Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Yükümlülüğü ve Aydınlatma Metni Türleri
Umut Rojda Yıldırım
Son zamanlarda başta hukukçular olmak üzere özellikle şirketlerin dilinden düşmeyen, internette gezdiğiniz siteden tutun da iş başvurusu yaptığınız şirkete kadar karşımıza bir metin çıkıyor; Aydınlatma Metni. Peki nedir bu Aydınlatma Metni? Konunun öznesi tabii ki de 6698 sayılı Kişisel Verilerin Korunması Kanunu. 7 Nisan 2016 tarihinde hayatımıza giren Kanun, özellikle Avrupa Birliği tarafından Genel Veri Koruma Tüzüğünün kabul edilmesi ve Kanunda bahsedilen belirli uyumluluk sürelerinin bitmesiyle radarımıza hızlı bir şekilde girdi. Ancak ben öncelikle kişisel verilerin korunması ile alakalı ve kişisel verilerin tanımlandığı bir Anayasa Mahkemesi kararını hatırlatmak istiyorum.
Anayasa Mahkemesinin 2014/14187 Esas sayılı, 10.01.2018 tarihli Bireysel Başvuru Kararına göre;
37. Özel hayata saygı hakkı kapsamında korunan hukuksal çıkarlardan biri de bireyin mahremiyet hakkıdır. Ancak mahremiyet hakkı sadece yalnız kalma hakkından ibaret olmayıp bu hak, bireyin kendisi hakkındaki bilgileri kontrol edebilme hukuksal çıkarını da kapsamaktadır. Bireyin; kendisine ilişkin herhangi bir bilginin kendi rızası olmaksızın açıklanmaması, yayılmaması, bu bilgilere başkaları tarafından ulaşılamaması ve rızası hilafına kullanılamaması, kısaca bu bilgilerin mahrem kalması konusunda menfaati bulunmaktadır. Bu husus, bireyin kendisi hakkındaki bilgilerin geleceğini belirleme hakkına işaret etmektedir (Serap Tortuk, B. No: 2013/9660, 21/1/2015, §§ 31-32). Özel hayata saygı hakkının kapsamında olan bireylerin kişisel verilerinin korunması hakkı, Anayasa’nın 20. maddesinde açık olarak düzenlenmiştir.
38. Anayasa Mahkemesi kararlarında da belirtildiği üzere kişisel veri -belirli veya kimliği belirlenebilir olmak şartıyla- bir kişiye ait bütün bilgileri ifade etmekte olup adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgilerin değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgiler, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir (AYM, E.2014/74, K.2014/201, 25/12/2014; E.2013/122, K.2014/74, 9/4/2014; E.2014/149, K.2014/151, 2/10/2014; E.2013/84, K.2014/183, 4/12/2014; E.2014/180, K.2015/30, 19/3/2015; Bülent Kaya[GK], B. No: 2013/2941, 11/5/2016, § 49).
Tarih olarak 6698 sayılı Kanun’dan önce yayımlanan kararda da belirtildiği üzere kişisel verilerin korunması sadece düşündüğümüz gibi ucu özellikle ticari işlemlere ve işletmelere dokunacak bir husus değildir. Kişisel verilerin korunması doğrudan doğruya kişinin Anayasanın 20.maddesinde korunan mahremiyet hakkı ile ilgilidir. Günümüz internet çağının gereklerinden biri olarak ne kadar çevrimiçi olursak aslında o kadar mahremiyetimizden fedakârlık ediyoruz. Bu fedakarlığın bir kısmı sözleşmelerin ifası için zorunlu olsa da büyük bir kısmı aslında kişisel verilerin, 21.yüzyılın petrolü olarak adlandırılmasından ötürü çoğu zaman pazarlama, Big Data, kitle kontrolleri vb. için kullanılır. 2018 yılında Amerika Birleşik Devletleri’nde ve İngiltere’de ortaya çıkan ‘‘Cambridge Analytica’’ veri şirketinin ihlaline göre, anılan şirket usulsüz olarak Facebook üzerinden elde ettiği ve profillere ayırdığı milyonlarca kişisel veriyi seçim kampanyalarında kullanılmak üzere Başkanlık adaylarına satmıştır. Bu sayede özellikle sosyal paylaşım sitesi Facebook üzerinden, önceden profillere ayrılmış kullanıcılara, politik görüşleri doğrultusunda ilgili adayların reklamları gösterilmiştir. Analistler, bu veri ihlalinin seçimlerin sonuçlarını ciddi ölçüde etkilediğini ileri sürmüştür. Facebook CEO’su Mark Zuckerberg anılan ihlal ve sonuçlarından dolayı Amerikan Kongresi tarafından sorguya çekilmiştir. Ayrıca Facebook’a, ABD Federal Ticaret Komisyonu tarafından 5.000.000.000 USD para cezası verildi. Bunun yanında yapılan anlaşmanın gerekliliklerine göre, Facebook gizlilik önlemlerini arttıracak, anlaşmaya sağlanan uyumu göstermek için 3 aylık raporlar sunulacak ve bağımsız bir denetim kuruluna sahip olacak.
