Menü Kapat

KVKK ve GDPR Çerçevesinde Veri Sorumlusunun Aydınlatma Yükümlülüğü

A. GİRİŞ

Veri biliminin günlük hayattaki kullanım alanları her geçen gün artmaktadır. Bu artışla beraber veri toplama ve işleme süreçlerinde çeşitli sorunlarla karşılaşılmaktadır. Bu sorunların giderilmesi ve bu süreçlerin kontrol edilmesi adına çeşitli hukuki düzenlemeler getirilmiştir. Bu düzenlemelerle sürecin taraflarına -ilgili kişi, veriyi toplayan, veriyi işleyen- bazı yükümlülükler getirilmiş ve bazı haklar tanınmıştır. Bunların arasında “veri sorumlusunun aydınlatma yükümlülüğü” de yer almaktadır. Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) başta olmak üzere kişisel verilere yönelik mevzuatlarda düzenlenen yükümlülük, veri sorumlusuna bilgilendirme yükümlülüğü tanımakla beraber veri sahibine de veriyle ilgili bilgilendirilme hakkı tanımıştır. Düzenlemeler arası değişiklikler olabilse de neredeyse her düzenlemede bu yükümlülük düzenlenmiştir ve bu durum veri işleme süreçlerinin hukuka uygun hale getirilmesi konusunda bir vazgeçilmez olmuştur.

B. VERİ SORUMLUSU VE VERİ İŞLEYEN

  1. Veri Sorumlusu ve Veri İşleyen Kimdir?

Veri toplama ve işleme süreçlerinde temel olarak iki taraf vardır: verinin alındığı taraf ve veriden faydalanan taraf. Veriden faydalanan taraf, veri sorumlusu olarak adlandırılır. Veri sorumlusu, toplanan kişisel verilerin ne amaçla işleneceğine veya hangi işlevde kullanılacağına karar veren, veri kayıtlarından ve veri kayıt sisteminden sorumlu olan gerçek veya tüzel kişiler için kullanılan bir kavramdır.

Veri sorumlusu kendisi kişisel verileri işleyebileceği gibi bu işlem için bir başka gerçek veya tüzel kişiyi de görevlendirebilir. Veri sorumlusu adına ve veri sorumlusunun talimatları doğrultusunda kişisel veri işleme faaliyetinde bulunan kişiler veri işleyen olarak adlandırılır.

  1. Veri Sorumlusu ve Veri İşleyen Arasındaki Ortaklıklar ve Farklılıklar

Hukuki konumlarının anlaşılması açısından veri sorumlusu ve veri işleyenin kim olduğu hususu önem arz etmektedir. Zaman zaman farklı kişiler bu konumlarda yer alsalar da bir gerçek veya tüzel kişi aynı anda iki rolü de üstlenebilir. Bu nedenle bu iki kişi arasındaki ortaklıklara ve farklılıklara dikkat edilmelidir.

Öncelikle, ikisi de kanunun hukuki yükümlülüklerini belirlemek amacı güderek belirlediği statülerdir. Bu statülerde veri işleme faaliyetinde görev alan sorumlu kişi değil, tanımda verilen özellikleri karşılayan gerçek veya tüzel kişilik kastedilir. Ayrıca bu kişiler, aynı zamanda hem veri işleyen hem de veri sorumlusu konumunda olabilirler.

Veri işleyenle veri sorumlusu arasındaki farka bakıldığında ilk ayırt edilebilen yaptıkları faaliyetlerdir. Veri işleyen, veri işlemenin daha teknik kısımlarıyla ilgili faaliyetler yürütürken veri sorumlusu süreçle ilgili kararları almaya yetkili olan, verilerin ne amaçla kullanılacağını ve nasıl kullanılacağını belirleyen kişidir. Örneğin; veri sorumlusu toplanacak kişisel veri türlerine ve toplanan verilerin paylaşılıp paylaşılmayacağına karar verirken veri işleyen hangi bilgi teknoloji sistemlerinin kullanılacağına veya alınacak güvenlik önlemlerine karar verebilir.

C. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

  1. KVKK Kapsamında Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı

KVKK’nın “Haklar ve Yükümlülükler” başlıklı üçüncü bölümünde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. 10. maddede veri sorumlusunun, veri sahibini bilgilendirmekle yükümlü olduğu konular sayılmıştır. Bunlar arasında veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işleneceği amaç, kişisel verilerin işlendikten sonra kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yolları ve hukuki dayanağı yer alır. Ayrıca veri sorumlusunun KVKK madde 11’de sayılan haklar konusunda da bilgi vermekle yükümlü olduğu belirtilmiştir. “İlgili kişinin hakları” başlıklı 11. maddede, veri sahibinin veri sorumlusuna başvurarak öğrenebileceği bilgiler düzenlenmiştir. Bunlar arasında kişisel verinin işlenip işlenmediğini öğrenme, kişisel veri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde ya da yurt dışında kişisel verilerin aktarıldığı üçüncü kişilerin kimlikliklerini bilme, kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilmesini isteme gibi haklar yer almaktadır.

