KVKK Makalesi

Veri Sorumlularının Aydınlatma Yükümlülüğü
-Avrupa Birliği ve Türk Hukukunda

Şehriban İpek, Aşıkoğlu
İstanbul Üniversitesi/Hukuk Fakültesi/Özel Hukuk Bölümü/Avrupa Birliği Hukuk Anabilim Dalı, İstanbul,
Türkiye, ipekasikoglu@istanbul.edu.tr
ORCID: orcid.org/ 0000-0003-4505-4048-

ÖZ
Günümüzde artan ve çeşitlenen kişisel veri işleme faaliyetleri ilgili kişilerin ve otoritelerin şeffaflık beklentilerini artırmaktadır. Kişisel verilerin korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan yükümlülükler kişisel verilerin korunması alanındaki temel enstrümanları
oluşturmaktadır. Aydınlatma yükümlülüğü gerek ilgili kişilerin kişisel verilerinin üzerinde kontrolünün sağlanması gerekse veri işleme faaliyetinin hukuka uygunluğunun denetlenebilmesi için bir bel kemiği vazifesi görmektedir. Bununla birlikte iş modeli kişisel veri işlemeye dayanmayan gündelik olağan işleri kapsamında
kişisel veri işleme faaliyeti yürüten küçük işletmeler bakımından ise ilgili kişinin bilgilendirilmesi ciddi bir yük oluşturmaktadır. Bu çalışmada aydınlatma yükümlülüğünün maddi ve şekli boyutu ile veri sorumlularının aydınlatma yükümlülüğünden muaf tutulduğu hâller Avrupa Birliği ve Türk hukuku bakımından ele alınmıştır.

Anahtar Sözcükler: Aydınlatma yükümlülüğü, şeffaflık ilkesi, kişisel verilerin korunması, kişisel veri

Information Obligation of Data Controllers In European Law and Turkish Law

ABSTRACT
Nowadays increasing and diversifying of personal data processing activities increase the transparency expectations of individuals and authorities. Rights given to data subjects and obligations foreseen for data controllers are fundamental instruments of data protection area. Information obligation acts as a backbone in
order to ensure control over the personal data of the data subject and to check the legality of the data processing activity. In addition to this information obligation is a heavy burden to small enterprises who have no datadriven business models and process personal data only in daily life. In this study, material and formal elements of information obligation and exceptions for data controllers’ information obligation are examined in accordance with European law and Turkish law.

Keywords: Information obligation, transparency, personal data protection, personal data

Atıf Gösterme
Aşıkoğlu, Ş.İ. (2019). Veri Sorumlularının Aydınlatma Yükümlülüğü
-Avrupa Birliği ve Türk Hukukunda- , Kişisel Verileri Koruma Dergisi. 1(2), 41-
65.
AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 42

GİRİŞ

Kişisel verilerin korunması hukuku alanında verisi işlenen gerçek kişiye yaratılan koruma alanıiçerisinde kişisel verilerinin ilgili kişi tarafından kontrolünün sağlanması, bireyin hür iradeyle hareket etmesi ve bu irade doğrultusunda kişiliğini geliştirmesi ve geleceğini belirlemesi yer almaktadır (Küzeci, 2014). Buna karşın teknolojinin gelişmesiyle beraber artan ve çeşitlenen veri işleme faaliyetleri veriye değer kazandırırken, ilgili kişilerin kişisel verileri üzerindeki hakimiyeti azalmaktadır. İlgili kişiye, kişisel verilerinin hakimiyetini tesis için büyük önem arz eden veri sorumlusunun aydınlatma yükümlülüğü AB hukuku ve Türk hukuku kapsamında bu çalışmada incelenecektir.

Veri sorumlusunun aydınlatma yükümlülüğü AB hukuku kapsamında mülga Kişisel Verilerin İşlenmesine ve Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki 95/46/AT Sayılı ve 24 Ekim 1995 Tarihli Avrupa Parlamentosu ve Avrupa Birliği Konseyi Yönergesi (“95/46/AT sayılı Yönerge”)
10 ve 11. maddelerinde, Gerçek Kişilerin Kişisel Verilerinin Korunması ve Serbest Dolaşımı ve 95/46/EC Sayılı Yönerge’nin Kaldırılmasına İlişkin 27 Nisan 2016 tarihli 2016/679 Sayılı Tüzük (“Tüzük”) 13 ve 14. maddelerinde düzenlenmiştir. Bu ölçüde detaylı olmamakla birlikte uluslararası
metinler bakımından ise APEC Çerçeve Belgesi par. 15, Avrupa Komisyonu 108 sayılı Sözleşme m. 8, OECD Rehber İlkeleri par. 12, BM Genel İlkeler 3. ilke kapsamında ilgili kişinin bilgilendirilmesine ilişkin düzenlemeler yer almaktadır.

