Categories
MAKALELER

 

26.06.2020 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) kendisine yapılan ihbar ve şikayetler neticesinde aydınlatma yükümlülüğünün yerine getirilmesi konusunda uygulamada bir takım eksiklikler ve yanlışlıklar tespit etmiş, bu eksiklik ve yanlışlıkların düzeltilmesi ve konu hakkında farkındalığın sağlanabilmesi için kamuoyu duyurusu yayınlamıştır.

Söz konusu duyuru metninde Kurum’un üzerinde durduğu hususlar, aydınlatma metinlerinin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na[1] (“Kanun”) ve 30356 Sayılı Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e[2] (“Tebliğ”) uygun bir şekilde hazırlanmaması ve söz konusu metinlerin aydınlatma bildiriminin amacına aykırı olarak ilgili kişilere sunulmasıdır.

 

Kanuna Uygunluk

Bilindiği gibi kişisel veri işleyen veri sorumluları Kanun’a ve ikincil mevzuata uygun olarak hareket etmek zorundadırlar. Bu kapsamda kişisel verilerin işlenmesi konusunda genel ilkelere riayet edilmeli ve aydınlatma yükümlülüğünün bulunması durumunda söz konusu yükümlülüğü Kanun’a ve Tebliğ’e uygun bir şekilde yerine getirmelidir.

Genel ilkelere riayet edilmesinin aydınlatma yükümlülüğünün yerine getirilmesi açısından bağlantısı Kurum’un yayınladığı duyuruda belirtildiği üzere aydınlatma metinlerinde yer verilerin kişisel veri işleme faaliyetlerinin kişisel veri işleme genel ilkelerine uygun olarak kurgulanmamasıdır. Kanun’un 4. maddesi uyarınca kişisel veriler belirli, açık ve meşru amaçlar doğrultusunda işlenebilir. Aydınlatma metinlerinde yer verilen muğlak ifadeler, ağır ve ağdalı dil kullanımı gerçekten de söz konusu veri işleme faaliyetini belirli ve açık bir şekilde ilgili kişilere sunmaya imkan tanımamaktadır.

Aynı zamanda söz konusu duyuruda Kanun’un 10.maddesi uyarınca aydınlatma yükümlülüğü yerine getirilirken ilgili metinlerde bulunması gereken zorunlu asgari unsurlara ve yapılan hatalara dikkat çekilmektedir. Kişisel verilerin işleme amaçlarının kullanılan muğlak ifadeler sebebiyle gerçeği yansıtmadığı, aynı zamanda kişisel veri işleme amacı ile hukuki sebeplerin birbirleriyle karıştırıldığına değinilmiştir. Belirtmek gerekir ki hukuki sebep, söz konusu kişisel veri işleme faaliyetine ilişkin olarak kişisel verilerin Kanun’un 5.maddesi ve 6.maddesi uyarınca işlenme şartı olup, kişisel veri işleme amacı ise söz konusu faaliyette hangi amaçlar doğrultusunda kişisel verilerin işleneceğinin belirtilmesi, beyan edilmesidir.

Aydınlatma metinlerinde kişisel verilerin aktarıldığı alıcı grubunun ve aktarım amacının belirtilmemesi yine dikkat çekici unsurlardan biridir. Belirtmek gerekir ki söz konusu aktarım amacı, kişisel veri işleme amacıyla karıştırılmamalı, aktarımda öngörülen amacın her bir faaliyet açısından açıkça belirtilmesi gerekmektedir.

Tebliğ’in 4.maddesi uyarınca aydınlatma bildiriminin en geç kişisel verilerin elde edilmesi sırasında yerine getirilmesi gerektiği belirtilmiştir. Kişisel verilerin işlenmesinden sonra gerçekleştirilen aydınlatma bildirimlerinin Kanuna uygun olmadığı Kurum tarafından belirtilmiştir. Bir anlamda bu amaca hizmet eden katmanlı aydınlatma uygulamalarına ilişkin olarak da temel bazı bilgilerin aydınlatma metinlerinde yer alması gerektiği belirtilmiştir. Veri sorumlusunun kimliği ve kişisel veri işleme amacının en azından ilk olarak sunulan, kısa aydınlatma metinlerinde yer verilmesine gerek olduğunu açıklamıştır. Örnek üzerinden ele alırsak, ziyaretçi verilerinin işlenmesi bakımından katmanlı aydınlatma yapılması durumunda ilk kısa aydınlatma metninde gerçekten de söz konusu kişisel veri işleme amacının belirtilmesi şeffaflık ilkesi bakımından kişisel verisi işlenecek ilgili kişinin içini rahatlatabilecek, ziyaret ettiği kuruma güven duymasını sağlayabilecek bir uygulamadır.

