Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Yükümlülüğü
Kasım 11, 2016
6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin bir biçimde kaydedildiği, depolandığı ve üçüncü kişilere aktarıldığı, diğer bir ifadeyle verilerin işlendiği kamu kesimi ve özel kesim için bir takım yükümlülükler getirilmiştir. Bu yükümlülüklerden biride Kanun’un 10’ncu maddesinde yer verilen “Aydınlatma Yükümlülüğü”dür. Bu çalışmada; anılan amir hüküm uyarınca hazırlanacak olan ‘aydınlatma Metni’nde dikkat edilmesi gereken hususlar açıklanmıştır.
1. GİRİŞ
Bilgi verme ödevinin veya bilgi alma hakkının en önemli olduğu alan kişiler hakkında isme bağlı olarak tutulan ve otomatik işleme tabi olarak tutulan bilgilerdir. Günümüzde gerek kamu kesiminde gerekse özel kesimde bilgisayar ile kişisel veriler tutulmakta ve işlenmektedir. İşleme tabi tutulan veri veya bilgiler kullanılarak yeni bilgiler ve değerlendirmeler çıkarılmaktadır. Bireyin, haberi olmaksızın gerçekleşen bu işlemler nedeniyle özgürlüğü tehdit altındadır.[1]
Bu görüşten hareketle kişisel verilerin belirli, hukuka uygun bir şekilde ve dürüstlük kuralları çerçevesinde tutulması, işlenmesi ve aktarılması işlemlerinden veri sahibinin bilgilendirilmesi gerekmektedir.
Kişisel verilerinin işlenmesi sırasında veri sahibinin bilgilendirilmesi, kişinin haklarını gerçek anlamda kullanabilmesine imkân verir.[2]
Bununla birlikte hukuk devleti olmanın gereklerinden biri de kişisel verilerin toplanması, işlenmesi ve kullanım amacı hakkında veri sahibinin bilgilendirilmesidir.
2010 yılında yapılan referandum sonrasında T.C. Anayasasının 20’nci maddesinde yapılan düzenlemede yer alan “kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme” hakkı ile veri sahibinin bilgilendirilme hakkı anayasal güvence altına alınmıştır.
7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) ‘Aydınlatma Yükümlülüğü’ başlıklı 10’ncu maddesi ile söz konusu anaysal güvence detaylandırılmıştır.
2. AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel Verilerin Korunması Kanunu çalışmalarında esas alınan temel belgelerden biri olan 1995 tarihli Avrupa Birliği ‘Kişisel Verilerin İşlenmesinde ve Bu Tür Verilerin Serbest Dolaşımında İlgili Bireylerin Korunması Direktifi’nde;
Veri sahibinin:
- veri denetçilerinin kimliği,
- veri işlemenin amaçları,
- verinin alıcıları,
- veriye erişimi,
- verinin düzeltilmesi,
Hususlarında bilgilendirilmesini şart koşar. Maddede ayrıca, “mantıklı aralıklarla sınırlama olmaksızın ve aşırı gecikme veya maliyet olmaksızın” veriş sahibinin kişisel verisinin işlenip işlenmediği ve kastedilen amaca uygun kullanılıp kullanılmadığı konularında veri sorumlularını bilgi sağlamakla yükümlü kılmaktadır.[3]
Benzer düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu 10’ncu maddesinde yapılmıştır. Söz konusu madde metninde;
Veri sorumlusu veya yetkilendirdiği kişinin, veri sahiplerine;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) Kanun’un 11’inci maddesinde sayılan hakları (öğrenme, bilgi talep etme, işlenme amacı, amaca uygun kullanımı, kişisel verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, veriler üzerinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, verilerin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.)
konusunda bilgi vermekle yükümlüdür.
3. AYDINLATMA METNİ
3.1. Aydınlatma Metninin Hazırlanması
Kanun’un ilgili maddesinde kamu kesimi veya özel kesim veya sivil toplum kuruluşu ayrımı yapmadığı için söz konusu amir hükmün tüm kesimleri ilgilendirdiği muhakkaktır.
Öte yandan, internet ortamında kullanılan pek çok donanım ve yazılım kişisel bilgileri topladığından ve değerlendirdiğinden, ilgili kişiyi bilgilendirme bu noktada daha da önem kazanmaktadır. Hiperbağlar (hyperlinks), çerezler (cookies) ya da tarayıcıların (browser) karşılıklı iletişiminde olduğu gibi çeşitli amaçlarla bu tip uygulamalar yapılmaktadır. Bu tür uygulamaların, servis sağlayıcılarının ilgili kişinin yapılan işlemi bildiğini kanıtlaması dışında, kullanıcının yeterli ölçüde bilgilendirilmediği durumlarda kabul edilmesi mümkün değildir.[4]
Veri Koruma Grubu’nun, internet yazılım ve donanımları tarafından gerçekleştirilen kişisel verilerin işlenmesiyle ilgili adlığı 1/99 sayılı Tavsiye Kararının yer aldığı https://ec.europa.eu./justice/policies/privacy/docs/wpdocs/1999/wp17en.pdf internet adresinde Hiperbağlar (hyperlinks), çerezler (cookies) ya da tarayıcılarda (browser) bilgilendirmenin nasıl yapılması gerektiğine dair örneklendirmeler olan açıklaması yer almaktadır.[5]
Kişisel verilerin internet ortamında kaydedilmesi, işlenmesi ve aktarılması daha kolay olduğundan ilk akla gelen internet ortamındaki kayıtlar olsa da, Bankalar, Sigorta şirketleri, Otomotiv bayileri, Hastaneler, Kargo Şirketleri başta olmak üzere küçük veya büyük ölçekli tüm şirketleri kapsadığı konusunda şüphe yoktur.
