Yeni - Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi

sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarı- labileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları, konusunda bilgi ver- mekle yükümlüdür. Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yü- kümlülük değildir. İlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, 12 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 13 aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydın- latma yükümlülüğü gerek açık rıza gerekse de Kanun’daki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getiril- mesi gereken bir yükümlülüktür. Aydınlatma yükümlülüğünün yerine getirilmemesi durumların- da Kanun’un 18. maddesinde düzenlenen yaptırım uygulanır.

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülü- ğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,…idari para cezası verilir. Birinci fıkranın (a), … bentlerinde öngörülen idari para ce- zaları veri sorumlusu, … hakkında uygulanır.. Kurulca verilen idari para cezalarına karşı, idare mahkeme- lerinde dava açılabilir. Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünye- sinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümle- rine göre işlem yapılır ve sonucu Kurula bildirilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. 13 14 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ Hukuka uygun şekilde aydınlatma yükümlülüğünün yerine getirilmesi; veri sorumluları ile ilgili kişiler arasındaki güven ilişkisinin tesisi, şeffaflık ve hesap verebilirlik ilkeleri açısından önem arz etmektedir. 1.1. Amaç ve Dayanak Kanun’un 10. maddesine göre kişisel verilerin elde edildiği sıra- da, veri sorumlusu ya da yetkilendirdiği kişilerce, ilgili kişilere aydınlatma yapılması gerekmektedir. Bu hüküm ve Kanun’un 22. maddesinin birinci fıkrasının (e) bendi uyarınca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafın- dan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyu- lacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) hazırlanmış olup anılan tebliğ 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanmıştır. Bu Tebliğ’e dayanarak söz konusu yükümlülüğün nasıl yapıla- cağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından Kurul tarafından “Aydın- latma Yükümlülüğünün Yerine Getirilmesi Rehberi” (“Rehber”) hazırlanmış ve kamuoyunun bilgi ve istifadesine sunulmuştur. 1.2. İçerik Rehber’in;

nunlarda öngörülen usul ve esaslara uygun olarak işlene- bilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 17 18 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için ge- rekli olan süre kadar muhafaza edilme. 18 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 19 3. UYULMASI GEREKEN USUL ve ESASLAR 3.1. Kişisel Verilerin İlgili Kişilerden Elde Edilmesi Hâlinde Aydınlatma Kanun’a göre kişisel verilerin elde edilmesi sırasında veri so- rumlusu veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendi- rilmesi gerekmektedir. Aydınlatma yükümlülüğüne ilişkin hü- kümlerin yer aldığı Kanun’un 10. maddesine göre ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken veri sorumlusu veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki şartları içermesi gerekmektedir: 3.1.1. Veri sorumlusunun ve varsa temsilcisinin kimliği Veri sorumlusu ve varsa temsilcisi, aydınlatma sırasında kimli- ğini ortaya koyan bilgileri ve kendisiyle farklı yöntemlerle ko- laylıkla iletişime geçilebilecek iletişim bilgilerini açıklamalıdır. Örneğin; veri sorumlusu tüzel kişi ise tüzel kişinin unvanı, ger- çek kişi ise gerçek kişinin adı soyadı, yurt dışında yerleşik veri sorumlusu ise, atadığı veri sorumlusu temsilcisinin adı / un- vanı gibi kimlik bilgileri ile telefon numarası, e-posta adresi, internet adresi veya posta adresi gibi iletişim bilgileri belirtil- melidir. 