Bu yazı, “Aydınlatma Metni Hazırlanmasında Kaynak Olarak Kullanabilecek KVKK Rehberleri, Duyuruları, Kararları, Tebliğ ve 6698 Sayılı Kanun Hakkında Bilgi Notu“nun kısaltılmış halidir. Yazının tamamına ulaşmak için bu linke tıklayınız.
Aydınlatma metnine ilişkin güncel mevzuat detaylı şekilde incelenmiş olup sıfırdan hazırlanacak bir metinde aşağıdaki aşamaların yer alabileceği değerlendirilmektedir.
1. İlk olarak faaliyet bazlı olarak işlenen kişisel verilerin (KV) tespit edilmesi ve bu KV’lerin ilgili faaliyet kapsamında gerçekten işlenmesine gerek olup olmadığı ile bu işlemenin Kanun’un 5. veya 6. maddesinde sayılan işleme şartlarından hangisi dahilinde yapıldığının değerlendirilmesi gerekir.
2. Bu noktada “faaliyet bazlı” ifadesinin tanımına her ne kadar mevzuatta yer verilmese de, Kurul tarafından verilen kararlar ve yayınlanan rehberler dahilinde kastedilenin, yalnızca bir şirketin departmanları bazında değil, süreçler ve faaliyetler detayında kişisel veri işleme süreçlerinin tespit edilmesi olduğu düşünülmektedir. İnsan kaynakları departmanı süreçleri dahilinde “çalışan” ve “çalışan adayı” aydınlatmaları için ayrı ayrı “faaliyet bazlı” aydınlatma metinleri hazırlanması bu hususa örnek olarak verilebilir. Yanı sıra satış departmanı süreçleri dahilinde, büyük ölçekli firmalar ile yapılan anlaşmalar ve küçük esnaf ile yapılan anlaşmalar veya bireyler ile yapılan anlaşmalar sırasında işlenen KV’ler ve süreçler bakımından farklılık oluşuyorsa, her bir faaliyet için ayrı aydınlatma metinlerinin hazırlanmasının değerlendirilmesi uygun olacaktır.
3. Kanun’un m.5/2-a hükmü (“Kanunlarda açıkça öngörülmesi.”) kapsamında yapılan veri işleme faaliyetlerinin belirtilebilmesi için işletmenin veya gösterilen faaliyetin hangi hukuki düzenlemelere tabi olduğunun öncelikli olarak tespit edilmesi gerekir.
4. Kanun’un m.5/2-c hükmü (“Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.”) kapsamında yapılan veri işleme faaliyeti için, sözleşme ilişkisi kapsamında alınan KV’lerin, sözleşmenin tipi uyarınca genel ve özel hükümler doğrultusunda değerlendirmeye tabi tutulması ve sözleşme konusu ile doğrudan ilgili olmayan KV’lerin veri minimizasyonu dahilinde sözleşme kapsamından çıkarılması, “halihazırda ihtiyaç bulunmasa da ileride oluşabilecek muhtemel süreçlerde kullanılabilir” gibi yaklaşımlarla KV işleme faaliyeti gerçekleştirilmemesi, zira her işlenen kişisel verinin beraberinde büyük bir sorumluluk getirdiği ve gün sonunda esasen elzem olmayan birçok KV’nin toplanarak KV saklama sistemlerini meşgul etmekten öteye geçmediği unutulmamalıdır.
5. Veri minimizasyonun önemi hakkında detaylı bilgi için diğer blog yazımıza göz atabilirsiniz.
6. Kanun’un m.5/2-ç (“Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.”) hükmü kapsamında yapılan veri işleme faaliyetleri bakımından, bir önceki madde altında yapılan değerlendirmeye benzer bir değerlendirme yapılması gerekir.
7. Kanun’un m.5/2-e hükmü (“Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.”) kapsamında yapılan veri işleme faaliyetleri bakımından gerek işletmenin kendisi, gerekse de sözleşmenin karşı tarafı bakımından doğabilecek hak kazanımları ve korunumları ilgili mevzuat dahilinde tespit edilmelidir.
8. Kanun’un m.5/2-f hükmü (“lgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”) kapsamında yapılan veri işleme faaliyetleri bakımından, bu hükme kadar ilgili Kanun maddesinin fıkraları kapsamında değerlendirilememiş ancak yapılmak istenen KV işleme faaliyeti bakımından, ilgili kişinin temel hak ve özgürlükleri ile KV işleme faaliyeti doğrultusunda ulaşılmak istenen amaç arasında bir denge testi yapılmalı ve makul olduğu değerlendirilen faaliyetler bakımından ilgili hukuki sebebe dayanılarak veri işleme yapılmalıdır. Denge testinden geçemeyen ancak yine de işlenmesinde işletme yararı bulunan KV işleme faaliyetleri (örneğin pazarlama faaliyetleri) bakımından ise orantılılık kapsamında açık rıza sürecinin işletilip işletilemeyeceği değerlendirilmelidir.
9. Kanun’un m.5/2 fıkrasında yer alan hukuki sebeplere dayanan herhangi bir KV işleme faaliyetinde açık rıza alma sürecine gidilmemesi gerektiği ise özellikle hatırlanmalıdır. Zira Kurul’unda birçok kararında belirttiği üzere hem m.5/2’ye hem de açık rızaya dayanan bir işleme faaliyetinde bulunmak hakkın kötüye kullanılması ve dürüstlük kuralına aykırılık olacağı gibi işletmenin zaten Kanundan doğan hakkını KV’si işlenen ilgili kişiye bırakması şeklinde işletme menfaatlerine aykırı hareket etmesi sonucunu doğuracaktır.