Türk hukukunda ise 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 10 kapsamında veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiş ve usul ve esasları 10.03.2018 tarihli 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliğ”) kapsamında belirlenmiştir. Türk hukukuna ilişkin incelemeler bu düzenlemeler ışığında yapılacaktır. Bu çalışmada AB hukuku kapsamında kişisel verilerin korunması alanında detaylı düzenlemeleri ihtiva eden ve AB üye devletleri nezdinde doğrudan uygulama alanına sahip Tüzük hükümleri Türk hukukundaki düzenlemeler ile özellikle aydınlatma yükümlülüğünün şekli ve maddi unsuru ile istisnaları bakımından karşılaştırmalı olarak incelenecektir.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Kişisel verilerin korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan yükümlülükler bireylerin kişisel verilerin korunması alanındaki temel enstrümanlarını oluşturmaktadır. Bireylere tanınmış olan haklar ilgili kişiye veri işleme faaliyetinin hukuka uygunluğunu denetleme imkânı vermektedir (Çekin, 2019, s. 119). Bu hakların anahtarı niteliğinde ilgili kişiye sunulan aydınlatma metinleri ise ilgili kişinin kişisel verilerinin korunmasına ilişkin temel hak ve özgürlüklerinin merkezini oluşturmaktadır (Beyleveld, 2004; Küzeci, 2019, s. 218).

Tüzük kapsamında aydınlatma yükümlülüğü ilgili kişinin hakları bölümü altında düzenlenmiştir. İlgili kişinin Tüzük uyarınca sahip olduğu, kişisel verilerine erişim isteme, verilerinin silinmesini, düzeltilmesini talep etme gibi haklarından farklı olarak aydınlatma yükümlülüğü kapsamında ilgili kişiye sağlanacak olan bilgiler bakımından ilgili kişinin aktif bir hareketi gerekmemektedir. Aydınlatma yükümlülüğü kapsamında ilgili kişiye sağlanacak olan bilgiler gerek kişinin verilerinin kontrolünü elde etmesi gerekse veri sorumlusunun genel ilkelere uygun bir şekilde veri işleyebilmesi adına önem teşkil etmektedir.

Aydınlatma yükümlülüğünün temelinde şeffaflık ilkesi yer almaktadır. 95/46/AT sayılı Yönerge’deaçıkça genel ilkeler arasında sayılmamış olan şeffaflık ilkesi sadece kişisel verilerin korunması alanında değil Avrupa Birliği Hukukunda da uzun süredir ön planda tutulan bir ilkedir. Gerek kamu gerekse şirketler hukuku bakımından hesap verilebilirlik, kamuyu aydınlatma ve şeffaflık ihtiyacı artmakta ve bu yönde düzenlemeler yapılmaktadır. Kişisel verilerin korunması alanında ise 95/46/AT sayılı Yönerge’nin yürürlük döneminde de Avrupa Birliği Adalet Divanı kararlarında şeffaflık ilkesine vurgu yapılmakta idi (AAD, C‑553/07, par. 9, 60).

Günümüzde ise özellikle teknolojinin hızla gelişmesiyle birlikte gündelik hayata dahil olan nesnelerin interneti, yapay zekâ uygulamaları, akıllı cihazların gerçek zamanlı olarak yürüttükleri otomatik veri işleme faaliyetleri karşısında ilgili kişilerin korunabilmesi için şeffaflık ilkesinin veri sorumluları tarafından her aşamada benimsenmesi gerekmektedir (Hildebrandt, 2012). Bu artan ve çeşitlenen veri işleme faaliyetleri karşısında şeffaflık, kullanıcı kontrolü ve hesap verilebilirlik ilkeleri teknolojik gelişmelerin merkezine yerleştirilmelidir (Aşıkoğlu, 2018, s. 149; Lynskey, 2015, s. 248). Nitekim Tüzük’ün yürürlüğe girmesine az bir süre kala, 18 Mayıs 2018’de, Avrupa Konseyi Bakanlar Komitesi tarafından kabul edilen Avrupa Konseyi 108 sayılı Kişisel Verilerin İşlenmesine İlişkin Olarak Bireylerin Korunması Sözleşmesi’ni yenileyen Protokol kapsamında da bu yaklaşım görülmektedir. Yenilenen Protokol kapsamında şeffaflık ilkesi genel ilkeler arasında kabul edilmiş, işlemenin şeffaflığı başlıklı madde eklenmiştir.

Tüzük 5/1-a’da sayılarak genel ilkeler arasında yer alan şeffaflık ilkesi Tüzük’te açıkça tanımlanmamıştır. Ancak giriş bölümü 39. paragrafta şeffaflık ilkesi açıklanırken veri sorumlusu tarafından sunulan şeffaflığın ilgili kişi nezdinde sonuç doğurmasının beklendiğine işaret edilmiştir. Şeffaflık ilkesi ve gerekliliklerinin yorumunda bir madde hükmündense somut olay ve ilgili kişi önem taşımaktadır (Çalışma Grubu, 260 rev. 01, 2018).

