Open menu

05 Ekim 2023

Aydınlatma Yükümlülüğü ve Kapsamı
×

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Semih Er, Kategori KVKK - GDPR

Aydınlatma Yükümlülüğü ve Kapsamı

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016'da yürürlüğe girmiştir. Kişilerin hak ve hürriyetlerinin doğru bir şekilde korunmasını hedefleyen bu kanun amacını birinci maddesinde şöyle hüküm altına almıştır:

CottBlog Abone Ol
CottBlog Subscribe

"Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."

Özel hayatın gizliliği gitgide önem kazanan bir konudur ve teknolojinin hızlıca gelişmesiyle birlikte akıllı sistemlerin kullanımının yaygınlaşması bu konuda çok etkili olmuştur. Kişiler de her geçen gün bu konuda bilinçlenmekte, özel hayatlarını ve mahremiyetlerini korumak istemektedir. 2016'da yürürlüğe girmiş genç bir kanun olan Kişisel Verilerin Korunması Kanunu da bu noktada çağımızın gerekliliklerini yerine getirip kanun hükmüyle bu hakkı koruma altına almıştır.

KVKK, kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanabilmesi için bazı kurallar ve yükümlülükler getirmektedir. Bunlardan biri de aydınlatma yükümlülüğüdür.

Kişisel verileri işlenen kişiler, verilerinin işlenmesi ile ilgili bilgi edinme hakkına sahiptir. Bu hak veri sorumlusunun aydınlatma yükümlülüğü ile koruma altına alınmıştır. Bu yükümlülük KVKK'nın 10. Maddesinde şöyle düzenlenmiştir:

"Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. 11'inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür."

Görüldüğü üzere kişisel verisi işlenen kişinin edinme hakkı olan pek çok bilgi vardır. Veri sorumlusunun adı soyadı; ilgili kişinin açık rızası, bir hakkın korunması veya kanunlarda açıkça öngörülmesi gibi hukuki sebepler öğrenilebilecek bilgilerdendir.

11. maddede sayılan diğer haklar da ilgili kişiye tanınmış hakkı genişletmektedir. Buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili pek çok şeyi öğrenebilecektir. Bunlardan bazıları;

  1. "Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. 7'nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

dir."

Ayrıca kişiler 11. Madde uyarınca kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına da sahiptir.

Görüldüğü üzere aydınlatma yükümlülüğünün geniş bir kapsamı vardır. Bu da kişilerin haklarını, mahremiyetlerini koruyabilmeleri adına büyük önem arz etmekte ve yarar sağlamaktadır.

Aydınlatmada Uyulacak Usul ve Esaslar

Kişisel Verileri Koruma Kurumu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hazırlamış ve 10 Mart 2018'de yayınlanmıştır. Usul ve esaslar, tebliğde açık bir şekilde sıralanmıştır. Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında kanunda sayılan bu usul ve esaslara uyulması gerekmektedir:

  1. "İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  2. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  3. Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir. (Yürürlükten kaldırılmıştır.)
  4. Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
  5. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
  6. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  7. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
  8. Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  9. Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  10. Kanunun 10'uncu maddesinin birinci fıkrasının (ç) bendinde yer alan "hukuki sebep" ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6'ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  11. Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  12. Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  13. Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir."

Eğer kişisel veriler ilgili kişiden elde edilmezse; kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir. Kişisel verilerin aktarılacak olması hâlinde ise en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada aydınlatma yükümlülüğü yerine getirilmelidir.

KVKK ve GDPR Kapsamında Aydınlatma Yükümlülüğü Benzerlik ve Farkları

GDPR yani General Data Protection Regulation, Genel Veri Koruma Tüzüğü olarak Türkçeye çevrilmektedir. KVKK Türkiye'deki gerçek ve tüzel kişileri kapsayan bir kanundur. GDPR ise Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir tüzüktür. GDPR'ın amacı bireylerin kendi kişisel bilgilerini kontrol altına almaları ve AB içerisindeki şirketlerin bu tüzükle uyumlu hâle getirilmesidir. GDPR, her ne kadar Avrupa Birliği üyesi üyeler için geçerli olsa da Avrupa Birliği üyesi ülkelerdeki şirketlerle çalışan yani Avrupa Birliği vatandaşlarının verilerini işleyen şirketler de bu tüzüğe uymalıdırlar.

KVKK, "veri sorumlusu" kavramını kullanırken GDPR "veri kontrolörü" kavramını kullanmaktadır. Aydınlatma yükümlülüğü ise GDPR için de kişinin önemli haklarındandır.

GDPR'da, KVKK'da aydınlatma metninde yer alması için düzenlenmeyen saklama süresi düzenlenmiştir.

KVKK'da olduğu gibi GDPR'da da ilgili kişi veri sorumlusu veya kontrolörden bazı taleplerde bulunabilmektedir. Ancak GDPR'da veri sahibi ile ilgili işleme faaliyetinin kısıtlanması talep edilebilmektedir.

KVKK'nın 14. Maddesine göre ilgili kişi başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde Kişisel Verileri Koruma Kurul'una şikâyette bulunabilir. GDPR'da ise "bir denetim makamına şikayette bulunma" aydınlatma yükümlülüğünde bulunması gereken bir haktır.

KVKK veri koruma görevlisi ile ilgili bir düzenleme getirmemiştir. GDPR ise bu görevlinin hem zorunlu hem ihtiyari atamasını düzenlemiştir.

Aydınlatma Yükümlülüğünün İstisnaları

KVKK'nın 28. Maddesi "İstisnalar" başlığı ile düzenlenmiştir. Bu maddeye göre bazı durumlarda kanun maddeleri uygulanmaz. Bu durumlar maddede sayılmıştır. Aydınlatma yükümlülüğü için ise 2. fıkrada özel bir düzenlemede bulunulmuştur.

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. Madde sayılan hâllerde uygulanmayacaktır:

  1. "Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması."

Kanun bu düzenlemeyi ilgili kişinin haklarını düzenleyen 11. Madde için de yapmış ancak zararın giderilmesini talep etme hakkını hariç tutmuştur.

Sonuç

Bu makalede teknolojinin gelişmesiyle gitgide önem kazanan aydınlatma yükümlülüğü hakkında bilgi verilmiş ve KVVK ile GDPR açısından da değerlendirilmeye çalışılmıştır. Özel hayatın gizliliği gün geçtikçe daha da önem kazanacak ve aydınlatma yükümlülüğü gibi kişisel verilerle ilgili kavramlar da gelişmeye devam edecektir.

Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/blog/kvkk-gdpr/item/obligation-to-inform-and-scope

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?