1995 yılında Avrupa Birliği’nin uygulamaya koyduğu Kişisel Verilerin Korunması Direktifinin (Direktif 95/46/EC) ardından, kişisel verilerin serbestçe dolaşımını ve işlenmesini kurallara bağlayan ve mahremiyeti koruyacak uygulamaları garanti altına alan, daha kapsamlı bir mevzuat olan Genel Veri Koruma Tüzüğü (GPDR) Avrupa Parlamentosu’nda onandıktan sonra 2018 yılında hayata geçmiştir. İlgili mevzuat, kişisel verileri işleyecek kişilerin sorumluluklarından, hukuki tedbirlere, cezalara, ülkeler arası veri transferindeki tedbirlere, denetleyici otoritelere kadar geniş kapsamda uygulamaları içermektedir. Kişisel verilerin işlenmesi bakımından güvenilir ülkeler statüsünde yer alabilmek için ülke içi uygulamalar kritik bir hale gelmiştir.
Peki 2016 yılından önce Türkiye, kişisel verilerin korunması alanında ne durumdaydı?
Öncelikle belirtmek gerekir Türk Ceza Kanunu madde 135 vd. hükümler kişisel verilerin kaydedilmesi, hukuka aykırı olarak ele geçirilmesi alanlarını cezai olarak düzenlerken aynı zamanda 243 vd. maddeler ise bilişim sistemine girme suçlarını düzenler.
Bunun dışında 7 Mayıs 2010 tarihli Anayasa değişikliği referandumu ile özel hayatın gizliliği başlıklı 20.maddeye şu fıkra eklenmiştir;
(Ek Fıkra: 7.5.2010 5982/2) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 neredeyse bütün maddeleriyle birlikte yürürlüğe giren Kişisel Verilerin Korunması Kanunu, 6 ay ertelenen maddeleri neticesinde 7 Ekim 2016 ile tamamen yürürlüğe girdi.
Bunun yanında Kanun’un 19.maddesi uyarınca Kişisel Verileri Koruma Kurumu kurulmuş olup, Kurum aktif olarak faaliyete geçtiği günden itibaren yayımladığı rehberler, kararlar ile alana yön vermektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, 24.03.2016 tarihinde kabul edilmiş olup kanunun 10.maddesine göre veri sorumlusu aydınlatma yükümlülüğü kapsamında veri ilgilisi kişilere;
kendi kimliğini, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebini ve son olarak veri ilgili kişisinin Kanun’da sayılan hakları konusunda bilgi vermekle yükümlü tutulmuştur.
Anılan hükme göre, veri sorumlularının yayımladıkları metinlere biz Aydınlatma Metni diyoruz.
Aydınlatma Yükümlülüğü, veri sorumlususun, veri ilgili kişisini, veri işleme faaliyetinin kapsamı konusunda bilgilendirmesinden ibarettir. Ancak bu yükümlülük atlanamayacak kadar önemlidir zira aydınlatma yükümlülüğü, veri ilgili kişisinin isteğine bağlı değildir. 6698 sayılı Kanun kapsamında getirilen zorunlu bir yükümlülüktür. Aydınlatma metinleri, bu bağlamda veri ilgili kişisinin hangi verilerinin hangi hukuki sebebe dayanarak nasıl işlendiğini öğrenmesine olanak tanır. Kurul yayımladığı tebliğde, aydınlatma yükümlülüğünün usul ve esaslarını belirtmiştir.
10 Mart 2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5.maddesine göre;
Usul ve esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c) (Mülga:RG-28/4/2019-30758)
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kurul, yayımladığı tebliğ ile aslında biz uygulayıcılara çok açık ve net bir biçimde Aydınlatma Metinlerinden bulunması gerekenleri sıralamıştır. Tebliğ ile paralel olarak yakın tarihli bir Kurul kararında da aydınlatma yükümlülüğünün önemi vurgulanmıştır.
Kişisel Verileri Koruma Kurulunun 2020/173 sayılı ve 27.02.2020 tarihli kararı
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci bendinin f fıkrasına göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.”
Veri sorumlusunun internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri (“Amazon”), Amazon.com.tr (internet sayfası) ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak “Amazon Hizmetleri”) ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.
Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Bu durumda sitede gerekli metinlere yer verildiği savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmak mümkün değildir. Siteyi ilk defa ziyaret eden bir kişinin daha veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Farklı veri işleme araçları kullanılarak site ziyareti ile veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.
6698 sayılı Kanun her ne kadar bize aydınlatma metni türleri gibi bir ayrım yapmasa da uygulamada çok fazla rastladığımız belirli aydınlatma metni türlerini sıralayabiliriz.
İnternette gezinirken en çok karşımıza çıkabilecek metinlerden biri Web Siteleri İçin Aydınlatma Metinleridir.