Türk Hukuku açısından ise Anayasa’da temel bir hak olarak düzenlenen kişisel verilerin korunması hakkı kapsamında kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme sayılmıştır (Anayasa m. 20). Bu kapsamda KVKK ve Aydınlatma Yükümlülüğü Tebliğ ile detaylandırılan bu yükümlülüğün Anayasa kapsamında da güvence altına alındığının altını çizmek gerekecektir. İlgili kişinin bu bilgilendirilme hakkı kişisel verilerin elde edilme anında veri sorumlusuna bir yükümlülük olarak getirilmiştir. Tüzük kapsamında aydınlatma yükümlülüğüne ilişkin olarak şeffaflık ilkesinin vurgulandığı madde 12 hükmü de ilgili kişinin haklarının düzenlendiği Tüzük m. 13-23 hükümleri kapsamındaki etkisi itibari ile bütüncül olarak değerlendirilmelidir. İlgili kişinin haklarını kullanmasına ilişkin olarak tarafımızca benimsenmiş Çekin tarafından ifade edilen şekli-maddi boyut ayrımı esas alınmıştır (Çekin, 2019, s. 70). Bu kapsamda şeffaf bilgilendirme, iletişim ve yöntemler başlıklı 12. madde kapsamında aydınlatma yükümlülüğünün şekli boyutuna işaret edilirken Tüzük m. 13 ve 14’te maddi boyutu açıklanmaktadır. KVKK kapsamında ise Tüzük’te olduğu gibi aydınlatma yükümlülüğü bakımından verilerin ilgili kişiden doğrudan elde edilmesi ya da üçüncü kişi aracılığı ile elde edilmesi hâli bakımından bir ayrım yapılmamış, genel olarak aydınlatma yükümlülüğünün çerçevesi çizilmiştir. Aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar ise Aydınlatma Yükümlülüğü Tebliğ’de düzenlenmiş ve bu ayrıma yer verilmiştir.

Aydınlatma yükümlülüğünün yerine getirilmesi bakımından pratik hayattaki başlıca sorunlar şu şekilde özetlenebilecektir:
i. Özellikle iş ve ekonomik modeli kişisel verilerin işlenmesi merkezli olan ve kapsamlı, karmaşık veri işleme faaliyeti yürüten veri sorumluları bakımından aydınlatma metninin yalın, basit tutulması ilgili kişilerin yeterince bilgilenmemesine; detaylı olması hâlinde ise ilgili kişiler tarafından metnin anlaşılmamasına neden olmaktadır.
ii. Özellikle iş modeli kişisel verilerin işlenmesine dayanmayan (menfaat elde etmeyen), kişisel verileri elektronik olarak işlemeyen, hukuki yükümlülüğün yerine getirilmesi,
sözleşmenin ifası gibi hukuka uygunluk sebeplerine dayanarak ve bunlarla sınırlı olarak işleyen, kurumsallaşmamış küçük ölçekteki işletmeler bakımından ise hayatın olağan akışı içerisinde aydınlatma metnine yer vermek güçlük arz edebilmektedir.

Bu sorunlardan ilki aydınlatma yükümlülüğünün şekli unsuruna ilişkindir. Gerçekten de özellikle açık rıza hukuka uygunluk sebebine dayalı veri işleme faaliyetleri bakımından ilgili kişi tarafından anlaşılamayan bir aydınlatma metni açık rızanın bilgilendirmeye dayalı olma unsurunu sağlamayacağından veri işleme faaliyetini hukuka aykırı hâle getirecektir. Aydınlatma metninde yer verilmesi gereken hususlar (maddi unsur) ise yine bu sorun kapsamında önem taşımaktadır. Veri
sorumlusunun kişisel veri işleme amacına ilişkin olarak dayandığı KVKK m. 5-6 hükümlerinde yer alan veri işleme şartlarının yanlış tespit edilmesi ya da ilgili kişiye yanlış veya hatalı ya da eksik olarak bildirilmesi ilgili kişinin yanıltılmasına yol açıyorsa dürüstlük kuralına aykırılık teşkil edecektir (Yücedağ, 2019).

Ancak burada hukuki yükümlülüğün yerine getirilmesi, kanunlarda açıkça öngörülme hukuka uygunluk sebeplerinin karıştırılması ya da her somut olay bazında değerlendirme gereken, otoriteler ve Adalet Divanı tarafından da çerçevesi tartışılan meşru menfaat hukuka uygunluk sebebinin tespitinde veri sorumlusunun hatalı bir değerlendirme yaparak aydınlatma metnini buna göre kurgulamış olması hâlinde özellikle ilgili kişi nezdinde etkisine bakılması gerekecek, doğrudan dürüstlük kuralına aykırılık teşkil ettiği ifade edilemeyecektir. Buna karşın sözleşmenin ifası için gerekli olmayan verilerin aydınlatma metninde açık rıza yerine sözleşmenin ifası hukuka uygunluk sebebine dayanarak işleneceğinin ifade edilmesi dürüstlük kuralına aykırılık teşkil edecektir. Google, Facebook gibi ana faaliyet konusu kişisel veri işlemeye dayalı ve günümüz ekonomisinde ciddi pay sahibi şirketler bakımından kullanıcılarına sunulan metinlerin aydınlatma yükümlülüğünü karşılayıp karşılamadığına ilişkin denetimde şekli ve maddi boyut büyük önem taşımaktadır.