Bu bağlamda özel şirketlerin tüzel kişiliği –herhangi bir gerçek kişi bildirilmediyse- veri sorumlusu olarak ya da varsa yetkilendirdiği kişiler, veri sahiplerine Kanun’un emrettiği şartlara uygun bir şekilde bilgilendirme yapmalıdır.
Bilgilendirme yaptığı bu metnin ise veri sahibi tarafından ulaşılabilecek platformlarda bulunması gerekmektedir.
Konunun somutlaştırılması için örnek vermek gerekirse, kişisel sağlık verisi işlenen bireye, ilgili sağlık kuruluşunca Kanun’un 10’ncu maddesinde ifade edilen aydınlatma yükümlülüğü kapsamında kişisel sağlık verisinin hangi amaçla işleneceği, işlenen kişisel sağlık verisinin kimlere ve hangi amaçla aktarılabileceği, kişisel sağlık verisi toplamanın yöntemi ve hukuki sebepleri yanında, bilgi edinme, düzeltme, sildirme, itiraz hakkı gibi Kanunun 11’nci maddesinde sayılan diğer hakları konusunda bilgi verme yükümlülüğü bulunmaktadır. [6]
Kanun’un tümüyle uygulanmaya başladığı 7 Ekim 2016 tarihi itibariyle hemen hemen bütün bankalar bireysel bankacılık işlemleri esnasında, işlem yapan veri sahiplerini bir yönlendirme ile “Aydınlatma Metni”ne ulaşmalarını sağlamaya çalıştılar. Bankalar için çoğu kişisel verinin depolanması, işlenmesi ve aktarılması hususunda gerek 5411 sayılı Bankacılık Kanunu gerekse 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun cevaz verdiği için, veri sahibine kişisel verilerin bu kanunlar kapsamında depolandığı, işlendiği ve aktarıldığı belirtildi. Ancak veri sahibinin özellikle kredi kartı kullanım bilgilerinin muhafaza edilmesi ve kullanılması, kişisel bilgilerinin kamu kesimi dışında grup şirketleri veya üçüncü kişilere hangi maksatla aktarıldığı, bankalarında üçüncü kişilerce veri işlenip işlenmediği hususlarda çoğu banka yeterli bilgi paylaşımı yapamadı.
Benzer şekilde tüm özel sektörün İnsan Kaynakları Bölümleri ister ayrılsın ister halihazırda çalışanı olsun İş Kanunu 75’nci maddesi uyarınca özlük dosyası tutmakla yükümlüdür. Ayrıca şirketinin işe alım ilanlarına yapılan başvurular ile danışman şirketler aracılığıyla[7] ulaştırılan adayların kişisel bilgilerini muhafaza etmektedirler. Bu nedenle aslında bila istisna tüm özel kesimin Kanun’un 10’ncu maddesinde sayılan ilkeler doğrultusunda bir Aydınlatma Metnini hazırlayıp internet sayfalarında yayımlaması ve işyerlerinin görünür kısımlarında duyurması gerekmektedir.
Bunun dışında veri sorumlusunun ‘Aydınlatma Metni’nin sonunda veri sahibi için gerektiğinde Kanun’un 11’nci maddesindeki hakları için kendisiyle nasıl iletişime geçeceğine ilişkin olarak irtibat bilgileri vermesi gerekmektedir.
3.2. Aydınlatma Yükümlülüğünün İhlali
Kanun 18’nci maddesinin (a) fıkrasında, Kişisel Verilerin Korunması Kuruluna aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası kesme yetkisi vermektedir.
Burada dikkat çeken husus, Kanun’un genel anlamda ilk defa uygulanacağı için bu yaptırımın uygulanmasında hangi kriterlerin esas alınacağıdır. Bu konuda bir belirsizlik olması ve sigorta primi, maaş ödenmesi, tayin-terfi, işe alım, mahkeme dosyaları vb bir çok yerde kişisel verilerin kullanılıyor olmasından dolayı küçük veya büyük ölçekli tüm şirketlerin idari para cezası ile karşı karşıya kalmamaları için bir önce Aydınlatma yükümlülüklerine yerine getirmeleri oldukça önemlidir.
Dipnotlar:
[1] AKILLIOĞLU, Tekin: “Yönetimde Açıklık-Gizlilik ve Bilgi Alma Hakkı”, Ankara Üniversitesi Siyasal Bilgiler Fakültesi Dergisi, 1991, Sayı:3-4, Cilt:46, Syf:11.
[2] KÜZECİ, Elif: Kişisel Verilerin Korunması, Turhan Kitapevi, Ankara 2010, syf:212.
[3] GÜL, İbrahim – ALAGÖZ, İsmail: Kişisel Verilerin Korunmasına Yönelik İhlaller ve Uluslararası Düzenlemeler, Yargı Yayınevi, syf:35.
[4] KÜZECİ, Elif: Kişisel Verilerin Korunması, Turhan Kitapevi, Ankara 2010, syf:214
[5] https://ec.europa.eu./justice/policies/privacy/docs/wpdocs/1999/wp17en.pdf (Erşim Tarihi:3.11.2016)
[6] AKGÜL, Dr. Aydın: Danıştay ve AİHM Kararları Işığında Kişisel Verilerin Korunması, Beta Yayınevi, İstanbul-2016, Syf:254.
[7] Linkedin, kariyer.net, Head Hunter firmaları gibi.