Veri Sorumlularının Aydınlatma Yükümlülüğü ve KVKK Kurul Kararları

Kişisel verilerin korunması kavramı, gerek teknoloji ile birlikte veri işleme faaliyetinin artmasının barındırdığı riskin artması gerekse de birey açısından kişisel verilerinin işlenmesinin barındırdığı risk sebebiyle önem arz etmektedir. Bu önem nedeniyle kişisel verileri işlenen kişilerin haklarını ve veri işleyen kişilerin sorumluluklarının düzenlenmesi amacıyla 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılında yürürlüğe girmiştir.

Bu Kanunun getirdiği yükümlülükleri yerine getirmesi için veri sorumlusu kavramı gündeme gelmiştir. KVKK’ da veri sorumlusu, ‘‘kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’’ olarak tanımlanmıştır.

Veri sorumlusun kişisel verilerin korunması açısından önemli bir yere sahip olduğu söylenebilir. Çünkü veri sorumlusunun en temel yükümlülüğü kişisel verilerin korunması kapsamında hukuk kurallarına uygun hareket etmektir. Bu yönü ile veri sorumlusu hem verisi işlenen kişinin hem de Kişisel Verileri Koruma Kurumu’nun doğruda muhatabıdır. Bu Kanun kapsamında veri sorumlusunun kişisel verilerin korunması amacıyla bazı yükümlülükleri doğmuştur.

Veri sorumlusunun hem işleme faaliyetini Kanun’a uygun olarak gerçekleştirmesi hem de işleme faaliyetini temel bazı prensiplere uygun olarak gerçekleştirmesi gerekecektir. Aksi halde gerçekleştirilen veri işleme faaliyeti hukuka aykırı hale gelecek ve veri sorumlusunun sorumluluğu gündeme gelecektir. Veri sorumlusuna KVKK’ ya göre genel ilkeler dışında bazı yükümlülükler getirilmiştir.

Veri sorumlusunun aydınlatma yükümlülüğü

Kanunun 10. maddesi kapsamında veri sorumlusu, kişisel verilerin elde edildiği esnada bizzat veya yetkilendirdiği kişi vasıtasıyla “Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer hakları” konularında ilgili kişileri aydınlatmakla yükümlüdür.

Veri sorumlusunun madde metninde belirtilen konular dışında aydınlatma yapması aydınlatma yükümlülüğünü yerine getirmemiş olarak sayılmasına sebep olacaktır.

Aydınlatma yükümlülüğü veri sorumlusu açısından bir yükümlülük; verisi işlenen kişiler açısından ise bir hak niteliğindedir. Veri sorumlusu veya yetkilendirildiği kişinin aydınlatma yükümlülüğünü sözlü, yazılı, çağrı merkezi aracılığıyla ses kaydı gibi fiziksel veya elektronik ortam kullanarak yerine getirebileceği belirtilmiştir. Ancak aydınlatma yükümlülüğünün ispat yükü veri sorumlusuna ait olduğundan bilgilendirmenin sözlü yapılması ispat açısından sorun teşkil edebilir.

Bunlar özet olarak, veri sorumlusunun bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, verisi işlenen kişinin haklarıdır.

İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir. Burada verisi işlenen kişi gruplarına yönelik ayrı ayrı aydınlatma yapılması önerilmektedir. Örnek olarak müşteriler için ayrı, çalışanlar için ayrı aydınlatma metinleri hazırlanmalıdır.

Veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesinin bazı yaptırımları olmaktadır. Bu yaptırımlara örnek olarak KVKK resmî sitesinde yayınlanan Kurul Karar Özetleri örneklerini inceleyebiliriz.

“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti

"…yapılan başvuruda ilgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı, verilerin işlenme ve saklanma süreçleriyle ilgili bilgi verilmediği, çalışanın talebinden sonra çalışanların bordro bilgilerinin ve disiplin süreçleriyle ilgili bilgilerin bir yazılım programında tutulduğunu ancak bu programa kimlerinin erişebildiğiyle ilgili bilgi verilmediğini, çalışanlardan Çalışma Muvafakatnamesi alındığı ancak yeterli bilgi verilmediği yönünde şikayette bulunulmuştur. Veri sorumlusunun hukuka aykırı uygulamaları sebebiyle gerekli yaptırımların uygulanması talep edilmiştir.

