Aydınlatma yükümlülüğü Kişisel Verilerin Korunması Kanunu (“Kanun”) Madde 10’da düzenlenmiştir. Sözü geçen maddeye göre veri sorumluları kişisel verileri işlerken ilgili kişileri belli konularda bilgilendirmekle yükümlüdür. Bu konular asgari olarak (i) veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) kişisel verilerin işlenme amacı, (iii) kişisel verilerin aktarılabileceği kişiler ve aktarılma amaçları, (iv) kişisel verilerin toplanma yöntemi ve hukuki sebebi ve (v) Kanun’un 11. maddesinde sayılan ilgili kişi haklarıdır.
Aydınlatma yükümlülüğüne dair daha detaylı düzenleme ise Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile yapılmıştır.
Aydınlatma Yükümlülüğü Ne Zaman Doğar?
Kişisel veri işlenen her durumda aydınlatma yükümlülüğü de doğmuş olur. Daha önce belirli bir amaç için işlenmiş olan bir kişisel veri farklı bir amaç için işlenecekse, veri sorumlusu ilgili kişiyi tekrar aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğünün olması gerektiği gibi yerine getirildiğinin ispat yükü veri sorumlusuna aittir.
Aydınlatma Yükümlülüğü İçin Uyulması Gereken Kurallar
Aydınlatma yükümlülüğünün amacının kişisel verileri işlenecek kişilerin işleme faaliyeti ile ilgili bilgilendirilmesi olduğu unutulmamalıdır. Dolayısıyla Kanun’da belirtilen unsurlar asgari unsurlar olarak değerlendirilip, gerektiğinde daha detaylı bilgi verilmelidir. Örneğin veri sorumlusunun veya temsilcisinin kimliği açıklanırken, iletişim bilgilerinin de verilmesi gerekir.
Aydınlatma metni içinde kişisel verilerin yurt içi ve/veya yurt dışında aktarıldığı kişilerin kimliği ve kişisel verilerin aktarılma sebebi açıklanmalıdır.
Aydınlatma metni, veri sorumlusunun kişisel verileri telefon görüşmesi veya web sitesindeki iletişim veya başvuru formunun doldurulması gibi hangi yöntem(ler)le elde ettiğini belirtmelidir.
En çok dikkat edilmesi gereken nokta aydınlatma yükümlülüğü yerine getirilirken ilgili metinde genel nitelikli ve muğlak ifadelerin kullanılmamasıdır. Örneğin, kişisel veri işlenmesi amacı olarak “size daha iyi hizmet verebilmek için” veya “yeni hizmetler geliştirmek için” gibi geniş açıklamalar kullanılması aydınlatma yükümlülüğünün amacına aykırıdır.
Kişisel Verilerin İşlenme Amacı
Kanun’un 5. maddesi kişisel verilerin işlenme şartlarını düzenler. Kişisel veriler ilgili kişinin açık rızası ile veya ilgili maddede belirtilen şartlardan birinin varlığı halinde ilgili kişinin açık rızası olmadan işlenebilir. Kanun’un 6. maddesi de özel nitelikli kişisel verilerin işlenmesi için şartları düzenler. Aydınlatma yükümlülüğünün yerine getirilmiş olması için kişisel verilerin Kanun’un 5. veya 6. maddesinde belirtilen hangi şart ile işlendiği açıkça belirtilmelidir.
Kişisel Verilerin Korunması Kurulu (“Kurul”) 8 Temmuz 2019 tarih ve 2019/206 sayılı kararında (“2019/206 Sayıl Karar”) kişisel verinin “ilgili mevzuattan kaynaklanan yasal yükümlülük çerçevesinden mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin” açıkça söylenmesi gerektiğini belirtmiştir.
2019/206 Sayılı Karar, “Veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı”nı da belirtmiştir. “Nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapması anlamına geleceği..” de aynı kararda belirtilmiştir.
Açık Rıza ve Aydınlatma Yükümlülüğü
Açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi birbirinden bağımsız iki işlemdir. Aynı işlem altında hem aydınlatma yükümlülüğünün ifa edilmesi hem de ilgili kişinin açık rızasının alınması yanlıştır. Şunu unutmamak gerekir ki, aydınlatma metnini okuyan ilgili kişi akabinde açık rıza vermemeyi seçebilir. Oysa ki aydınlatma yükümlülüğü ile beraber açık rızanın da talep edilmesi ilgili kişinin gerekli bilgilere erişmesi ile eş zamanlı olarak açık rızasını vermesi sonucunu doğurur.
Bu konuda Kurul’un 26 Temmuz 2018 tarih ve 2018/90 sayılı kararında (“2018/90 Sayılı Karar”) “Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir” denilmiştir.
2018/90 Sayılı Karar’da ayrıca “Aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması” gerektiği de belirtmiştir.