Veri sorumlularının aydınlatma yükümlülüğü Kişisel Verileri Koruma Kanunun 10. Maddesinde düzenlenmiştir. Aydınlatma yükümlülüğü kişinin belirli konularda bilgilendirilmesinde ibarettir. Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi değildir. Yükümlülüğün yerine getirilmesiyle, ilgili kişi, verilerinin kimler tarafından ve nasıl elde edildiğini, hangi amaçla ve yöntemle işleme yapılacağını, işlemenin hukuka uygun olup olmadığını öğrenebilir. İlgili kişi bilgi edinme hakkını kullanarak bilgilere ulaşabilir. Aydınlatma yükümlülüğü ve bilgi edinme hakkı birbirini tamamlar niteliktedir. Bilgi edinme hakkı her zaman ilgili kişi tarafından kullanılabilse de aydınlatma yükümlülüğü kişisel verilerin elde edildiği aşamada aranır. Ayrıca bilgi edinme hakkı her zaman kullanılabilir.
KAPSAMI
Aydınlatma yükümlülüğü, faaliyetleri kapsamında kişisel veri işlemekte olan gerçek ve tüzel kişi veri sorumluları için getirilmiş bir yükümlülüktür. Bu nedenle aydınlatma yükümlülüğü, veri sorumlularını kapsamaktadır. Veri sorumlularının ilgili kişileri bilgilendirmesi gerekmektedir. Bu bilgilendirmenin içermesi gereken konular Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 4. Maddesinde sayılmıştır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. Bu nedenle ilgili kişinin verileri işlenmeden önce veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.
UYULMASI GEREKEN USUL VE ESASLAR
Kanuna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülüğün yerine getirilmesi için belli şartların yerine getirilmesi gerekmektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesinde yapılması gerekenler belirtilmiştir.
- İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
- Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
- Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
- Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
- Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
- Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
- Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
- Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
- Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
- Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
- Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Ayrıca veri sorumlusu ve varsa temsilcisi, aydınlatma sırasında kimliğini ortaya koyan bilgileri ve kendisiyle kolaylıkla iletişime geçilebilecek iletişim bilgilerini açıklamalıdır. Veri sorumlusu adresini, tüzel kişi ise tüzel kişinin unvanı, gerçek kişi ise gerçek kişinin adı soyadı, kimlik bilgileri, telefon numarası, e-posta adresi, internet adresi veya posta adresi gibi iletişim bilgileri belirtilmelidir.
Aydınlatma yükümlüğü yerine getirilirken veri sorumlusu açık ve meşru olmalıdır. Veri sorumlusu, ilgili kişiye Kişisel Verileri Koruma Kanunun 11.maddesinde sayılan haklara sahip olduğunu belirtmelidir. Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenebilir, kişisel verileri işlenmişe buna ilişkin bilgi talep edebilir, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı kişileri öğrenebilir, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilir.
Kişisel veriler ilgili kişiden değil de farklı bir kaynaktan öğrenilmişse Tebliğin 6. maddesinde ilgili kişinin nasıl aydınlatılacağı düzenlenmiştir. Buna göre; fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle kişisel veriler doğrudan ilgili kişiden elde edilemiyorsa, kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada, ilgili kişiye aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMEDİĞİ HALLER
Kişisel Verileri Koruma Kanunun 28. Maddesinin 1. fıkrasındaki kanundaki hükümlerin belirtilen hallerde uygulanmayacağı düzenlenmiştir. Örnek vermek gerekirse kişisel veriler soruşturma, kovuşturma, yargılama veya infaz mercileri tarafından işleniyorsa bu halde ilgili kişinin aydınlatılması gerekmez.
28. Maddenin 2. fıkrasında ise kanundaki bazı hükümlerin belirtilen hallerde uygulanmayacağı düzenlenmiştir ve aydınlatma yükümlülüğü de bu hükümlerden birisidir. İlgili kişinin kendisinin alenileştirdiği verinin işlenmesinde veri sorumlusunun kişiyi aydınlatma yükümlülüğü yoktur.
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ
Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Tebliğin beşinci maddesinde aydınlatma yükümlülüğünün sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebileceği belirtilmiştir. Bu yöntemlere örnek vermek gerekirse;
- Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma gibi),
- Yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi),
- Ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi),
- Çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması, mobil uygulamalar gibi)
Aydınlatma metinlerinin anlaşılmasının zor olmaması gerekir. Metnin yazılı şekilde hazırlanması faydalıdır. Ayrıca, görme engellilerin söz konusu aydınlatmaya erişebilmesi için ilgili mevzuatta (5378 sayılı Engelliler Hakkında Kanun, Erişilebilirlik İzleme ve Denetleme Yönetmeliği vb.) öngörülen uygulamaların yapılması önem arz etmektedir.
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMEMESİ DURUMLARINDA
Yükümlülüğünün yerine getirilmemesi durumunda Kişisel Verileri Koruma Kanunun 18. maddesinde düzenlenen yaptırımlar uygulanır.
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,…idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
***
Kişisel Verilerin Korunması Kanunu oldukça kapsamlı olmakla birlikte veri sorumlularının herhangi bir cezai yaptırımla karşılaşmaması için uyum sürecinin mutlaka uzman avukatlar tarafından titizlikle yönetilmesini tavsiye ederiz.