19 20 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 3.1.2. Kişisel verilerin hangi amaçla işleneceği Tebliğ’in 5. maddesinin birinci fıkrasına göre; aydınlatma yü- kümlülüğü yerine getirilirken işleme amacının belirli, açık ve meşru olması gerekir. Ayrıca bilgilendirmede; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için iş- lenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: b) Kişisel veri işleme amacı değiştiğinde, veri işleme faali- yetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişi- sel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapı- lacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. Örneğin, bir çalışana ait kişisel verilerin bir şirketin insan kaynakları sürecinin planlanması için işleneceği ya da bir 20 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 21 sempozyum katılımcısının kişisel verilerinin katılımcıya geri dönüş yapılabilmesi gibi amaçlarla işlenebileceği açıkça be- lirtilmelidir. “Kişisel verilerinizi yeni hizmetler geliştirmek için kullanabiliriz” ya da “Kişisel verilerinizi araştırma amaçlı ola- rak kullanabiliriz” şeklinde muğlak ifadelerden kaçınılmalıdır. 3.1.3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği Tebliğ’in 5. maddesine göre, veri sorumlusunca aydınlatma yü- kümlülüğü yerine getirilirken kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da açıkça belirtilmelidir.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. Kişisel verilerin yurt içinde ve yurt dışına aktarımı hususları Kanun’un 8 ve 9. maddelerinde düzenlenmiştir. Buna göre veri sorumluları, işlemekte oldukları kişisel verilerin yurt içinde ve yurt dışına aktarımı durumunda bu hükümlere uygun hareket etmek zorundadır. Söz konusu alıcı gruplarına iş ortağı, tedarikçi, iştirakler, his- sedarlar, kanunen yetkili kamu kurum ve kuruluşları, kanunen yetkili özel hukuk kişileri, topluluk şirketleri vb. örnek olarak verilebilir. 21 22 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 3.1.4 Kişisel veri toplamanın yöntemi ve hukuki sebebi Tebliğ’in 5. maddesine göre; Kanun’un 5 ve 6. maddelerinde sayılan kişisel veri işleme şartlarından hangisine dayanılarak kişisel verinin işlendiğinin açıkça belirtilmesi gerekir.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddele- rinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. Aydınlatma yükümlülüğü kapsamında kişisel verilerin, ta- mamen veya kısmen otomatik yollarla ya da veri kayıt sis- teminin parçası olmak kaydıyla otomatik olmayan yöntem- lerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. Yine bu maddeye göre; kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kay- dıyla otomatik olmayan yöntemlerden hangisiyle elde edildi- ğinin açık bir şekilde belirtilmesi de gerekmektedir. Örneğin, “bu kişisel veriler, kanunlarda açıkça öngörülmesi hukuki sebebine dayanarak, elektronik ortamda başvuru 22 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 23 formu doldurulması suretiyle işlenmektedir.” şeklinde bil- gilendirmede bulunulabilir. Veri toplama yöntemlerine örnek olarak; bir form doldurulması, telefon görüşmesi, web sitesi, veri entegrasyonu yoluyla ya da kamera çekimi vasıtasıyla kişisel veri elde edilmesi verilebilir. Veri sorumlusu, veri toplama yöntemi ve aracına kendisi karar verecektir. 3.1.5. İlgili kişinin, Kanun’un 11. maddesinde sayılan diğer hakları Veri sorumlusu ve varsa temsilcisi ilgili kişiye aydınlatmada bulunurken Kanun’un 11. maddesinde sayılan haklara da sahip olduğunu belirtmelidir. Bu bilgi, bir formda sayma suretiyle ve- rilebileceği gibi yine aynı formda söz konusu Kanun maddesine atıfta bulunarak da verilebilir.

siyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uy- gun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 23 24 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 24 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 25 e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel ve- rilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel veri- lerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıta- sıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenebilir, kişisel veri- leri işlenmişse buna ilişkin bilgi talep edebilir, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kulla- nılmadığını öğrenebilir, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı kişileri öğrenebilir, kişisel verilerin eksik veya yanlış işlenmesi hâlinde bunların düzeltilmesini isteye- bilir. Ayrıca Kanun’un 7. maddesi çerçevesinde kişisel verileri- nin silinmesi ya da yok edilmesini isteyebilir, eksik veya yanlış işleme düzeltilmişse ya da silme, yok etme veya anonim hâle getirme işlemleri yapılmışsa bu durumun, verinin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir ya da kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâ- linde zararının giderilmesini isteyebilir.

