• EN

Kişisel verileri işlenecek olan ilgili kişilerin, veri işleyen ve/veya veri sorumlusu tarafından hangi verilerinin alınıp işleneceği, verilerine hangi süreçlerin uygulanabileceği (Ör: aktarma, silme, yok etme vb.), verilerinin kimlere aktarılacağını, veri işlenmesi için verdiği rızayı nasıl geri alabileceği gibi önemli hususlarda önceden bilgilendirmesine "aydınlatma"; veri işleyicileri ve sorumlularının ilgili kişileri süresinde ve kurallara uygun bir biçimde aydınlatma zorunluluğuna ise "aydınlatma yükümlülüğü" denmektedir.

Aydınlatma yükümlülüğü ve hukuka uygun bir aydınlatmanın nasıl gerçekleştirilebileceği hem geçtiğimiz mayıs ayında yürürlüğe giren ve geniş uygulama alanı ve fahiş cezalarıyla dikkat çeken Avrupa Birliği Genel Veri Koruma Tüzüğü (‘GDPR’) ’nde, hem de ulusal düzenlememiz olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) ‘nda kendine yer bulmuştur. Ancak GDPR’da KVKK’ya nazaran daha detaylı ve kapsamlı bir aydınlatma usulü öngörülmüştür. Bu makalede, GDPR’ın öngördüğü aydınlatma usulü hakkında bilgi vereceğiz.

Öncelikle şunu belirtmek gerekmektedir ki; GDPR’a ilişkin aydınlatma metni hazırlanırken iki ayrıma uygun hareket edilmelidir: verilerin direkt veri sahibinden alınıp alınmadığı ve ilgili kişinin 16 yaşından küçük olup olmadığı hususları ciddi önemi haizdir. Bu hususları ayrı ayrı açıklayacağız.

  1. Verilerin Direkt Veri Sahibinden Alınıp Alınmadığı

GDPR’ın 13. maddesi uyarınca, verilerin direkt veri sahibinden alındığı durumlarda, şu bilgilerin aydınlatmada mutlaka yer alması gerekmektedir:

  • kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri
  • uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri
  • kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı
  • işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler
  • varsa, kişisel verilerin alıcıları veya alıcı kategorileri
  • uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı
  • kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
  • kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı
  • işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı
  • bir denetim makamına şikayette bulunma hakkı
  • kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları
  • profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları

GDPR’ın 14. maddesi ise, verilerin ilgili kişiden başka birisinden alındığı durumları düzenlemektedir. Bu durumda; 13. maddede belirtilen hususlara ek olarak, aşağıdaki hususlar da aydınlatmaya eklenmelidir:

  • ilgili kişisel veri kategorileri
  • kişisel verilerin hangi kaynaktan alındığı, ve uygun olduğu hallerde, kişisel verilerin kamunun erişebileceği kaynaklardan gelip gelmediği
  1. Veri Sahibinin 16 Yaşından Küçük Olup Olmadığı

GDPR, 8. maddesiyle, 16 yaşından küçük çocukların kişisel verilerinin hukuka uygun olarak işlenmesini, çocuk üzerinde velayet hakkı bulunan kişinin rızası veya onayına tabi tutulmuştur. Veri işleme faaliyeti, velinin rıza verdiği veya onaylandığı ölçüde hukuka uygundur. Bu sebeple de, aydınlatma metni hazırlanırken, 16 yaşından küçük çocuklar için hazırlanan aydınlatma metnini çocuğun velisinin onaylaması/imzalaması gerekmektedir.

Yukarıda belirtilen hususlara dikkat edildiği takdirde, GDPR’la uyumlu ve hukuka uygun bir aydınlatma metni hazırlanıp, ileride buna ilişkin bir sorun çıkması engellenebilecektir.

Av. Dr. Mert VAN - Stj. Av. İpek BOZOĞLAN