İkinci sorun ise temel olarak veri koruma mevzuatının geniş uygulama alanından kaynaklanmaktadır. Gerçekten de kişisel verilerin korunmasına ilişkin düzenlemelerde yer alan veri sorumlusu, veri işleme ve kişisel veri kavramları son derece geniştir (bkz. AAD, C-212/13 ve C-212/13 sayılı kararları). Bu nedenle düzenlemelerin uygulama alanının gündelik hayattaki hemen her türlü veri işleme faaliyetini kapsıyor olması sebebi ile pek çok alanda aydınlatma yükümlülüğü doğmakta, ancak bu yükümlülük ihmal edilmektedir. Burada özellikle kurumsallaşmamış küçük işletmeler bakımından veri işleme süreçlerinin standart olmaması, otomasyon ve dijital süreçlerin geliştirilmemiş olması, ilgili kişi gruplarının değişkenliği gibi sebeplerle aydınlatma yükümlülüğü hiç yerine getirilememekte ya da içerik bakımından fiili durumu karşılamayan jenerik metinlere yer verilmektedir. Bu durum ise aydınlatma yükümlülüğü ile beklenen ilgili kişinin kişisel verileri üzerindeki kontrolünü sağlaması amacına hizmet etmemekte, aksine ilgili kişileri yanıltmaktadır. İkinci sorun bakımından veri işleme faaliyetinin kişisel verilerin korunması düzenlemeleri kapsamında tam istisna ya da aydınlatma yükümlülüğü bakımından getirilmiş olan bir istisna kapsamında olup olmadığının değerlendirilmesi gerekecektir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN ŞEKİL VE MADDİ UNSURU
Şekli Unsur
Şeffaflık ilkesi uyarınca ilgili kişiyle ya da kamuyla paylaşılacak olan bilginin öz, şeffaf, anlaşılır, kolayca ulaşılabilir ve basit, sade bir dille hazırlanmış olması gerekmektedir. Tüzük’te yer alan şeffaflık ilkesinin aydınlatma yükümlülüğü ve ilgili kişinin haklarını kullanması sırasında kurulacak olan iletişimde görünümü olan öz, şeffaf, anlaşılır, kolayca ulaşılabilir ve basit, sade bir dil gerekliliği Kişisel AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 45

Verilerin Korunması Kanunu kapsamında dürüstlük kuralına uygun olma ilkesi ile bağdaşacaktır. Nitekim 95/46 sayılı Yönerge ve Kişisel Verilerin Korunması Kanunu kapsamında açıkça belirtilmeyen şeffaflık ilkesinin adil olma (dürüstlük kuralına uygun olma) ilkesinin bir görünümü olduğu kabul
edilmektedir (Bygrave, 2014, s. 147; Develioğlu, 2017, s. 45; Yücedağ, 2019). Bu doğrultuda Aydınlatma Yükümlülüğü Tebliğ’inde de bu yükümlülüğün yerine getirilmesinde anlaşılır, açık ve sade bir dil kullanılması; tamamen teknik bilgi, uzmanlık gerektiren bir terminoloji ile genel nitelikte ve muğlak ifadelere yer verilmemesi gerektiği belirtilmiştir. Özellikle açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekmekte, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. İlgili kişi bakımından erişilebilir ve kişisel verilerin toplandığı mecra ile uyumlu olması gerekmektedir.

Öz, Şeffaf ve Anlaşılır Olma

Aydınlatma metninin öz ve şeffaf olması gerekliliği, hukuki ve ağdalı bir dilin kullanılmamasını, kişisel verilerin işlenmesi ve korunmasına ilişkin olmayan gereksiz açıklamalardan kaçınılmasını ifade eder. Genellikle avukatlar tarafından hazırlanan ve karmaşık ifadeler içeren aydınlatma metinleri örneğin açık rıza hukuka uygunluk sebebi uyarınca yürütülen bir veri işleme faaliyetinde ilgili kişinin bilgilendirilmesi şartı gerçekleşmeyeceği için hukuka aykırı veri işlemeyi gündeme getirecektir (Cate ve Mayer-Schönberger, 2013). Ayrıca bu durum her hâlükârda aydınlatma yükümlülüğünün ihlaline de sebep olacaktır.