uygun olarak işlenmiş olmasına rağmen, işlenmesini ge- 25 26 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ rektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tara- fından silinir, yok edilir veya anonim hâle getirilir. • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. • Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle dü- zenlenir. 3.2. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Hâlinde Aydınlatma Kişisel verilerin Kanun’a uygun bir şekilde işlenebilmesi için öncelikle kişisel verilerin ilgili kişiden elde edilmesi gerekmek- tedir. Ancak, Tebliğ’in 6. maddesi, kişisel verilerin ilgili kişiden elde edilmemesi hâlinde aydınlatma yükümlülüğünün nasıl yerine getirileceğini düzenlemiştir.

halinde; • Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, • Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, • Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir. 26 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 27 Buna göre; fiili imkânsızlık veya ilgili kişiye ulaşılamaması ne- deniyle kişisel veriler doğrudan ilgili kişiden elde edilemiyorsa; • Kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde, • Kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak ol- ması durumunda, ilk iletişim kurulması esnasında, • Kişisel verilerin aktarılacak olması hâlinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada, ilgili kişiye aydınlatma yükümlülüğünün yerine getirilmesi ge- rekir. 3.3. Aydınlatma Yükümlülüğünün Yerine Getirilmediği Hâller Kanun’un 10. maddesi, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere bilgi- lendirmede bulunması gerektiği hükmünü getirmiştir. Bu ne- denle, kural olarak kişisel veri işlemekte olan veri sorumluları- nın aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. Bununla birlikte, Kanun’un “İstisnalar” başlıklı 28. maddesinde belirtilen faaliyetler kapsamında kişisel veri işlenmesi duru- munda aydınlatma yükümlülüğünün yerine getirilmesi zorunlu değildir. Bunlar, aydınlatma yükümlülüğüne getirilen istisnalar olarak da değerlendirilebilir. 3.3.1. Kanun’un 28. maddesi birinci fıkrası Bu Kanun hükümlerinin uygulanmayacağı hâller Kanun’un 28. maddesinin birinci fıkrasında düzenlenmiştir. Dolayısıyla bu 27 28 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ fıkrada sayılan faaliyetler kapsamında işlenmekte olan kişisel veriler için Kanun hükümleri uygulanmayacaktır. Bu durumda aydınlatma yükümlülüğünden de bahsetmek mümkün olma- yacaktır.

gulanmaz: a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri gü- venliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta ya- şayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu gü- venliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teş- kil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağ- lamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyu- cu ve istihbari faaliyetler kapsamında işlenmesi. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 28 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 29 Örneğin resmi istatistik kapsamında veya anonim hâle getirmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlemekte olan bir veri sorumlusu- nun, sadece bu verilere özgü olmak kaydıyla herhangi bir aydınlatma yapması gerekmemekle birlikte diğer faaliyet- leri (örneğin insan kaynakları, muhasebe, bilgi işlem, halkla ilişkiler, destek hizmetleri gibi) kapsamında işlediği kişisel veriler bakımından ilgili kişileri aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. 3.3.2 Kanun’un 28. maddesi ikinci fıkrası Kanun’un bazı hükümlerinin uygulanamayacağı faaliyetler Kanun’un 28. maddesi ikinci fıkrasında düzenlenmiştir. Bu maddeye göre, ilgili fıkrada sayılan faaliyetler kapsamında iş- lenmekte olan kişisel veriler için Kanun’un 10. maddesi uygu- lanmayacaktır. Örneğin emniyet birimleri tarafından suç işlen- mesinin önlenmesi veya suç soruşturması için gerekli olması işleme şartına dayalı olarak yapılan takip kapsamında, trafik veya MOBESE kayıtlarının işlenmesi hâlinde ilgili kişilere ay- dınlatma yapılması zorunlu değildir.