Aydınlatma Bildiriminin Amacına Aykırılık

Aydınlatma metinlerinin amacı kişisel veri işleme faaliyetlerinde ilgili kişilere karşı şeffaflığın sağlanması olduğu bir gerçektir. Şeffaflık ilkesi Türk mevzuatında düzenlenmiş bir ilke olmamakla birlikte Kurum kararları ve kişisel veri işleme faaliyetleri konusunda yorumları doğrultusunda anlam kazanmış bir ilkedir. GDPR’ın[3] 5.maddesinde ve 12.maddesinde belirtilen şeffaflık kavramı Working Party çalışmalarında açıklanmıştır. Working Party açısından şeffaflık ilkesi, gerçek kişilere ilişkin toplanan ve işlenen kişisel verilerin ne şekilde ve hangi ölçüde işlendiğinin açıkça belirtilmesi, aynı zamanda işlenen kişisel verilere erişimin kolayca sağlanabilmesidir. Anlaşılması kolay, açık ve sade dil kullanımının şeffaflık ilkesinin en temel özelliği olduğu da vurgulanmaktadır.[4]

Gerçekten de Kurum’un duyuruda ele aldığı başlıca konular şeffaflık ilkesine riayet edilmesi gerektiği yönündedir. Bu kapsamda eksik, yanıltıcı ve muğlak ifadelerin kullanılması konusunda bir örnek vermek gerekirse, “Kişisel verileriniz hizmet kalitemizin artırılması amacıyla iş birimlerimiz tarafından işlenecektir” ifadesi oldukça muğlak ve şeffaflık ilkesiyle bağdaşmayan bir kişisel veri işleme amacıdır. Hizmet kalitesinin artırılması kavramının açıkça belirtilmesi durumunda söz konusu ifade muğlak olmayacak, şeffaflık ilkesini sağlanabilecektir.

Aydınlatma metinlerinin ilgili kişi tarafından kolayca erişebileceği bir platformda sunulması gerektiği yine Kurum tarafından değerlendirilmiştir. Konuya ilişkin örnek vermek gerekirse, aydınlatma metninin QR Kod ile ilgili kişilere sunulması, fakat ilgili kişide QR Kod sistemini çalıştırabilecek bir akıllı cihazın bulunmaması durumunda, söz konusu metine erişimin rahat bir şekilde sağlandığını söyleyemeyiz. Bu sebeple her ortama ve kişiye uygun açık rıza metinleri oluşturulması ve sunulması gerekmektedir.

Aydınlatma metinlerinin amacı, her bir kişisel veri işleme faaliyetine özgü olarak ilgili kişiyi bilgilendirmektir. Bu sebeple Kurum’un da duyurusunda belirttiği gibi mahiyetleri gereği söz konusu aydınlatma metinleri gizlilik politikaları ve / veya genel veri işleme politikaları kapsamında değerlendirilemez. Bu sebeple bu metinlerin aydınlatma metni olarak kullanılmaması gerektiği hususu Kurum tarafından belirtilmiştir.

Aydınlatma metinlerinin fark edilebilir bir şekilde sunulması gerekliliği de şeffaflığın sağlanması bakımından önemlidir ve Kurum tarafından ele alınmış bir başka husus olarak karşımıza çıkmaktadır. Gerçekten de ilgili aydınlatma metinlerinin görülemeyecek boyutlarda yazılması, okunmasının zor olması, zorlaştırılması genel ilkelerin ve şeffaflığın sağlanmasına hizmet etmemektedir.

Sonuç

Genel olarak kanuna aykırı düzenlemelerin varlığı ve aydınlatma bildirimlerinin amacına ve ruhuna aykırı gerçekleştirilen faaliyetler konusunda açıklamalar içeren kamuoyu duyurusu, Kurum’un aydınlatma metinleri konusunda oldukça hassas bir şekilde davrandığını göstermekte ve ilgili veri sorumlularının da bu hassasiyetle ve bilinçle hareket etmesi gerektiğini vurgulamaktadır.

Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasıdır. Bu doğrultuda, veri sorumluları aydınlatma yükümlülüklerini yerine getirmeyi kanuni bir zorunluluk olarak ele almak yerine ilgili metinleri Kanun’un sözüne ve ruhuna uygun olarak oluşturmayı, ilgili kişilerde buna ilişkin bilinç yaratmayı amaçlamalıdır. İlgili kişiler de bu bilinç ile aydınlatma metinlerini detaylıca inceleyerek, gerekmesi durumunda şikayet mekanizmasını işletmelidirler.

 

Kurum’un ilgili kamuoyu duyurusuna

https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU adresinden ulaşabilirsiniz.

 

 

[1] RG, T. 07.45.2016, S. 6698.

[2] RG, T. 10.03.2018, S. 30356.

[3] European Union, “General Data Protection Regulation” https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN (E.T.: 14.07.2020).

[4] Article 29 Working Party, 17/EN WP260 rev.01, Guidelines on transparency under Regulation 2016/679, 11/04/2018, s. 6.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.