KVKK’ya Uygun Aydınlatma Metni Nasıl Hazırlanır?

Kişisel veriler, modern dijital dünyanın en değerli unsurlarından biri haline geldi. İnternet üzerinden hizmet sunan küçük bir e-ticaret sitesinden dev teknoloji şirketlerine kadar her ölçekten işletme, çeşitli amaçlarla kullanıcı veya müşterilerin kişisel verilerini işliyor veya aktarıyor. Bu işlem sırasında verilerin hukuka uygun biçimde işlenmesi, bu bağlamda hakların gözetilmesi ve gerekli güvenlik önlemlerinin alınması büyük önem taşıyor. Ülkemizde bu konuda çerçeveyi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) belirliyor. Kanun’un temel ilkelerinden biri olan “aydınlatma yükümlülüğü,” veri sorumlularının kişisel veri işleme faaliyetlerini şeffaf ve anlaşılır biçimde ilgili kişilere (veri sahiplerine) bildirme zorunluluğunu düzenliyor.

KVKK’ya uygun bir aydınlatma metni, veri işleme süreçlerinizin hukuka uygunluğunun ilk ispat noktasıdır. Aydınlatma yükümlülüğü yerine getirilmediği takdirde, veri sorumluları ciddi idari para cezalarıyla karşılaşabilir.

Aydınlatma Yükümlülüğünün Yasal Dayanağı

Aydınlatma yükümlülüğü, 6698 sayılı KVKK’nın 10. maddesinde düzenlenmiştir. Kanun, kişisel verileri işleyen gerçek ve tüzel kişilere (veri sorumlularına), veri toplama işleme veya işleme öncesinde ilgili kişiyi bilgilendirme zorunluluğu getirir. Bu bilgilendirmenin amacı, ilgili kişinin hangi verilerinin neden ve nasıl işlendiği, verilerin kimlerle paylaşılabileceği, hangi hukuki sebeple işleme yapıldığı ve kişinin sahip olduğu hakların neler olduğu gibi konularda açık ve anlaşılır bilgi sahibi olmasını sağlamaktır.

KVKK’nın 10. maddesiyle zorunlu kılınan aydınlatma, aynı zamanda veri işlemenin temel ilkelerinden biri olan “hukuka ve dürüstlük kurallarına uygun olma” ilkesini somutlaştırır. Zira veri işlemek için ilk koşullardan biri, bunu ilgili kişinin bilgisi dâhilinde gerçekleştirmektir. Aydınlatma metni, genellikle çevrimiçi platformlarda “Gizlilik Politikası” veya “Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni” başlığıyla sunulur. Fiziki ortamlarda ise genelde işletmelerin girişinde, danışma masasında veya ilgili hizmet noktasında asılıp herkesin rahatlıkla görebileceği şekilde paylaşılmaktadır.

Aydınlatma Metninde Yer Alması Zorunlu Unsurlar

Aydınlatma metni, veri sorumlusu olarak faaliyet gösteren kurum veya kişilerin, ilgili kişilere (müşterilere, ziyaretçilere, çalışanlara) kişisel veri işleme faaliyetlerini anlatan, kapsamlı bir yol haritasıdır. Bu metnin nasıl bir dil ve üslup içermesi gerektiği de KVKK bakımından önemlidir. Aydınlatma metninin anlaşılır bir dille ve mümkün olduğunca sade, yalın bir üslupla hazırlanması gerekir. Hukuk dilinin karmaşıklığı nedeniyle okuyan kişinin metni anlamakta zorlanmaması için kısa cümleler kurmak ve teknik terimlerden kaçınmak önemlidir.

İşletmenizin web sitesinde, aydınlatma metninin site ziyaretçileri tarafından kolayca bulunabileceği bir konumda yer alması gereklidir. Genellikle ana sayfanın alt menüsünde “Gizlilik Politikası” veya “KVKK Aydınlatma Metni” başlığıyla link verilmesi sık rastlanan bir uygulamadır. Eğer fiziksel bir ortamda veri topluyorsanız (örneğin, bir mağaza veya ofise gelen ziyaretçilerin kimlik bilgilerini alıyorsanız), aynı metni matbu olarak bastırıp pano gibi görünür bir yere asmanız veya ilgili kişilere elden imza karşılığında sunmanız da aydınlatma yükümlülüğü kapsamında faydalı olacaktır.

KVKK’nın 10. maddesi uyarınca aydınlatma metninde mutlaka belirtilmesi gereken bazı hususlar bulunur. En temel gereklilik, veri sorumlusunun veya varsa temsilcisinin kimliği hakkında bilgilendirmedir. Şirketinizin unvanı, adresi, iletişim bilgileri gibi detaylar, aydınlatma metninde açıkça belirtilmelidir. Böylece veri sahibi, kendi verileriyle ilgili bir talepte bulunmak istediğinde muhatabın kim olduğunu net şekilde görecektir.