uygun ve orantılı olmak kaydıyla veri sorumlusunun ay- dınlatma yükümlülüğünü düzenleyen 10 uncu, zararın gi- derilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yüküm- lülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: 29 30 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel ve- rilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu ku- rumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 30 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 31 4. AÇIK RIZA ve AYDINLATMA YÜKÜMLÜLÜĞÜ İLİŞKİSİ Kanun’un 3. maddesinde unsurları belirtilen açık rıza, bir kişi- sel veri işleme şartıdır. Açık rıza; kişinin sahip olduğu verinin işlenmesine kendi isteği ile ya da karşı taraftan gelen talep üzerine onay vermesi anlamına gelmektedir. Kişi açık rıza be- yanı ile; kendi kişisel verisinin işlenmesine ilişkin kararını veri sorumlusuna bildirmiş olmaktadır. Bu sebeple, işleme şartla- rından biri olan açık rızaya dayalı olarak kişisel veri işlenmesi durumunda (kişisel veri işlemeye başlamadan önce) aydınlat- ma yükümlülüğü de yerine getirilmelidir.

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye da- yanan ve özgür iradeyle açıklanan rızayı, ifade eder. Bununla birlikte, Tebliğ’in 5. maddesi gereği, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olması durumunda, veri sorumlusunun aydınlatma yükümlülüğü ile açık rıza alın- ması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- 31 32 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 32 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 33 lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı ola- rak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. 33 34 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 5. AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ 5.1. Aydınlatma Yükümlülüğünün Hangi Yöntemle Yerine Getirileceğinin Tespiti Tebliğ’in 5. maddesine göre veri sorumlusu ya da yetkilendir- diği kişi tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kul- lanılmak suretiyle yerine getirilebilmektedir. Veri sorumlusu veya yetkilendirdiği kişi, bu yöntemlerden hangisini kullana- cağına kendisi karar vermelidir.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı ola- rak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Bu yöntemlere örnek olarak; veri sorumlusu ya da yetkilendir- diği kişi tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma 34 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 35 gibi), yazılı (web sayfasında yer alan metin, bina girişinde du- vara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi), ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi), çağrı merkezi (operatörle görüşmeden önce bir ses dos- yası dinletilmesi) gibi fiziksel veya elektronik ortam (web say- fasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması, mobil uygulamalar gibi) kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi verilebilir. Ayrıca, görme engellilerin söz konusu aydınlatmaya erişebil- mesi için ilgili mevzuatta (5378 sayılı Engelliler Hakkında Ka- nun, Erişilebilirlik İzleme ve Denetleme Yönetmeliği vb.) öngö- rülen uygulamaların yapılması önem arz etmektedir. Bu şekilde ilgili kişilerin okudukları, gördükleri ya da duydukla- rında anlayabilecekleri kadar açık, sade, anlaşılabilir ve tered- düde yer bırakmayacak aydınlatmalar yapılabilmesi mümkün olacaktır. 5.2.Aydınlatma Yükümlülüğü Sürecini Yürütecek Kişi/ Kişilerin Görevlendirilmesi Aydınlatma yükümlülüğü, bizzat veri sorumlusu veya yetkilen- direceği kişi / kişiler tarafından yerine getirilmelidir. Yetkilen- dirilecek kişi / kişilerin Kanun ve Tebliğ hakkında detaylı ve güncel bilgiye sahip olup olmadığının göz önünde bulundu- rulması gerekmektedir. 35 36 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 5.3. Kişisel Veri İşleme Envanteri Hazırlanması Kişisel veri işlemekte olan veri sorumlularının hangi tür iş süreç- lerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işle- me faaliyetleri için kişisel veri işlediğini ortaya koyması gerekir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesinin birinci fıkrasının (h) bendinde kişisel veri işleme envanteri ta- nımlanmış, 5. maddesinin birinci fıkrasının (d) bendinde ise ay- dınlatma yükümlülüğü yerine getirilirken kişisel veri işleme en- vanterinde yer alan bilgilerin esas alınması gerektiği belirtilmiştir.