Veri sorumlusunun kişisel verilerini işlemeyi planladığı ilgili kişi grubunu önceden belirleyerek aydınlatma metninin dilini buna göre oluşturması metnin dili ve ayrıntısı bakımından önem teşkil etmektedir. Söz konusu metnin veri işleme faaliyetinin hukuka uygunluğu için bir bel kemiği vazifesi göreceği dikkate alındığında veri sorumlusunun gerçekleştireceği veri işleme faaliyeti nezdinde doğacak hesap verilebilirlik yükümlülüğü gereği ilgili kişi grubu için anlaşılır bir metin hazırlamak için kullanıcılar nezdinde saha çalışmaları, anket çalışmaları yapmak, tüketici dernekleri ve düzenleyici otoriteler ile görüşmek gibi gerekli faaliyetleri yürüterek bu metinleri oluşturması beklenmektedir (Çalışma Grubu, 260 rev. 01, 2018). Nitekim aydınlatma metninin dilinin yalın, öz olmaması, karmaşık ifadelere yer verilmiş olması hâlinde veri sorumlusunun hesap verilebilirlik ilkesi uyarınca neden bu
dilin seçildiğini ve bu metnin dürüstlük kuralına uygun olduğunu açıklaması gerekecektir. Burada “bilgilendirmenin basit olması hâlinde ilgili kişilerin gerçekten bilgilendirilmiş olmayacağı; detaylı olması hâlinde ise ilgili kişilerce anlaşılamayacağı” yönünde bir paradoks olduğu ifade edilmektedir (Tene, 2013). Ancak belirtmek gerekir ki metnin öz olmasından anlaşılması gereken veri işleme faaliyetlerine ilişkin yüzeysel bilgilere yer verilmesi değildir. Bilakis veri işleme faaliyetinin hukuki sebepleri ve ilgili kişi nezdinde temel hak ve özgürlükleri bakımından doğurması muhtemel sonuçlarının açıkça ifade edilmesi, bütün bu hususların sebep ve sonuçları itibari ile ilgili kişiye sunulması gerekmektedir (Lynskey, 2015, s. 248).

Kesin olmayan belirsiz cümlelerden ve muğlak ifadelerden kaçınılması gerekmektedir. Çalışma Grubu, “belki”, “olabilir”, “bazı”, “sık sık” ve “mümkün” ifadelerin aydınlatma metinlerinde tercih edilmemesi gerektiğini, anlaşılması güç, hukuki, teknik açıklamalar ve uzmanlık gerektiren özel terimlere yer
verilmemesi gerektiğini belirtmiştir (Çalışma Grubu, 260 rev. 01, 2018; Lynskey, 2015, s. 249). Nitekim, Kişisel Verilerin Korunması Kurumu tarafından hazırlanan Rehber’de de “Kişisel verilerinizi yeni hizmetler geliştirmek için kullanabiliriz” ya da “Kişisel verilerinizi araştırma amaçlı olarak kullanabiliriz” gibi ifadelerden belirsiz olmaları sebebi ile kaçınılması gerektiği ifade edilmiştir (Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, 2019).

Şeffaflık ilkesinin uygulanmasında özellikle ilgili kişi grubu da önem arz etmektedir. Bu duruma Tüzük m. 12/1’de yer alan çocuklara yönelik vurgu örnek gösterilebilecektir. Veri sorumlusu aydınlatma yükümlülüğünü yerine getirirken özellikle kişisel verilerini işlemeyi amaçladığı ilgili kişi grubunda
AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 46 çocukların olup olmadığını değerlendirmek zorundadır. Yine aydınlatma yükümlülüğünün görsel ve yazın olarak yerine getirildiği hâllerde veri sorumlularının görme engelli ya da renk körü olan gerçek kişileri dikkate alması gerekecektir (Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, 2019; Çalışma Grubu, 260 rev. 01, 2018). Bu kapsamda açık bir şekilde basiretli bir veri sorumlusunun kişisel veri işlemeye başlamadan önce veri işleme faaliyetine konu olacak kişi gruplarını öngörebiliyor olması gerekmektedir. Bu doğrultuda aydınlatma yükümlülüğünü yerine getirirken tercih edeceği yolu ve dili bu kitleye göre seçmesi gerekecektir.

Erişilebilir Olma

Aydınlatma metninin çevrimiçi ortamlarda yerine getirilmesi bakımından mümkün mertebe ilgili kişinin aradığı bilgiye kolayca ulaşmasına elverecek şekilde gerekli bilgilendirmenin katmanlı ve kullanıcı merkezli olarak sunulması önerilmektedir (Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, 2019; Çalışma Grubu, 260 rev. 01, 2018; European Union Agency for Fundamental Rights and Council of Europe, 2018;). İngiliz Veri Koruma Otoritesi (“ICO”) tarafından hazırlanan rehber kapsamında aydınlatmanın katmanlı olarak, kontrol paneli aracılığı ile, verinin alınma anında veri özelinde açıklamalar ile, simgeler aracılığı ile ya da mobil ve akıllı cihazların özellikleri uyarınca nasıl gerçekleştirilebileceğine ilişkin örneklere yer verilmiştir (ICO, “Are there different ways we can provide privacy information?”). Genel geçer olarak bu modellerden en iyisini seçmek mümkün değildir. Aydınlatma metninin sunulduğu mecra ve kişisel verilerin toplanma yöntemi bakımından değerlendirilerek buna en uygun modelin tercih edilmesi, geliştirilmesi gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin olarak ilgili kişiye bilgilerin sağlanması sırasında veri sorumlusu tarafından herhangi bir ücret ilgili kişiye yansıtılamayacaktır (Tüzük 12/5).