Veri işleme faaliyetinin amacı da bir diğer olmazsa olmaz unsurdur. Hangi kişisel verilerin ne amaçla işlendiğinin net bir dille anlatılması, şeffaflığın bir göstergesidir. Burada mümkün olduğunca özel ve somut olmak gerekir. Örneğin, “Pazarlama amacıyla kişisel verileriniz işlenir” şeklinde genel bir ifade yerine, “Ürün ve hizmetlerimizle ilgili kampanyalarımızdan haberdar olmanız amacıyla e-posta adresinizi ve telefon numaranızı işliyoruz” gibi daha açıklayıcı bir yaklaşım daha yerinde olacaktır.

Aydınlatma metninde yer alması gereken bir diğer önemli başlık, verilerin kimlere ve hangi amaçla aktarılabileceğidir. Yurt içi ve yurt dışı aktarım söz konusu ise, hangi taraflara aktarım yapıldığı veya yapılabileceği, hangi verilerin bu aktarım kapsamında olduğu ve aktarıma dair hukuki dayanaklar da açıkça ifade edilmelidir. Eğer yurt dışına veri aktarımı yapıyorsanız, KVKK’nın 9. maddesi uyarınca Kişisel Verileri Koruma Kurulu’nun belirlediği usul ve esaslara dikkat etmeniz gerekir.

Hukuki sebepler, kişisel verilerin işlenmesinde başvurulan dayanak noktalarıdır. KVKK’da sayılan işleme şartlarından (açık rıza, kanunlarda açıkça öngörülme, sözleşmenin ifası, kanuni yükümlülük vb.) hangilerine dayanarak verileri işlediğinizi aydınlatma metninde belirtmelisiniz. “Hangi verileri işliyoruz?” sorusuna net bir cevap verilirken, bu işlemin dayandığı hüküm veya hükümlerin de açıklanması gereklidir.

İlgili kişi (veri sahibi) hakları da mutlaka aydınlatma metninde yer almalıdır. KVKK’nın 11. maddesi uyarınca ilgili kişinin hangi haklara sahip olduğu, bu haklarını nasıl kullanabileceği ve veri sorumlusuna başvuru usulleri net bir dille anlatılmalıdır. Örneğin, veri sahibinin verilerinin işlenip işlenmediğini öğrenme, işleme amacı doğrultusunda kullanılıp kullanılmadığını anlama, yanlış veya eksik işlenen verinin düzeltilmesini talep etme, verilerin silinmesini veya yok edilmesini isteme gibi yasal hakları bulunur. Bu haklar uygulamada nasıl kullanılacak, hangi iletişim kanalı veya hangi prosedür izlenecek, aydınlatma metninde net şekilde gösterilmelidir.

Aydınlatma ve Açık Rıza Metni Arasındaki Fark

KVKK uygulamasında karıştırılan konulardan biri, aydınlatma metni ile açık rıza metninin aynı şey olmadığı gerçeğidir. Aydınlatma metni, veri sahibine “Hangi verilerini hangi amaçla ve hangi hukuki dayanakla işliyoruz?” sorusuna yanıt verecek şekilde hazırlanmış bilgilendirme niteliğinde bir metindir. Açık rıza metni ise, ilgili kişinin verilerinin işlenmesine yönelik “özgür iradesine dayalı, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve tereddüde yer bırakmayacak açıklamada bulunması” anlamını taşır.

Her veri işleme faaliyeti için açık rıza gerekmez; KVKK’nın 5. ve 6. maddelerinde açık rıza olmaksızın işlenebilecek durumlar ayrıntılı olarak sayılmıştır. Örneğin, bir sözleşmenin ifası için verinin işlenmesi gerekiyorsa veya kanuni bir yükümlülüğü yerine getirmek amacıyla veri işleniyorsa, açık rızaya gerek olmadan da bu işlemler yapılabilir. Ancak aydınlatma yükümlülüğü her durumda mevcuttur. Dolayısıyla, her koşulda, ilgili kişinin hangi veri işleme faaliyeti yapıldığından haberdar edilmesi gerekir.

Açık rıza gerekiyorsa, bu rızanın aydınlatma metninde anlatılan veri işleme süreçleriyle ilgili ve bu metne atıfla alınması daha isabetli olacaktır. Örneğin, pazarlama ve reklam amaçlı veri işleme ya da biyometrik veri gibi özel nitelikli verilerin işlenmesi için açık rıza talep edebilirsiniz. Bu durumda, önce ilgili kişiyi aydınlatmalı, ardından açık rıza metnini onayına sunmalısınız.

Aydınlatma Metninde Sık Yapılan Hatalar ve Dikkat Edilmesi Gerekenler

KVKK’nın yürürlük tarihinden bu yana pek çok işletme, web sitelerine ya da ofis girişlerine aydınlatma metinleri ekledi. Ancak metinlerin çoğunda mevzuata tam uyum sağlanamadığı görülüyor. En sık karşılaşılan hataların başında, aydınlatma metninin son derece genel ifadelerle kaleme alınması geliyor. “Kişisel verileriniz işlenebilir ve aktarılabilir” gibi muğlak ifadeler, hangi verinin hangi amaçla işleneceğini veya kime aktarılacağını yeterince netleştirmez. Oysa Kanun, şeffaflığı ve öngörülebilirliği şart koşar.