h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreç- lerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel veri- lerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklaya- rak detaylandırdıkları envanteri,

susunda aşağıdaki ilke, usul ve esaslara uyulur: d) Kanunun 10 uncu maddesinde veri sorumluları için belirti- len aydınlatma yükümlülüğünde, Kanunun 13 üncü madde- sinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve 36 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 37 ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı ola- rak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır. Kişisel veri işleme envanterinin hazırlanması, aydınlatma yü- kümlülüğünü yerine getirme noktasında veri sorumluları açı- sından önemli bir kolaylık sağlayacaktır. Bununla birlikte, kişisel veri işleme envanteri hazırlama yü- kümlülüğü sadece Sicile kayıtla yükümlü olan veri sorumlula- rı için geçerlidir. Ancak aydınlatma yükümlülüğünün Kanun’a uygun bir şekilde yerine getirilmesi için Sicile kayıtla yükümlü olmasa dahi tüm veri sorumlularınca kişisel veri işleme envan- teri hazırlanması önerilmektedir. Son tahlilde veri sorumlusunun kişisel veri işleme envanteri hazırlama yükümlülüğünden bağımsız olarak aydınlatma yü- kümlülüğü devam etmektedir. 5.4. Aydınlatma Metni Hazırlanması Aşamaları Aydınlatma yükümlülüğü hangi yöntemlerle yerine getirilirse getirilsin, öncelikle bunun yazılı doküman şeklinde hazırlan- ması faydalıdır. Hazırlanacak aydınlatma metinlerinde açık, anlaşılabilir ve sade bir dil kullanılması gerekir. Aydınlatma metinlerinin an- laşılmasının zor olmaması ve tamamen teknik bilgi ve termi- nolojiye boğulmaması gerekir. Ayrıca, mümkünse ilgili kişilerden alınan geri dönüşler üze- rinden aydınlatma metninin tekrar değerlendirilmesi, değişen 37 38 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ koşullar uyarınca güncellenmesi ve varsa hata ve eksiklerin giderilmesi önem arz etmektedir. Aydınlatma metni hazırlama sürecinde aşağıdaki adımlar ta- kip edilebilir: 1. Veri sorumlusunun öncelikle, hangi tür verileri işlediğini iyi tespit etmesi gerekmektedir. 2. Kanun’un 4. maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel ve- rileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinle- rinde açıkça belirtilmesi gerekmektedir. 3. Yurt içi ve yurt dışına aktarım yapılacaksa, aktarımın amacı- nın aydınlatma metninde belirtilmesi gerekmektedir. Ayrıca bu aktarımın yapılacağı gerçek veya tüzel kişilerin kimler olacağı da belirtilmelidir. 4. Veri sorumlularının, Kanun’un 5. veya 6. maddelerinde yer alan işleme şartlarından hangisine dayanarak kişisel veri topladıklarını tespit etmesi ve bunun aydınlatma metninde belirtilmesi gerekmektedir. Bunun dışında kişisel veri topla- ma yöntemi de mutlak surette tespit edilmelidir. 