Şekil Şartı

Tüzük uyarınca aydınlatma yükümlülüğünün yerine getirilmesinde herhangi bir şekil şartı öngörülmemiştir. İlgili kişiye aydınlatma yükümlülüğü kapsamındaki bilgiler yazılı ve sözlü olarak yabda elektronik ortamda dâhil olmak üzere diğer yollarla sunulabilecektir. Ancak burada aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükü veri sorumlusunda olacağından, veri sorumlusunun söz konusu aydınlatmayı kaydedilebilir, ispat edilebilir bir formatta ilgili kişiye sunmuş olması gerekmektedir. Bu noktada ilgili kişinin bilgiye kolayca erişebilir olması önem teşkil etmektedir. Nitekim Aydınlatma Yükümlülüğü Tebliği kapsamında veri sorumlusu ya da yetkilendirdiği kişi tarafından uygulanması gereken bir şekil şartı koşulmamış, örnekleme yoluyla aydınlatmanın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yapılabileceği belirtilmiştir. Söz konusu metotlara ilişkin örnekler, URL bağlantısı, karekod, internet sitelerinde açılan pencereler aracılığıyla bildirimlerin yapılması şeklinde çoğaltılabilecektir (Taştan, 2017, s. 159). Burada esas olarak aydınlatma metninin sözleşme hükümleri ya da genel işlem koşullarından ayrı olarak sunulması gerekmektedir (Çalışma Grubu, 260 rev. 01, 2018). Nitekim Aydınlatma Yükümlülüğü Tebliğ’inde de veri işleme amacının ilgili kişinin açık rızasını gerektirmesi hâlinde aydınlatma yükümlülüğünün yerine getirilmesi ve açık rızasının alınması süreçlerinin ayrı ayrı kurgulanması gerektiği belirtilmiştir.

Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesi için gerekli bilgileri sunmasının yanı sıra bu bilgileri kişisel veri topladığı mecraya en uygun şekilde sunduğunu da açıklaması gerekecektir. Kişisel verilerin toplandığı mecra ile uyumlu olarak bu yükümlülük internet sitesinden erişilebilir olan bir yazılı metin, çağrı merkezlerinde ses kaydı, işyerlerinde duvar ya da panoya asılmış ancak ilgili kişinin kişisel verilerini verme anında dikkatini çekmesine elverişli metotlarla yerine getirilebilecektir (Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, 2019). Ancak bu durum özellikle güvenlik kameraları ya da sensörler, drone çekimleri gibi durumlar bakımından çeşitli güçlükler barındırmaktadır AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 47 (güvenlik kameraları kapsamında AB kurum ve organları tarafından aydınlatma yükümlülüğünün yerine getirilmesine ilişkin olarak öneriler için bkz. EDPS, 2010).

Yine mobil uygulamalar bakımından gerekli bilgilerin hem uygulama indirilmeden önce hem de uygulama indirildikten sonra uygulama içerisinde kolayca erişilebilir olması gerektiği belirtilmektedir. En iyi uygulama bakımından ise çevrimiçi ortamlarda yürütülen kişisel veri toplama faaliyetleri bakımından aydınlatma yükümlülüğünün verilerin toplandığı alanda yapılması önerilmektedir (Çalışma Grubu, 260 rev. 01, 2018).

Aydınlatma metninin elektronik ortamda sunulmasında muhakkak yazılı olması aranmamaktadır. Veri sorumlusu bu yükümlülüğü en açık ve kolay anlaşılabilir şekilde yerine getirmek için video, infografik, bilgi şemaları, resim ya da sesli anlatım yolunu tercih edebilecektir. Yine akıllı telefon ve akıllı cihazlarbakımından aydınlatmanın bildirim şeklinde ya da cihazın kullanımına uygun yollarla yapılabileceği ifade edilebilecektir.

Tüzük 12/1 kapsamında ilgili kişinin talebi üzerine aydınlatma da dahil olmak üzere veri sorumlusu tarafından ilgili kişinin teyit edilmesi hâlinde ilgili kişi ile iletişimin sözlü olarak yapılmasına imkân tanınmıştır. Ancak burada aydınlatma yükümlülüğü bakımından ilgili kişinin teyidi zorunluluğu aranmamalıdır. Nitekim aydınlatma kişiye özel olmayıp gelecek ilgili kişiler içinde erişilebilir ve geçerli, veri sorumlusu tarafından yürütülecek olan işleme faaliyetine ilişkindir. Bu doğrultuda aydınlatma yükümlülüğün sözlü yerine getirildiği hâllerde otomatik bir mesaj ya da önceden hazırlanmış ve veri işleme faaliyetine ilişkin bütün kullanıcılara yönelik bir metnin sesli olarak okunması söz konusu olabilecektir. Aydınlatma yükümlülüğünün sözlü olarak yerine getirilmesi hâlinde veri sorumlusu, bu talebin ilgili kişiden geldiğini ve aydınlatma yükümlülüğünü sözlü olarak yerine getirdiğini ispatla yükümlü olacaktır.

