KVKK Aydınlatma Metni Zorunlu mu? Veri Sorumluları İçin Temel Yükümlülükler

KVKK Aydınlatma Metni Nedir?

KVKK aydınlatma metni, kişisel verisi işlenen gerçek kişiye, verilerinin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanılarak, hangi yöntemle işlendiğini ve kimlere aktarılabileceğini açıklayan bilgilendirme metnidir.

Aydınlatma metni, yalnızca internet sitesine eklenen standart bir sayfa olarak düşünülmemelidir. Veri işleme faaliyeti hangi ortamda gerçekleşiyorsa, aydınlatma da o bağlama uygun şekilde yapılmalıdır. Örneğin çalışan adayından iş başvurusu sırasında veri alınıyorsa ayrı bir aday aydınlatma metni; müşteriden satış sürecinde veri alınıyorsa müşteri aydınlatma metni; internet sitesi çerez kullanıyorsa çerezlere ilişkin ayrı bir bilgilendirme gerekebilir.

Aydınlatma yükümlülüğü, veri sorumlusunun temel yükümlülüklerinden biridir. Bu yükümlülük, ilgili kişinin açık rızasına bağlı değildir. Açık rıza alınan durumlarda dahi ilgili kişi ayrıca aydınlatılmalıdır.

Aydınlatma Metni Ne Zaman Zorunludur?

Kişisel veri işlenen her durumda aydınlatma yükümlülüğü kural olarak gündeme gelir. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, telefon numarası, e-posta adresi, IP adresi, kamera kaydı, özgeçmiş, sağlık bilgisi, konum bilgisi veya müşteri işlem bilgileri bu kapsama girebilir.

Aydınlatma, kural olarak kişisel verilerin elde edilmesi sırasında yapılmalıdır. Kişisel veriler doğrudan ilgili kişiden elde edilmiyorsa, Tebliğ’de belirtilen süre ve aşamalara göre ayrıca bilgilendirme yapılması gerekir. KVKK’nın yayımladığı Tebliğ’de, kişisel verilerin ilgili kişiden elde edilmemesi hâlinde makul süre içinde, iletişim amacıyla kullanılacaksa ilk iletişim sırasında, aktarım yapılacaksa en geç ilk aktarım sırasında aydınlatma yapılması gerektiği belirtilmektedir.

Aydınlatma Metninde Hangi Bilgiler Bulunmalıdır?

Aydınlatma metninde asgari olarak şu bilgiler yer almalıdır:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçlarla işleneceği,
• İşlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği,
• Kişisel veri toplamanın yöntemi,
• Veri işlemenin hukuki sebebi,
• İlgili kişinin KVKK kapsamındaki hakları.

Bu bilgiler genel, soyut ve her faaliyet için aynı kullanılan ifadelerle geçiştirilmemelidir. KVKK Kurumu, aydınlatma yapılırken muğlak ve genel ifadeler kullanılmaması, amaçların belirli, açık ve meşru olması, hukuki sebebin açıkça belirtilmesi ve metnin sade/anlaşılır dille hazırlanması gerektiğini belirtmektedir.

Aydınlatma Metni ile Açık Rıza Aynı Şey midir?

Aydınlatma metni ile açık rıza aynı şey değildir. Aydınlatma, ilgili kişinin bilgilendirilmesidir. Açık rıza ise belirli bir veri işleme faaliyetine ilişkin özgür iradeyle verilen onaydır.

Her veri işleme faaliyeti açık rızaya dayanmak zorunda değildir. KVKK’da sayılan veri işleme şartlarından biri mevcutsa açık rıza olmadan da veri işlenebilir. Ancak açık rıza gerekmeyen durumlarda dahi aydınlatma yükümlülüğü devam eder. Bu nedenle “açık rıza aldık, ayrıca aydınlatma metnine gerek yok” yaklaşımı doğru değildir.

Uygulamada yapılan hatalardan biri, aydınlatma metni ile açık rıza metninin aynı belge içinde ve ayrıştırılmadan sunulmasıdır. Açık rıza alınacaksa, ilgili kişinin hangi veri işleme faaliyetine açık rıza verdiği açık şekilde gösterilmeli; aydınlatma ise ayrı ve bilgilendirici nitelikte olmalıdır.

İnternet Sitesinde Aydınlatma Metni Yayınlamak Yeterli midir?

İnternet sitesinde genel bir KVKK aydınlatma metni yayınlamak çoğu durumda tek başına yeterli olmayabilir. Çünkü her veri işleme faaliyetinin amacı, hukuki sebebi, veri kategorisi ve aktarım alıcısı farklı olabilir.

Örneğin bir hukuk bürosu internet sitesinde iletişim formu, kariyer başvuru formu, çerezler, e-bülten aboneliği veya çevrim içi randevu sistemi kullanıyorsa her biri bakımından ayrı veri işleme süreçleri oluşabilir. Bu durumda genel bir “KVKK metni” yerine, veri işleme bağlamına uygun aydınlatma yapılması daha sağlıklı olur.

Aydınlatmanın ilgili kişiye fiilen erişilebilir şekilde sunulması gerekir. İnternet sitesinin alt kısmına görünmesi zor bir bağlantı eklenmesi, her olayda yeterli kabul edilmeyebilir. Somut veri işleme süreci ve ilgili kişinin metne erişim imkânı ayrıca değerlendirilmelidir.

Veri Sorumlusu Bakımından İspat Riski

Aydınlatma yükümlülüğünün yerine getirildiğini ispat yükü veri sorumlusuna aittir. Bu nedenle yalnızca metin hazırlamak değil, metnin ne zaman, hangi kişiye, hangi yöntemle sunulduğunu gösterebilecek kayıt mekanizması oluşturmak da önemlidir.

Elektronik formlarda zaman damgası, onay kutusu, log kaydı, başvuru formu versiyonu, kamera alanlarında görünür bilgilendirme tabelaları, çalışan süreçlerinde imzalı bilgilendirme belgeleri gibi uygulamalar somut olaya göre tercih edilebilir. Ancak her yöntem her faaliyet için uygun değildir.

Uygulamada Sık Yapılan Hatalar

KVKK aydınlatma metinlerinde sık görülen hatalar şunlardır:

• Her veri işleme faaliyeti için aynı genel metnin kullanılması,
• Hukuki sebebin açıkça belirtilmemesi,
• Aktarım yapılacak kişi veya alıcı gruplarının belirsiz bırakılması,
• Açık rıza ile aydınlatmanın karıştırılması,
• İşleme amaçlarının çok geniş ve geleceğe dönük belirsiz ifadelerle yazılması,
• Metnin ilgili kişiye veri elde edildikten sonra sunulması,
• Aydınlatmanın yapıldığını gösteren ispat mekanizmasının bulunmaması.

Bu hatalar idari yaptırım, şikâyet, veri güvenliği incelemesi ve itibar riski doğurabilir.

Sık Sorulan Sorular