5. Veri sorumlusunun ilgili kişiye, Kanun’un 11. maddesinde be- lirtilen haklarını uygun bir şekilde belirtmesi gerekmektedir. Ayrıca, aydınlatma yükümlülüğü yerine getirilirken aşağıdaki tablonun da dikkate alınmasında fayda bulunmaktadır: 38 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 39 TABLO- 1: Aydınlatma Yapılırken Kişisel Verilerin Kişisel Verilerin Verilmesi Gereken Bilgiler Doğrudan İlgili İlgili Kişiden Elde Veri sorumlusunun ve varsa Kişiden Elde Edilmemesi temsilcisinin kimliği Edilmesi Hâlinde Hâlinde √ √ Kişisel verilerin hangi √ √ amaçla işleneceği Kişisel verilerin kimlere ve √ √ hangi amaçla aktarılacağı Kişisel veri toplamanın √ √ yöntemi ve hukuki sebebi İlgili kişinin Kanun’un 11. √ √ maddesinde sayıların hakları Aydınlatmanın ne zaman yapılacağına karar verilirken aşağıda- ki tablonun dikkate alınmasında fayda bulunmaktadır: TABLO- 2: Kişisel Verilerin Doğrudan İlgili Kişisel verilerin ilgili kişiden elde Kişiden Elde Edilmesi Hâlinde edilmesi sırasında Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde Kişisel Verilerin Doğrudan Kişisel verilerin ilgili kişi ile iletişim İlgili Kişiden Elde Edilmemesi amacıyla kullanılacak olması Hâlinde durumunda, ilk iletişim kurulması esnasında Kişisel verilerin aktarılacak olması hâlinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada 39 40 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 6.AYDINLATMA METNİ ÖRNEKLERİ 6.1. Aydınlatma Yükümlülüğüne Uygun Örnekler Örnek 1. Aydınlatma Metni KVKK Alo 198 Hattı Çağrı Merkezi Kişisel Verileri Koruma Kurumu; bilgi da- Kanun ve nışma hattını arayanların paylaşmış olduğu Tebliğ’deki “Veri ad-soyad, iletişim bilgisi ve ses kaydına ait sorumlusunun kişisel verilerini; kimliği” ile hangi kişisel veriler olduğu, • A​ rayan kişiye doğru hitap edilebilmesi, Kanun ve • Aramanın teyidi ve arama sayısının istatis- Tebliğ’de yer alan “Kişisel verilerin tiksel amaçla tespiti, hangi amaçla • Kurumumuzun bilgi danışma hizmeti temin işleneceği” bilgisi sürecinin yürütülmesi, • Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla sınırlı olarak iş- Kanun ve lemektedir. Tebliğ’de yer Bu kişisel veriler üçüncü kişilerle paylaşılma- alan “Kişisel maktadır. verilerin kimlere ve hangi amaçla Bu kişisel veriler, Kanun’un 5. maddesinde aktarılabileceği” belirtilen “ilgili kişinin temel hak ve özgür- bilgisi lüklerine zarar vermemek kaydıyla veri so- rumlusunun meşru menfaati için zorunlu ol- Kanun ve Tebliğ’de yer alan “kişisel veri toplamanın yöntemi ve hukuki sebebi” bilgisi 40 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 41 ması” hukuki sebebine dayalı olarak telefon yoluyla otomatik olarak işlenmektedir. Kanun’un “ilgili kişinin haklarını düzenleyen” Kanun ve 11. maddesi kapsamındaki taleplerinizi, “Veri Tebliğ’de yer Sorumlusuna Başvuru Usul ve Esasları Hak- alan “ilgili kişinin kında Tebliğ’e” göre Kişisel Verileri Koruma kanunun 11. Kurumu’nun Nasuh Akar Mahallesi 1407 so- Maddesinde kak No: 4 Çankaya / Ankara adresine yazılı sayılan diğer olarak iletebilirsiniz. hakları bilgisi 41 42 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ Örnek 2. Katmanlı Aydınlatma Metni Veri sorumlusunun kimliği BİNAMIZ İÇERİSİNDE, GÜVENLİĞİN SAĞLANMASI AMACIYLA, 7 GÜN - 24 SAAT KAMERA SİSTEMLERİ İLE İZLEME YAPILMAKTA VE KAYIT ALTINA ALINMAKTADIR. Aydınlatma ön bilgisi Detaylı aydınlatma metnine erişim sağlamak için kullanılmaktadır. Detaylı Bilgi İçin: www.kvkk.gov.tr 42 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 43 Örnek 3. Aydınlatma Metni Hizmet Binası İçerisinde Yer Alan Güvenlik Kameraları