KVKK, aydınlatma yükümlülüğü veri sahibinin onayına tabi olmayan bir yükümlülüktür. Tek taraflı şekilde gerçekleştirilmesi yeterlidir. Ancak bu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna aittir.

     a. KVKK Çerçevesinde Aydınlatma Yükümlülüğüne Getirilen İstisnalar

KVKK’nın 28. maddesinde veri sorumlusunun aydınlatma yükümlülüğüne dair istisnalar getirilmiştir. İlk fıkrada sayılan durumlar genel olarak kamu düzeni, milli güvenlik ve ekonomik güvenliği ilgilendiren durumlar olarak karşımıza çıkmaktadır. Örneğin; c bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.” durumunda kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Benzer şekilde ç bendinde de “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” de aydınlatma yükümlülüğüne dair hükümlerin uygulanmayacağı haller arasında sayılmıştır. Ayrıca d bendinde “soruşturma, kovuşturma yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” durumu da yargının işleyişini ve kamu düzenini korumak adına istisnai bir durum olarak düzenlenmiştir.

Maddenin ikinci fıkrasında da aydınlatma yükümlülüğünün aranmadığı birtakım hallere yer verilmiştir. Bu durumlar gerçekleştiği zamanlarda aydınlatma yükümlülüğünün yerine getirilmesine gerek yoktur. Bu durumlar oldukça sınırlıdır. Örneğin; kişisel verilerin işlenmesi suç işlenmesinin önlenmesi veya suç soruşturması için zorunluysa aydınlatma yükümlülüğüne dair hükümler uygulanmaz. Benzer şekilde kanunun verdiği yetkiyle donatılmış görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının, denetleme veya düzenleme görevlerini yerine getirmek ve disiplin soruşturma veya kovuşturması için kişisel verinin işlenmesine gerek duyması da hükmün uygulanmadığı istisnai haller arasındadır. Ayrıca, kişisel verinin kişi tarafından alenileştirilmiş olması durumunda da aydınlatma yükümlülüğü aranmaz.

  1. GDPR Kapsamında Veri Sorumlusunun Aydınlatma Yükümlülüğü

GDPR çerçevesindeki aydınlatma yükümlülüğü bir ayrıma tabi tutulmuş ve iki maddede düzenlenmiştir. Bu ayrım verinin toplanma şekline bağlı bir ayrımdır. Eğer veri direkt veri sahibinden elde edildiyse “Information to be provided where personal data are collected from the data subject[1]” başlıklı 13. madde; veri direkt olarak veri sahibinden elde edilmemiş ise “Information to be provided where personal data have not been obtained from the data subject[2]” başlıklı 14. Maddenin uygulanması söz konusu olacaktır. Aydınlatma yükümlülüğünün sağlanması gereken başlıklar açısından çoğunlukla benzerlikler söz konusu olsa da küçük nüanslar da yer almaktadır. 13. maddedeki düzenlemeye göre veri sahibi; veri sorumlusunun veya onun temsilcisinin kimlik ve iletişim bilgileri, varsa veri koruma memurunun iletişim bilgileri, kişisel verinin işlenme amacı ve sürecin hukuki temelleri, kişisel veriye ulaşabilecek kişiler ve veri sorumlusunun kişisel veriyi üçüncü taraflara (bir ülke veya uluslararası organizasyon) aktarma niyeti hakkında bilgilendirilmelidir. 14. maddede de 13. maddede belirtilen bilgilerin veri sahibine sağlanması yönünde düzenleme yapılmıştır.

GDPR’da KVKK ile benzer şekilde kişisel verilerin işlenme amacı ve üçüncü taraflara aktarılması hususlarında aydınlatma yükümlülüğü düzenlenmiştir. Ancak KVKK’dan farklı olarak kişisel veriyi işleyen kişilerin ve eğer varsa veri korumakla görevli memurun bilgilerinin veri sahibine aktarılması da aydınlatma yükümlülüğü çerçevesinde düzenlenmiştir. Bu noktada KVKK çerçevesinde veri korumakla görevlendirilmiş özel bir memurdan söz edilmediğini de belirtmek gerekir.