Alternatif Metotlar: Standart Simgeler

Aydınlatma yükümlülüğünün şeffaf ve işlevsel olarak yerine getirilebilmesi adına Tüzük’te veri sorumluları tarafından planlanan işleme faaliyetine ilişkin olarak anlamlı bir genel bakışın kolayca görülebilir, anlaşılabilir ve okunaklı bir biçimde sağlanması amacı ile standart simgelerin kullanılabileceği belirtilmiştir. Veri sorumlusunun standart simgelere yer vererek elektronik olarak aydınlatma yükümlülüğünü yerine getirmeyi tercih etmesi hâlinde simgelerin makine tarafından okunabilecek şekilde olması sağlanmalıdır. Belirtmek gerekir ki Tüzük kapsamında “makine tarafından okunabilir olma” tanımı yer almamaktadır. 26 Haziran 2013 tarih ve 2003/98/EC sayılı kamu sektörü bilgilerinin tekrar kullanımına ilişkin yönergede değişiklik yapan 2013/37/AB sayılı Yönergenin giriş bölümü 21. paragrafta makine tarafından okunabilir olma bilginin bir dosya olarak biçimlendirilmiş olması hâlinde bu dosya içerisindeki bilgilerin yazılım uygulamaları ile kolayca tanımlanması, tanınması ve çıkarılmasının mümkün olması olarak açıklanmıştır. Tüzük’te standart simgelerin elektronik ortamda yer verilmesi hâlinde makine tarafından okunabilecek şekilde olması şartı koşulmuş olduğundan standart simgelere yazılı ortamlarda, cihaz ambalajlarında ve özellikle güvenlik kameralarına ilişkin fiziksel uyarılarda da yer verilebileceği anlaşılabilecektir (Çalışma Grubu, 260 rev. 01, 2018). Önemle belirtmek gerekir ki kullanılacak olan standart simgelerin ilgili kişi nezdinde bir karışıklığa sebep vermemesi gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi adına

Tüzük ile önerilen bu yol ilgili kişinin okumaktan yorulacağı bilgileri azaltarak görsel anlamda bilgilendirilmesini sağlamak ve şeffaflığı arttırmaktır. Bununla birlikte kullanılacak olan standart simgeler aydınlatma yükümlülüğünün maddi içeriğini yansıtıyor olmalıdır. Bu alanda veri sorumluları tarafından kullanılacak simgelerin çeşitli olmasının ilgili kişinin yanılmasına sebebiyet verebileceği düşüncesiyle etkin bir şeffaflık için üye devletler nezdinde kullanılan standart simgelere ihtiyaç duyulacağı açıktır (Çalışma Grubu, 260 rev. 01, 2018). AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 48 Tüzük kapsamında standart simgelere ilişkin kuralların belirlenmesi konusunda Komisyon’un sorumlu olduğu (Tüzük 12/7) ancak Avrupa Veri Koruma Kurumunun, Komisyonun talebi ya da kendi takdiri ile bu konuda Komisyon’a görüş sağlayabileceği (Tüzük 70) belirtilmiştir. Kişisel verilerin korunması alanında Avrupa Birliği kapsamında denetleyici otoritelerin veri sorumluları ile işbirliği içerisinde hareket ederek ihlalleri sadece caydırıcı cezalarla değil farkındalık yaratarak pek çok pay sahibinin fikrinin alınması ile yapılacak düzenlemelerle önlenmesi fikri yaygınlaşmaktadır (Çekin, 2019, s. 176- 177). Standart simgeler bakımından da bu konuda yaratılacak kurallar bütününün hazırlanması sırasında sektör ve geniş kamu dahilinin gerçekleştiği bir araştırma standart simgelerden elde edilmek istenen menfaati gerçekleştirecektir.

Maddi Unsur

95/46/AT sayılı Yönerge’de yer alan aydınlatma yükümlülüğü uyarınca üye devletler hukukunda ilgili kişiye sunulması gereken bilgiler hususundaki çeşitlilik özellikle birlik içerisinde veri aktarımlarının olduğu durumlar bakımından problemler yaratmakta idi (üye devletler nezdindeki farklı düzenlemelere ilişkin bkz. Korff, 2002, s. 98 vd.). Bu bakımdan Tüzük ile büyük ölçüde çerçevesi netleştirilmiş ilgili kişiye sunulacak bilgi kapsamı veri koruma hukukunun amaçlarından olan verinin serbest dolaşımı prensibine de uygun düşmektedir. Kişisel verilerin doğrudan kişinin kendisinden toplandığı hâllerde elde edilme anında veri sorumlusunun ilgili kişiye sağlaması gereken bilgiler Tüzük m. 13’de belirtilirken, madde 14’te kişisel verilerin doğrudan kişinin kendisinden toplanmadığı hâllerde sağlaması gereken bilgiler belirtilmiştir. Türk hukukunda ise KVKK 10’da sayılan aydınlatma yükümlüğünün içeriğine ilişkin hususlar Aydınlatma Yükümlülüğü Tebliğ’de aynen yer almış, bunların asgari içerik olduğu belirtilmiştir. Aydınlatma Yükümlülüğü Tebliğ’de kişisel verilerin ilgili kişiden doğrudan toplanmadığı hâllerde söz konusu bilgilerin sunulmasına ilişkin süreler belirtilmiş, ancak sunulması gereken bilgilerde herhangi bir ayrım
yapılmamıştır. Belirtmek gerekir ki veri sorumlusu bu bilgileri başka bir veri sorumlusundan KVKK 8- 9 uyarınca, kamu kurum ve kuruluşlarından ya da kamuya açıklanmış bilgilerden elde etmiş olabilecektir. Bu doğrultuda bu hâlin “fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle doğrudan ilgili kişiden elde edilememesi” (Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, 2019) hâli ile sınırlı olarak yorumlanmaması gerektiği kanaatindeyiz.

