satım süreçlerinin yürütülmesi, hukuk işlerinin takibi, vb. amaçlar sayılabilir. KVKK’ya uyum tüm kişisel veri işleme operasyonlarınızdaki amaçlarınızı sorgularken VERBİS’te belirlenen bu amaçlar da size rehberlik edecektir. Ayrıca yine amaçlarınızı belirlerken amaçlarınızın meşru ve ölçülü olmasına dikkat etmeniz gerekmektedir. Bu hususun somutlaşması açısından Mobil Uygulamalarda Veri Toplama ve İşleme’nin yasal boyutu yazımızı inceleyebilirsiniz.
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği:
Kişisel verilerin işlenmesinde belirli bir veri sorumlusuna açık rıza verdikten sonra, bu verilerin üçüncü kişilere aktarılmasının gerektiği durumlar sıklıkla doğmaktadır. Bu noktada verilerin paylaşılacağı üçüncü kişilerin kimler olduğu, hangi verilerin aktarılacağı ve ne amaçla aktarılacağı konusunda veri sahipleri bilgilendirilmelidir. Bu bilgilendirme yine aydınlatma metni aracılığıyla mümkün olabilecektir. Örneğin fatura gönderimi yapılabilmesi için kargo şirketlerine, ihtilaf halinde savunma hakkının kullanılabilmesi için veri sorumlusunun avukatlarına veya fatura süreçlerinin yürütülebilmesi için mali müşavirlik şirketlerine kişisel verilerin aktarılması söz konusu olabilir. Bu örnekler çok çeşitli olabileceği gibi, aydınlatma metninde tüm olasılıkların tek tek sayılması önem taşımaktadır. Aksi halde kişisel verilerin hukuka aykırı şekilde üçüncü kişilere aktarımı söz konusu olacaktır.
- Kişisel veri toplamanın yöntemi ve hukuki sebebi:
Aydınlatma metninde kişisel verilerin hangi yöntemle toplandığı bilgisine de yer verilmelidir. Örneğin müşteri hizmetleri ile yapılan görüşmelerde sıklıkla karşımıza çıktığı üzere, müşterilerin konuşmalarının kayıt altına alınması bir veri işleme faaliyetidir. Telefon görüşmelerinin kayıt altına alınma amacı ise hizmet kalitesinin sağlanması ve herhangi bir ihtilaf yaşanması durumunda bu kayıtlara başvurulabilmesidir. Bir diğer örnek internet ve sosyal medya aracılığı ile verilerin toplanması olabilir. Burada kişisel verilerin toplanma yönteminin yanı sıra hangi hukuki sebeple toplandıkları da önem taşımaktadır. Buna yönelik en yaygın örnek veri sahibi ile veri sorumlusu arasında kurulan sözleşmenin ifa edilmesi için kişisel verilerin toplanıyor olmasıdır.
- Veri sahibinin kanunda belirtilen diğer hakları:
Burada veri sahibinin KVKK m.11 kapsamında veri sorumlusunun yaptığı veri işleme faaliyetine karşı sahip olduğu haklar söz konusudur. Bu haklar şu şekilde sıralanabilir:
– Kişisel verilerinin işlenip işlenmediğini öğrenme,
– Kişisel verilerin işlenmiş olması durumunda buna yönelik bilgi talep etme,
– Kişisel verilerinin işlenme amacını ve bu amaca uygun şekilde kullanıp kullanılmadığını öğrenme,
– Yurt içinde ve/veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri öğrenme (varsa),
– Kişisel verilerinin eksik veya yanlış işlenmiş olması durumunda gerekli düzeltmelerin yapılmasını talep etme ve bu kapsamda yapılan düzeltmelerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– Kişisel verileri KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmakla birlikte, bunların işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel verilerinin silinmesini veya yok edilmesini isteme ve yine bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi yoluyla aleyhine bir sonuç ortaya çıkmış olması durumunda bu sonuca itiraz etme,
– Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde, zararın giderilmesini talep etme.
Aydınlatma Yükümlülüğünün Yerine Getirilme Yöntemleri
Aydınlatma yükümlülüğü veri sorumlusu tarafından sözlü veya yazılı şekilde yerine getirilebileceği gibi, ses kaydı dinletilmesi ve çağrı merkezi gibi elektronik bir ortam kullanılmak suretiyle de gerçekleştirilebilir. Belirtmek gerekir ki veri sorumlusunun yetkilendirdiği bir üçüncü kişi de aydınlatma yükümlülüğünü yerine getirebilir. Ayrıca veri sahibinin kişisel verilerinin işlenmesi konusunda aydınlatılması gerekliliği, ilgili kişinin talebine bağlı değildir.
Uygulamada yaşanması muhtemel ihtilafların çözümü açısından aydınlatma yükümlülüğünün yazılı şekilde yerine getirilmesi pratik olacaktır. Bu noktada karşımıza “KVKK aydınlatma metni” kavramı çıkmaktadır.
E-ticaret sitelerinde veri sahiplerinin aydınlatılması genel olarak kişisel verilerin korunması hakkında ayrılan bir sayfa aracılığıyla sanal ortamda yapılır. Bunun dışında şirketler de yine internet sitelerinde bu aydınlatma metinlerine yer vermektedirler. Burada aydınlatma metninin kolayca erişilebilir olması önem taşır. İnternet sitelerinde çerezler yoluyla toplanan kişisel veriler hakkında ayrı bir sayfa ayrılmadan, veri sahibi sayfalarda gezinirken kenarda açılan pop-up pencereler aracılığıyla da aydınlatma sorumluluğu yerine getirilebilir.
Buna ek olarak veri sorumlusu veya yetkilendirdiği kişi tarafından sözlü bilgilendirme yapılması, bina girişinde bir bilgilendirme levhası asılması, kamera kaydı alınan durumlarda kameranın altına yine bir bilgilendirme yazısı asılması gibi yöntemlerle de aydınlatma yükümlülüğü yerine getirilebilecektir. Çağrı merkezlerinde sıkça karşılaştığımız, görüşme öncesi veri sahibine bilgilendirme amaçlı dinletilen ses kayıtları da yine veri sorumlusunun aydınlatma yükümlülüğünün bir parçasıdır.
Aydınlatma yükümlülüğünün yerine getirilmesi konusunda önemli noktalardan biri de veri sahibinin bilgilendirilmesi ile açık rızasının alınmasının ayrı ayrı yapılması gereken işlemler olduğudur. Zira aydınlatma yükümlülüğünün amacı ilgili kişinin kişisel verilerinin işlenmesi hakkında bilgilendirilmesi iken, açık rıza alınmasındaki amaç veri sorumlusu tarafından gerçekleştirilen veri işleme faaliyetlerinin hukuki olarak temellendirilmesidir. Dolayısıyla veri sahibi olan kişinin aydınlatma metni aracılığıyla kişisel verilerin işlenmesine ilişkin bilgi sahibi olması, metinde yer alan hususlara onay verdiği anlamını taşımamaktadır. Bunun için ayrıca açık rıza vermesi gerekir. İşlemeye konu olan kişisel verilerin doğrudan veri sahibinden değil de bir üçüncü kişiden elde edilmesi durumunda, yine veri sahibinin aydınlatılması yükümlülüğü devam edecektir.