GDPR çerçevesindeki düzenlemelerde veri işleme sürecine verilen önem de ayrıca görülmektedir. Aydınlatma yükümlülüğünü düzenleyen her iki maddede de sürece yönelik düzenlemeler yapılmıştır. Bu düzenlemeler veri sahibi açısından adil ve transparan bir veri işleme sürecinin işletilmesine yöneliktir. Amaçlanan bu süreç için gerektiğinde sağlanması gereken ek bilgiler maddelerde belirtilmiştir. Bu düzenlemelere göre veri sahibi; kişisel verinin saklanacağı süre veya bu süre belli değilse bu süreyi belirlemek için kullanılacak ölçüt, rızanın geri alınması hakkının varlığı, bir denetim makamına şikayette bulunma hakkı ve otomatik karar veren bir sistemin varlığı halinde sistemin mantığı ve veri sahibinin karşılaşabileceği sonuçlar hakkında bilgilendirilmelidir.

Maddelerde düzenlenen bir başka durum ise kişisel verinin toplandığı amaç dışında bir başka amaç için kullanılması durumudur. Normal şartlarda, veri işleme sürecinde elde edilen kişisel veriler belli bir amaç için toplanır. Veri sorumlusu, veri sahibini bu amaç ile ilgili olarak bilgilendirmekle yükümlüdür. GDPR’da yer alan düzenlemeye göre, eğer veri sorumlusu veya veri işleyen, kişisel veriyi belli olan amaç dışında başka bir amaçla kullanmak niyetinde olursa veri sahibini yeni amaçla ilgili bilgilendirmekle ve veri sahibi açısından adil ve transparan bir veri işleme sürecinin işletilmesine yönelik olan ilgili bilgileri sağlamakla yükümlüdür.

     a. GDPR Çerçevesinde Aydınlatma Yükümlülüğüne Getirilen İstisnalar

GDPR düzenlemelerinde aydınlatma yükümlülüğünün gerekmediği haller de düzenleme altına alınmıştır. 13. maddeye göre eğer veri sahibi sağlanması gereken bilgilere çoktan sahipse aydınlatmaya dair düzenlemeler uygulanmaz. 14. maddede de aynı düzenleme yer almaktadır ancak bunun yanında daha farklı istisnai durumlar düzenlenmiştir. Örneğin; gerekli bilginin sağlanması imkansızsa veya aydınlatma yükümlülüğünün sağlanması veri işlemenin amaçlarına ulaşılmasını imkansızlaştıracak veya ciddi şekilde bozacaksa maddede yer alan düzenlemeler uygulanmaz.

KVKK ile benzer olarak GDPR’da de kişisel verilerin yasal gizlilik yükümlülükleri açısından gizli tutulması gerektiği durumlarda da aydınlatma yükümlülüğüne dair hükümlerin uygulanmayacağı düzenlenmiştir. Ancak GDPR’da bahsedilen yasal gizlilik yükümlülükleri Avrupa Birliği tarafından düzenlenebileceği gibi üye devletlerin ulusal mevzuatları tarafından da düzenlenebilir.

D. SONUÇ

Veri biliminin her geçen gün daha da geliştiği bir dünyada yaşamaktayız. Hayattaki kullanım alanları arttıkça toplanan verilerin miktarı da önemi de artmaktadır. Bununla beraber karşılaşılan sorunlar da artış göstermektedir. Bu nedenle verilen toplanması ve işlenmesi süreçlerine dair hukuki düzenlemeler yapılmış ve bu süreçlerin hassasiyetle yürütülmesi amaçlanmıştır. Bu çerçevede veri sorumlusunun aydınlatma yükümlülüğüne dair düzenlemeler bulunmaktadır. Veri sorumlusunun belli hususlarda veri sahibini bilgilendirmesi zorunluluğu olarak karşımıza çıkan bu yükümlülük, veri sahibine de toplanan veriyle ilgili bilgilendirilme talebinde bulunma hakkı tanımaktadır. KVKK ve GDPR başta olmak üzere, kişisel verilere dair düzenlemelerde yer alan aydınlatma yükümlülüğü, veri süreçlerinin sağlıklı, adil ve şeffaf bir şekilde gerçekleşebilmesi için bir gereklilik haline gelmiştir.

Yararlanılan Kaynaklar

[1] Anonim, ‘Art. 13 GDPR Information to be provided where personal data are collected from the data subject’ (?) < https://gdpr-info.eu/art-13-gdpr/>  Erişim Tarihi 28 Temmuz 2021

[2] Anonim, ‘Art. 14 GDPR Information to be provided where personal data have not been obtained from the data subject’ (?) < https://gdpr-info.eu/art-14-gdpr/> Erişim Tarihi 28 Temmuz 2021

[3] Anonim, ‘İlgili Kişinin Hakları’ (?) < https://www.kvkk.gov.tr/Icerik/2036/Ilgili-Kisinin-Haklari> Erişim Tarihi 28 Temmuz 2021

[4] Anonim, ‘Aydınlatma Yükümlülüğü’ (?) < https://www.kvkk.gov.tr/Icerik/2033/Aydinlatma-Yukumlulugu-> Erişim Tarihi 28 Temmuz 2021