Hakkında Aydınlatma Metni Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi ile Aydınlatma Yükümlülüğünün Ye- rine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla .......................... tarafından hazırlanmıştır. Kanun ve Tebliğ’de yer alan “Veri sorumlusunun kimliği” bilgisi Hizmet binamız içerisindeki giriş kapıları, bina dış cephesi, yemekhane, kafeterya, ziyaretçi bekleme salonu, otopark, gü- venlik kulübesi ve kat koridorları hizmet alanında bulunan top- lam ... adet güvenlik kamerası vasıtasıyla ve bina güvenliğinin sağlanması amacıyla görüntü kaydı yapılmakta ve kayıt işlemi .......... .............. birimi tarafından denetlenmektedir. Kanun ve Tebliğ’de yer alan “Kişisel verilerin hangi amaçla işleneceği” bilgisi 43 44 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ Söz konusu kişisel veri, Kanun’un 5. maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfa- atleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanarak otomatik yolla işlenmektedir. Kanun ve Tebliğ’de yer alan “kişisel veri toplamanın yöntemi ve hukuki sebebi” bilgisi Söz konusu kişisel veriler hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuatı gereği talep hâlinde adli makamlar veya ilgili kolluk kuvvetlerine aktarılabilecektir. Kanun ve Tebliğ’de yer alan “Kişisel verilerin kimlere ve han- gi amaçla aktarılabileceği” bilgisi Kanun’un ilgili kişinin haklarını düzenleyen 11. maddesi kapsa- mındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esas- ları Hakkında Tebliğ’e” göre ........... ........... nin ......... Mahallesi, ...... Caddesi ..... Sokak No: ...... .......... / ......... adresine yazılı ola- rak veya üyeliğinizin teyit edildiği elektronik posta üzerinden ........... com.tr e-posta adresine iletebilirsiniz. Kanun ve Tebliğ’de yer alan “ilgili kişinin Kanun’un 11. mad- desinde sayılan diğer hakları” bilgisi 44 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 45 Örnek 3. Aydınlatma Metni (Sembol, İşaret ve İkonlar Kullanmak Suretiyle Katmanlı Aydınlatma) 7Gün Sa2a4t 45 46 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ 6.2. Aydınlatma Yükümlülüğüne Uygun Olmayan Örnekler Örnek 1. Aydınlatma Metni Çağrı Merkezi Bilgi danışma hattımızı arayanların paylaşmış olduğu ad- so- yad, iletişim bilgisi ve ses kaydı gibi kişisel verilerini; Kanun ve Tebliğ’de yer alan “Veri sorumlusunun kimliği” bilgisi bulunmamaktadır. İşlenen verilerde genelleme ya- pılmıştır. a) Arayan kişiye doğru hitap edilebilmesi, b) Aramanın teyidi ve arama sayısının istatistiksel amaçla tespiti, c) Kurumumuzun bilgi danışma hizmeti temin sürecinin yürü- tülmesi, ç) Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaç- larıyla sınırlı olarak işlemektedir. Bu kişisel veriler hissedarlar ile paylaşılmaktadır. Kişisel verilerin hangi amaçla aktarılacağı bilgisine yer ve- rilmemiştir. Bu kişisel veriler, telefon yoluyla otomatik olarak işlenmek- tedir. Kanun ve Tebliğ’de yer alan hukuki sebebi bilgisi eksik. 