10. Daha sonrada ise tespit edilen bu KV işleme faaliyetlerinin hangi amaçla işlendiğinin değerlendirmesi gereklidir. Amaçların tespiti noktasında, Kurul kararlarında da görüldüğü üzere son derece katı bir sürecin işletildiği unutulmamalıdır. Hangi KV’lerin hangi amaç ile işlendiği net şekilde ortaya konulmalı, özellikle “gibi, buna benzer, bunlarla sınırlı olmaksızın” şeklindeki ifadelerden kaçınılmalıdır. Kurul’un hassasiyetle üzerinde durduğu ve kararlarında da belirttiği gibi, “kişisel verilerinizi XXX amacıyla da kullanabiliriz” gibi olasılık belirten muğlak ifadelerden kaçınılmalıdır. Yanı sıra ileride doğması muhtemel amaçlarla da KV işlemesi yapılmamalı, söz konusu bu muhtemel amaç oluştuğunda, aydınlatma metninde güncelleme ve bu konuda iligili kişilere bilgilendirme yapılarak, makul bulunan bu amaç doğrultusunda da KV işleme faaliyetine başlanabileceği unutulmamalıdır. Yine tespit edilen amaçlar ile işlenen KV’lerin amaç ile bağlantılı, sınırlı ve ölçülü olup olmadığı değerlendirilmesi mutlaka yapılmalıdır.
11. Amaçların tespitinden sonra ise bu KV’lerin kategori bazlı olarak hangi yöntemlerle toplandığı tespit edilmelidir. Örneğin; çalışan aydınlatma metni kapsamında, başvuru sürecinde bu amaca yönelik geliştirilmiş çevrim içi başvuru platformlarından toplanan veriler, varsa yüz yüze mülakat sürecinde yazılı, sesli ve görsel yollarla toplanan veriler, mevcutsa fiziki çalışma süresince bina içinde güvenlik kameraları vb. yollarla toplanan veriler, çalışana verilen cihazlar dahilinde toplanan veriler gibi örnekler verilebilir.
12. Yine toplanan veriler kategorize edilirken hassas bir değerlendirme uygulanmalı örneğin güvenlik kamerası vasıtasıyla yüz tanıma yapılıyor, biyometrik veri işleme faaliyeti yürütülüyorsa veya buna benzer başkaca özel nitelikli kişisel verilerin işlenmesi halleri söz konusu ise bu hususlara da aydınlatma metninde yer verilmesi gerekmektedir. Yanı sıra başka bir örnek olarak, müşteriye kurulan yalnızca bir faaliyet kapsamındaki sözleşme ilişkisi dahilinde, sözleşme görüşmeleri sürecinde toplanan veriler, sözleşme ilişkisinin kurulması sürecinde toplanan veriler ve ürün veya hizmetin sunulması sonrasında ilgili ürün veya hizmet üzerinden toplanan veriler verilebilir. Bu noktada farklı KV’ler toplanan ve farklı süreçler işletilen sözleşme ilişkileri bakımından, faaliyet bazlı olarak farklı aydınlatma metinleri çalışması gerektiğinin unutulmamalıdır. İlgili rehberde (Bankacılık) belirtildiği gibi ihtiyaç kredisi sözleşmesi ile kredi kartı sözleşmesi dahilinde sunulan hizmet ve işlenen KV’ler farklı olacağından, farklı aydınlatma metinleri bulunması gerekecektir. Yine satış sonrası destek verilen ve verilmeyen bir hizmet/ürün açısından da benzeri durum söz konusu olacaktır.
13. KV’lerin aktarım hususunda ise yine muğlaklık bulunmamalı, amaçların tespiti sürecinde belirtildiği gibi, hangi amaç ile hangi 3.kişiye KV’lerin aktarıldığı net şekilde belirtilmeli ve yine “gibi amaçlarla” aktarım yapılmaması gerektiği gibi, “bu ve benzeri şirketler yahut bu şirketlerin yerini alabilecek şirketler” gibi belirsizliğe yol açacak şekilde aktarım kişilerinin belirtilmemesi ve son olarak aktarım yapılan amaçlarda yahut aktarım yapılan kişilerde değişikliğe gidildiğinde bu doğrultuda aydınlatma metninde güncelleme ve bilgilendirme yapılması gerekir.
14. KV saklama sürelerine ilişkin, öncelikle işletme faaliyetinin ve ilgili KV işleme sürecinin tabi olduğu özel hükümler değerlendirilmeli, akabinde genel hükümler doğrultusunda, gerektiğinde ilgili kişi lehine nispi yorum yapılarak imha süreleri berlienmelidir. Akabinde mevzuat kapsamında zorunlu olmasa da, etik kapsamda değinilmek istenirse; ilgili süreler sonunda yapılacak silme, yok etme veya anonimleştirme yöntemine ilişkin ilgili kişiye bilgi verilebilir.
15. Verilen tüm bu bilgiler sonucunda, VS’nin kimliği ile başlayan aydınlatma metni, ilgili kişinin hakları ve VS’nin bu metinde her zaman değişiklik yapabileceği belirterek sonlandırılması uygun olur.
Av. Can Akgül
Av. Didem Kalaycıoğlu Birol
