Kişisel Verilerin Korunmasında Kritik Adım: Aydınlatma Yükümlülüğünü Anlamak ve Uygulamak
Veri Toplama ve İşleme Trendleri: Günümüzde birçok işletme, kamu kurumları veya bireysel girişimciler, hizmetlerini iyileştirmek ve ticari faaliyetlerini genişletmek amacıyla büyük miktarda kişisel veri toplamaktadır. Bu faaliyetler, ekonomik faydalar sağlarken aynı zamanda veri güvenliği risklerini de beraberinde getirmektedir.
Anayasal Güvenceler ve 6698 Sayılı KVKK: Türkiye’de kişisel verilerin korunmasına yönelik hukuki çerçeve, Anayasa’daki değişiklikler ve 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile sağlanmıştır. KVKK, veri sorumlularının uyacağı esasları ve kişisel verilerin işlenmesine dair sınırlamaları detaylıca düzenlemektedir.
1. KVKK ve Aydınlatma Yükümlülüğü: Ne Anlama Geliyor?
Kanuni Dayanak: Kişisel verilerin elde edilmesi sırasında ilgili kişilere yapılan bilgilendirmeler, Kişisel Verileri Koruma Kanunu tarafından belirlenen usul ve esaslara göre yapılmalıdır. Bu, 6698 sayılı KVKK’nın 10. maddesi ile zorunlu kılınmıştır ve aynı zamanda ilgili kişiler için bir hak arz etmektedir.
Bu yükümlülük, ilgili kişilerin kişisel verileri üzerinde kontrol ve denetim yetkisine sahip olduğunun en önemli göstergesidir. Böylelikle ilgili kişiler, kişisel verilerinin geleceğini de belirleyebilmektedir.
Özetle aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. İlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bu yükümlülüğün uygulanmaması halinde ise Kanunun 18’inci maddesindeki yaptırımların uygulanacağı düzenlenmiştir.
2. Aydınlatma Yükümlülüğünün Kapsamı ve Önemi
Kimler Yükümlü?: Tüm gerçek ve tüzel kişiler, faaliyetleri kapsamında kişisel veri işliyorlarsa, KVKK’da düzenlenen aydınlatma yükümlülüğüne tabidirler. Yani bu yükümlülük veri sorumlularını kapsamaktadır.
3. KVKK’ya Uygun Aydınlatma: Usul ve Esaslar
Veri sorumluları, işledikleri kişisel veriler hakkında ilgili kişilere, verilerin hangi amaçla ve kimlere aktarılabileceğini açık ve anlaşılır bir şekilde bildirmekle yükümlüdürler.
Aydınlatma metninin içerisinde asgari olarak aşağıdaki hususlar yer alır:
• Veri sorumlusu ve varsa temsilcisi
• Kişisel verilerin hangi amaçla işleneceği
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
• Kişisel veri toplamanın yöntemi ve hukuki sebebi
• İlgili kişinin, Kanunun 11 inci maddesinde sayılan diğer hakları
Aydınlatma, kişisel verilerin elde edilmesi sırasında yapılmalıdır. İstisnaları Kanunun 6 ncı maddesinde, yerine getirilmediği haller ise Kanunun 28 inci maddesinde düzenlenmiştir.
4. Açık Rıza ve Aydınlatma Yükümlülüğü: Nasıl İlişkilendirilir?
Açık Rızanın Rolü: KVKK ve açık rıza, veri işleme süreçlerinin temel taşlarındandır. Açık rıza, veri işleme faaliyetlerinin yasal dayanağını oluşturur ve aydınlatma yükümlülüğü ile doğrudan ilişkilidir.
Kanunun 3 üncü maddesinde unsurları belirtilen açık rıza, bir kişisel veri işleme şartıdır. Açık rıza, kişinin sahip olduğu verinin işlenmesine kendi isteği ile ya da karşı taraftan gelen talep üzerine onay vermesi anlamına gelmektedir. İlgili kişi açık rıza beyanı ile kendi kişisel verisinin işlenmesine ilişkin kararını veri sorumlusuna bildirmiş olmaktadır. Bu sebeple, işleme şartlarından biri olan açık rızaya dayalı olarak kişisel veri işlenmesi durumunda veri işleme faaliyeti başlamadan önce aydınlatma yükümlülüğü yerine getirilmelidir.
Bununla birlikte kişisel veri işleme faaliyeti ilgili kişinin açık rızasına bağlı ise aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekecek, tek bir metin içerisinde yapılmaması gerekecektir.
5. Aydınlatma Yükümlülüğünü Etkili Bir Şekilde Yerine Getirme
Yöntemler ve Öneriler: Veri sorumluları, ilgili kişilere KVKK’nın gerekliliklerini sözlü, yazılı veya dijital platformlar aracılığıyla açık ve etkili bir şekilde iletmelidir.
Burada önemli olan ilgili kişilerin okuduklarını, gördükleri ya da duyduklarını anlayabilecekleri kadar açık, sade, anlaşılabilir ve tereddüde yer bırakmayacak aydınlatmaların yapılabilmesidir. Aksi durumda aydınlatma yükümlülüğü KVKK ‘ya uygun bir şekilde gerçekleştirilmiş olmayacaktır.
Kişisel veri işleme envanteri, Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü maddesinde düzenlenmiştir. Buna göre; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, ifade etmektedir.
Aydınlatma yükümlülüğünün yerine getirilmesi sürecinde kişisel veri işleme envanteri işleri büyük oranda kolaylaştırmaktadır. Bununla birlikte, kişisel veri işleme envanteri hazırlama yükümlülüğü sadece Sicile kayıtla yükümlü olan veri sorumluları için geçerlidir. Sicile kayıtlı olmasalar dahi, aydınlatma yükümlülüğünü yerine getirmek zorunda olan veri sorumluları, kişisel veri işleme envanteri hazırlayarak süreci kolaylaştırabilirler.
Kişisel Verilerin Koruması Kanunu için: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ için: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=24454&MevzuatTur=9&MevzuatTertip=5
Regulasyon.Net
Bir yanıt yazın