46 AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ | 47 Duygu ve düşüncelerinizi ornek@ornek.com.tr mail adresimi- ze iletebilirsiniz. İlgili kişinin Kanun’un 11. maddesinde sayılan hakları konu- sunda bilgi verilmemiştir. AÇIKLAMA Aydınlatma metninde asgari olarak Kanun’un 10. maddesi ile Tebliğ’in 4. maddesinde bulunan şartları sağlaması gerekmek- tedir. Bu metnin değerlendirilmesinde; • Veri sorumlusu ve varsa temsilcisinin kimliği eksik ve işlenen kişisel verilerde genelleme yapılmıştır. • Kişisel verilerin kimlere aktarılacağı belirtilmiş, ancak hangi amaçla aktarılacağı belirtilmemiştir. • Kişisel veri toplamanın yöntemi belirtilmiş ancak hukuki se- bebi belirtilmemiştir. • İlgili kişinin Kanun’un 11. maddesinde sayılan hakları konu- sunda bilgi verilmemiştir. 47 48 | AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ Örnek 2. Aydınlatma Metni Kafa karıştırıcı ve hukuki terimlerle Doğum Tarihi: 10.10.1978 dolu bir dil kullanılmış, metin Meslek: …………… çok küçük punto, açık gri renkle ve Adres: Mahallesi …….. Sokak No:…… ………. italik yazılmış. / ANKARA Posta Kodu: …………. Bu bilginin verilmesi Yasal Bildirim: kamuoyu açısından anlamlı değildir. X Limited Şirketi Türkiye’de bulunan ve X Perakende Gru- bu’nun (Grup) bir üyesidir. Grup aynı zamanda Y Limited Burada ilgili kişinin, Şirketi ile Z Limited Şirketini ve onların bağlı şirketlerini kendisi ile iletişime de kapsamaktadır. Verdiğiniz teşhis edilebilir kişisel ve- geçilmesi için açık riler 6698 sayılı Kanun’a ve diğer yürürlükteki kanunlara rızasını otomatik uygun şekilde işlenecektir. Siparişinizi işleme koymak olarak verdiğine üzere bilgilerinizi kullanacağız. Bu, banka ve kredi kar- dair bir varsayım tı bilgi detaylarınızın ödemenin gerçekleştirilmesi, satın söz konusudur. alınan ürünlerin teslimi için kullanılması, dolandırıcılığın Açık rızanın tespiti ve önlenmesini içermektedir. Bilgilerinizi, sizinle Kanun’da belirtilen anlaşmamız çerçevesinde veya mevzuat çerçevesinde bu unsurları açısından yönde hareket etmemiz gerekiyorsa, hak ve yükümlülük- değerlendirildiğinde lerimizi aktardığımız kişiye verebiliriz. Bilgilerinizi pazar bu durum, doğru araştırması ve ürün ve hizmetlerimizin pazarlanması için bir yaklaşım kullanacağız. Bu, eğer 0 312 XXX XXX numaramızı arayarak değildir. Açık rıza aksini beyan etmediğiniz takdirde, posta, telefon, e-posta ile aydınlatma ve SMS yoluyla sizinle irtibata geçilmesini içerebilir. Bilgi- aynı metinde nizi, kredi kayıt bürosu dosyalarında araştırma yapmak birleşmemelidir. üzere kullanacağız. Bu bilgi, diğer borç verenler tarafından sizin hakkınızda kredi kararları verirken kullanılabilir. Kre- Kafa karıştırıcı bir dil di kayıt bürosunda hakkınızda tutulan kayıtlar, sizin finan- kullanılmış. sal olarak bağlantınız bulunan kişilerin kayıtlarıyla daha önceden bağlantılandırılmış olabilir. Kredi araştırması Pek çok farklı işleme amaçlarıyla daha önceki kayıtlarla birlikte ve finansal amacı için tek bir bağlantılı olarak değerlendirileceksiniz. Bilgilerinizi diğer rıza alınmasına dair şirketlerle, pazar araştırması ve ürün ve hizmetlerinin pa- uygun olmayan bir zarlanması amacıyla, eğer 0 312 XXX XXX numaramızı ara- örnektir. yarak aksini beyan etmediğiniz takdirde, paylaşılacaktır. Bu formu imzalayarak, yukarıdaki amaçlarla bilgilerinizin işleneceğine rıza göstermiş olacaksınız. Müşteri İmzası: İmza: 48 Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu