aydınlatma yükümlülüğü

Aydınlatma Yükümlülüğü: İlgili kişiyi bilgilendirme

Aydınlatma yükümlülüğü nedir?

Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ile veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir.

Bu kapsamda, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere (kişisel verisi işlenen gerçek kişi);

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanun’un 11 inci maddesinde sayılan aşağıdaki diğer haklar,
    • Kişisel veri işlenip işlenmediğini öğrenme hakkı,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkı,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkı,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme hakkı,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkı, (yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme dahil)
    • Kanun’un 7’nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkı, (yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme dahil)
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkı,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkı,

konularında bilgi vermekle yükümlüdür

Hangi durumlarda aydınlatma yapılmalıdır?

İlgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıdaki usul ve esaslara uyulması gerekmektedir:

  • İlgili kişinin açık rızasına veya Kişisel Verilerin Korunması Kanunu’ndaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  • Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
  • Veri Sorumluları Siciline kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir.
  • Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • Kişisel veri toplamanın hukuki sebebinden kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanun’un 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  • Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Kişisel verilerin ilgili kişi dışında başka yerden elde edilmesi halinde aydınlatma nasıl yapılmalıdır?

Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

  • Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  • Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  • Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada,

ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

Aydınlatma yükümlülüğü yerine getirilmezse ne olur?

Kişisel Verilerin Korunması Kanunu’nda düzenlenmiş yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar Kanun’un 18’inci maddesinde belirtilmiştir.

Bu kapsamda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi halinde Kişisel Verilerin Koruma Kurrulu tarafından idari yaptırım uygulanabilecektir.

İdari para cezası:

  • 9.000 – 180.000 TL (2020 – Güncellenmiş ve en yakın bine yuvarlanmış durum)
  • 5.000 – 100.00 TL (2016 – Kanun’da öngörülen)

Daha fazla bilgi için – bakınız:

Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak  usul ve esaslar.