….veri sorumlusunun açıklamaları doğrultusunda, çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden; Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği değerlendirmelerinden hareketle veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası; ayrıca ölçülülük ilkesi ve idari/teknik tedbirleri almamasından yola çıkarak da 200.000 TL daha idari para cezası uygulanmasına karar vermiştir."

Kanunda açıkça öngörülmedikçe açık rıza alınmaksızın özel nitelikli kişisel verilerin işlenmesi ve aktarılması yasaktır. İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.

“İlgili kişinin yaptığı başvuruyu cevaplandırmayan ve internet sitesi üzerinden yayımladığı aydınlatma metni mevzuatta düzenlenen şartları taşımayan T.C. Ziraat Bankası A.Ş. hakkında” Kişisel Verileri Koruma Kurulunun 02/05/2019 tarihli ve 2019/122 sayılı Karar Özeti

''6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinde belirtilen hakları kapsamındaki taleplerini içeren kayıtlı elektronik posta (KEP) aracılığıyla veri sorumlusu T.C. Ziraat Bankası A.Ş.ye (Banka) başvuran ancak, Kanunda düzenlenen otuz günlük süre içerisinde başvurusu cevaplandırılmayan ilgili kişinin gerek bu konuda gerekse veri sorumlusunun, internet sitesi üzerinden yayımladığı aydınlatma metninin mevzuatta düzenlenen şartları taşımadığı hususunda Kuruma yapılan şikâyet başvurusu hakkında;

Şikâyete konu hususlarda açıklamalarına başvurmak üzere Bankaya gönderilen Kurum yazısının “İŞYERİNDE AMİRİNE TESLİM” açıklamasıyla Bankaya teslim edildiği görülmekle birlikte, söz konusu Kurum yazısına bugüne kadar herhangi bir cevap vermeyen Banka nezdinde, Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde ihlale sebebiyet veren sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına;

''...İlgili kişinin kanunun uygulanmasına yönelik taleplerine ilişkin Banka tarafından cevap verilmesi; ayrıca mevzuat hükümlerine uyumda gerekli dikkat ve özenin gösterilmesi hususunda bankanın talimatlandırılmasına;

Bankanın internet sitesinde yer alan aydınlatma metninde, Bankanın kişisel veri işleme amaçlarının, ilgili kişilerin kişisel verilerinin Kanunun 5 inci ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğine yönelik hukuki sebep açıkça belirtilmeksizin sıralandığı; kişisel veri işleme amaçları sıralandıktan sonra metin içerisinde yer verilen “…gibi amaçlar kapsamında işlenmektedir” ifadesinin ise, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandırır nitelikte olduğu; bu çerçevede söz konusu aydınlatma metninin “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde

Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 5 inci maddesinin birinci fıkrasının (g) ve (h) bentlerinde yer verilen hükümlere uygun hazırlanmaması nedeniyle, Bankanın internet sitesinde yer alan aydınlatma metninin yeniden gözden geçirilerek Tebliğ hükümlerine uygun hale getirilmesi yönünde talimatlandırılmasına karar verilmiştir.''

Veri sorumlusunun Kanunun belirttiği süre içerisinde ilgili başvuruya cevap verme yükümlülüğüne ve aydınlatma yükümlülüğüne uymadığı görülmektedir.

İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.

“Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Karar Özeti

''….ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13 üncü maddesine istinaden yaptığı başvurunun cevapsız kaldığı iddialarına ilişkin Kuruma intikal eden dilekçeye istinaden veri sorumlusunun savunması istenilmiş…''

''Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5 inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına...''

''…..müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanuna göre sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12 inci maddesi hükümlerine uymadığı kanaatine varılarak 100.000 TL idari para cezası uygulanmasına…''

Aydınlatma yükümlülüğünü usul ve esaslara uygun bir şekilde yerine getirmek veri sorumlularının başlıca görevlerindendir. Aydınlatma yükümlülüğünün yerine getirilmiş olması için veri işleme faaliyeti esnasında kullanılacak olan her türlü bilgiye dair aydınlatma yapılmış olması gerekmektedir.

İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.