Bir diğer yaygın hata, aydınlatma metninin sadece hukuki metinlerin yer aldığı bir sayfanın en alt kısmına, erişilmesi güç bir noktaya yerleştirilmesidir. Kullanıcıların veya ziyaretçilerin bu metni kolayca görebilmesi ve inceleyebilmesi gerekir. Aydınlatma metninize hızlı bir erişim linki veya düğmesi eklemeniz, KVKK açısından temel ilkelere uygun hareket etmenizi sağlar.

Ek olarak, aydınlatma metninde veri sahibinin hakları ve bu hakları nasıl kullanacakları açıklanmadığında, metin eksik kalır. İlgili kişinin başvuru mekanizması net değilse veya başvuru yapmak istediğinde göndereceği e-posta adresi, telefon numarası, başvuru formu linki gibi bilgiler sunulmamışsa, bu da KVKK’ya aykırı bir durum ortaya çıkarır. Veri işleme faaliyeti sonunda da hangi saklama süresi öngörüldüğü, süre dolduğunda silme veya anonimleştirme işleminin nasıl yapılacağı gibi detaylar aydınlatma yükümlülüğünün bütünleyici parçalarıdır. Bu hususların da mutlaka aydınlatma metninde yer alması gerekir.

Aydınlatma Metninin Hazırlanma Süreci

KVKK’ya tam uygunluk sağlanması, sadece aydınlatma metninin hazırlanmasıyla biten bir süreç değildir. Veri envanterinin çıkarılması, işlenen tüm verilerin hangi hukuki sebebe dayandığının tespiti, saklama ve imha politikasının oluşturulması, çalışanların eğitimi ve teknikte güvenlik tedbirlerinin alınması gibi pek çok adım, Kurul’un rehber kararları ve tebliğleri eşliğinde yürütülmelidir. Aydınlatma metnini bu sürecin sadece bir parçası olarak görmek ve tüm veri işleme politikasıyla tutarlı olacak biçimde kurgulamak önemlidir.

Aydınlatma yükümlülüğüyle ilgili ayrıca Kişisel Verileri Koruma Kurulu tarafından yayımlanan rehberler, kararlar ve düzenlemeler de takip edilmelidir. Kurul, zaman zaman yayımladığı karar özetlerinde hangi aydınlatma yöntemlerinin yetersiz bulunduğunu veya hangi detayların önem arz ettiğini belirtir. Örneğin, veri işleme sürecinin nasıl somutlandırılması gerektiği, hangi başlıkların metinde mutlaka yer alması gerektiği gibi konular Kurul kararlarıyla şekillenmektedir.

Aydınlatma metninin hazırlanması sürecinde hem hukuk hem de teknik ekiplerin koordinasyon içinde çalışması, verinin kaynağı, işlenme biçimi ve saklama süreleri gibi detayların netleştirilmesi adına kritiktir. Kurum içinde çalışan herkesin, veri işleme faaliyetiyle ilgili temel prensipleri bilmesi ve uygun şekilde davranması, aydınlatma metninde yazanların gerçekte uygulanabilir kılınması açısından hayati önem taşır.

Uyumlu Bir Aydınlatma Metni İçin Öneriler

Uyumlu bir aydınlatma metni hazırlamak isteyen veri sorumluları, ilk olarak KVKK ve ilgili mevzuatı, Kurul kararlarını ve rehberleri dikkatlice incelemelidir. Metnin nasıl bir üslup taşıyacağını belirledikten sonra, işlenen verileri kategorize etmek ve amaçları doğru şekilde eşleştirmek ikinci adım olabilir. Hangi hukuki sebeplerle verileri işlediğinizi tespit ederek, bu verilerin kimlerle paylaşılabileceğini de netleştirmelisiniz.

Metni kaleme alırken, gereksiz teknik hukuk jargonundan kaçınmak ve ilgili kişiye gerçekten ne yapıldığını anlatmaya odaklanmak çoğu zaman en doğru yaklaşım olur. Örneğin, “Sunucularımızda saklanan log kayıtlarından elde ettiğimiz IP adreslerini, yasal mevzuat gereği log tutma yükümlülüğümüz ve siber güvenliği sağlama amacımızla işliyor, gerekli hallerde yetkili kamu kurumlarıyla paylaşabiliyoruz” ifadesi, son derece anlaşılır ve şeffaf bir örnek teşkil eder.

Son aşamada, aydınlatma metnini kolay erişilebilir bir şekilde konumlandırmak gerekir. Web sitesi kullanıyorsanız, girişte bir pop-up veya çerez bilgilendirmesi ile birlikte kısaca aydınlatma yapılabilir ve detaylar için yönlendirme yapılabilir. Kullanıcı sözleşmesi veya üyelik kaydı sayfasında, aydınlatma metnini onaylanması istenen kutucuk şeklinde düzenleyebilirsiniz. Yine fiziksel ortamda veri topluyorsanız, söz konusu metnin görünür şekilde asılı olduğundan veya ilgili kişiye basılı kopya sunulduğundan emin olmalısınız.