Bu aydınlatma metinleri, genel olarak web sitesi ziyaretçilerinin ve kullanıcılarının, siteyi kullanmakla beraber işlenen, işlenebilecek kişisel verileri hakkında aydınlatma yükümlülüğünü yerine getirir. Bu metinler daha çok çerez politikaları hakkında kullanıcılara bilgi vermekle birlikte, web sitesinde sunulan hizmetlerin ifasına yönelik toplanan kişisel verilerinden hangileri olduğu, hangi amaçla işlendiğini kullanıcılara bildirir. Web Siteleri İçin Aydınlatma Metinleri hakkında Kurul’un eleştirdiği en önemli nokta verilen açık rızanın, hizmetin sağlanmasına yönelik bir şarta bağlanması neticesinde veri ilgili kişisinin yani kullanıcıların, özgür iradeleriyle aydınlatılma yükümlülüğü yerine getirilmeden açık rıza vermelerine sebep olmasıdır. Belirtmek gerekir ki Kurul verdiği kararlarda belirttiği üzere bu şekilde verilen rıza, açık rıza olarak değerlendirilemez.
Herhangi bir etkinliğe veya organizasyona katılmakla beraber aslında düzenleyicilere belirli bir takım kişisel verilerimizi de ister istemez vermiş oluruz. Bunun karşısında organizasyon ve etkinlik düzenleyicilerinin ise bizim bu kişisel verilerimizi nasıl işlediklerine ilişkin aydınlatma yükümlülükleri hala bakidir. Örneğin bir konser organizasyonu tarafından bilet alan izleyicilerin finansal tercihlerinden tutun da yaş, cinsiyet vs. verileri işlemesi mümkündür. Bu verilerin işlenmesinin dayanaklarından biri de aydınlatma yükümlülüğünün yerine getirilmesidir.
Çalışanlar, iş veya hizmet sözleşmesi ile bağlı oldukları şirketlerine birçok kişisel verilerini verirler. Kimi sözleşmenin ifası için mecburidir; örneğin kimlik numarası, adres bilgisi, iletişim bilgileri. Kimileri ise şirketlerin insan kaynakları politikaları doğrultusunda toplanır. Çalışanların şirketler tarafından aydınlatılma yükümlülükleri, yapılan iş sözleşmesine veya hizmet sözleşmesine sığdırılamaz. Aydınlatma yükümlülüğü, çalışanın özgür iradesiyle açık rıza vermesine olanak sağlayabilecek ölçüde olmalıdır.
Çalışan adayları belki de yüzlerce firmaya iş başvurusunda bulunarak özgeçmişlerinde yer alan kişisel verileri paylaşmaktadır. Bu noktada şirketlerin eğer özgeçmiş havuzu gibi insan kaynakları operasyonları varsa mutlaka çalışan adaylarını aydınlatma yükümlülükleri bulunmaktadır.
Grup şirketleri, şirket topluluğu ya da holdingler Türk Ticaret Kanunu 195.maddesine göre kurulmaktadır. Bu şirketler, birden fazla şirketin aynı çatı altında varlık göstermesi şeklinde hayat bulur. Grup şirketleri eğer veri işleme politikası olarak, her bir şirket nezdinden toplanan kişisel verilerin grup şirketleri bünyesinde işleneceğini belirlemişlerse, şirketlerden herhangi biriyle etkileşimde bulunan veri ilgilisi kişilerin bu hususta aydınlatılması gerekmektedir. Veri ilgili kişisinin, kişisel verilerinin hangi şirketler tarafından işlenebileceğini bilmesi gerekir.
Ziyaretçi veri ilgili kişisi, aslında veri sorumlusuyla herhangi bir kanuni faaliyette bulunmamasına rağmen sırf ziyaret fiili nedeniyle bile bir takım kişisel verilerini veri sorumlusuyla paylaşmış olabilir. Örneğin, bir şirkete yaptığınız ziyaret öncesinde resepsiyonda kişisel verilerinizin bir kısmını vererek elde ettiğiniz ve şirketten ayrılırken geri verdiğiniz ziyaretçi kartları bunun tipik örneğidir. Veri ilgilisinin, bu durumda hangi verilerinin ne amaçla işlendiğini öğrenmesini aydınlatma yükümlülüğünün yerine getirilmesi ile ancak mümkün olabilir. Belirtmek gerekir burada veri sorumlusunun ölçülü davranması gerekmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu ile hayatımıza giren Aydınlatma Yükümlülüğü ve devamında Aydınlatma Metinleri, veri sorumluları açısında hayati derecede önemli durumda. Kişisel verilerin korunması yolculuğunun ilk adımı olan aydınlatma metinleri, sürecin kalanının ne kadar kanuna uygun ilerleyeceği konusunda bize yol gösterici olmakta. Veri ilgili kişileri bakımından ise aslında belki de hiç okumadan kabul ettikleri aydınlatma metinlerinin günlük hayatlarını ne kadar çok etkileyebileceğine dair bilinç oluşturmak çok önemli. Mahremiyetimiz, hiç olmadığı kadar değerli ve bir o kadar gündemde. Alanın sadece hukukçular tarafından değil özellikle sosyologlar, veri bilimcileri tarafından mutlaka incelenmesi gerek.
KAYNAKÇA