Kişisel Verilerin Doğrudan İlgili Kişiden Toplanması

Tüzük 13 kapsamında veri sorumlularının kişisel verilerin ilgili kişiden elde edilme anında sağlamak zorunda olduğu bilgilerin çerçevesi çizilmiştir. Buna göre veri sorumlusu:

a. Veri sorumlusu ve varsa temsilcisinin kimliği ve iletişim bilgileri,
b. Varsa, veri koruma görevlisinin iletişim bilgileri,
c. Kişisel verilerin işlenme amacı ve özellikle hukuki dayanağı,
d. Kişisel verilerin meşru menfaat hukuka uygunluk sebebine dayanarak işlenmesi hâlinde veri
sorumlusu ya da üçüncü taraf tarafından ileri sürülen meşru menfaat,
e. Varsa, kişisel verilerin alıcıları ya da alıcı kategorileri,
f. Kişisel verilerin birlik dışına aktarılması hâlinde yeterli ve uygun güvenlik önlemlerine ilişkin bilgiler ve bu bilgilerin bir kopyası ya da bu bilgilerin erişilebilir olduğu yere ilişkin bilgileri ilgili kişiye sunmakla yükümlüdür.

Yukarıda sayılan bilgilere ek olarak veri işleme faaliyetinin dürüstlük kuralına uygun ve şeffaf olması için gerekli olması hâlinde veri sorumlusu aşağıdaki bilgileri de sunmakla yükümlüdür: AŞIKOĞLU; Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk HukukundaKİŞİSEL VERİLERİ KORUMA DERGİSİ 1(2) 49

a. Kişisel verilerin saklanma süresi ya da mümkün olmaması hâlinde bu sürenin belirlenmesine ilişkin kriterler,
b. İlgili kişinin kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya ilgili işleme faaliyetinin kısıtlanmasını talep etme ve işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının olduğuna ilişkin bilgi,
c. Kişisel verilerin rıza/açık rıza uygunluk sebebine dayanarak işlenmesi hâlinde ilgili kişinin her zaman vermiş olduğu rıza/açık rızayı geri alabileceğine ilişkin bilgi (bu hâlde rıza/açık rıza hukuka uygunluk sebebine dayanılarak yürütülen önceki veri işleme faaliyetleri etkilenmeyecektir),
d. Denetleyici otoriteye şikâyet hakkı,
e. Kişisel verilerin sözleşmenin kurulması ya da sözleşme gereğince işlenmesinin gerekmesi veya yasal bir zorunluluk uyarınca gerekli olması hâlinde bu duruma ilişkin bilgiler ve verilerin sağlanmamasının muhtemel sonuçları,
f. Profillemede dahil olmak üzere otomatik bir karar mekanizmasının varlığı hâlinde yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin ilgili kişi açısından önemi ve öngörülen sonuçları.

Şekli unsur bakımından ifade edilmiş olduğu gibi bu bilgilerin ilgili kişi tarafından anlaşılabilecek şekilde sunulması büyük önem arz etmektedir. İlgili kişi, bu bilgileri edindikten sonra veri işleme faaliyetinin kendisi nezdindeki sonuçlarını bütünsel olarak öngörebilir ve kişisel verilerinin işlenmesine ilişkin olarak riskler, kurallar, tedbirler ve haklar konusunda farkındalığa sahip olmalıdır (Lynskey, 2015, s. 249; Tüzük giriş bölümü par. 39). Özellikle karmaşık, ilgili kişi için bilinmez ve beklenmedik veri işleme faaliyetleri bakımından veri sorumlusu ayrıca işlemenin önemli sonuçları bakımından ilgili kişiyi tereddütte mahal vermeyecek şekilde bilgilendirmelidir (Çalışma Grubu, 260 rev. 01, 2018). Aksi hâlde ilgili kişinin kişisel verileri üzerinde kontrolünün devamından bahsedilemeyecektir (Lynskey, 2015, s. 250). Bu husus özellikle ilgili kişinin profilleme de dahil olmak üzere otomatik karar mekanizmalarına konu olduğu hâller bakımından önem teşkil etmektedir.

Tüzük’te teknolojinin gelişmesi ile beraber artan ve bireyler üzerinde yoğun olarak etkileri bulunan profilleme de dahil olmak üzere otomatik karar mekanizmalarına ilişkin olarak müstakil hükümler yer almaktadır. Bu doğrultuda tanımlar maddesinde yer alan profilleme faaliyetinin ve Tüzük 21, 22
kapsamında profilleme de dâhil olmak üzere otomatik karar mekanizmalarının veri işleme faaliyetinde yer alması hâlinde veri sorumlusunun ek yükümlülükleri bulunmaktadır. Veri sorumlusu işleme faaliyetinin altında yürütülen mantığa ilişkin anlamlı bilgileri, işleme faaliyetinin ilgili kişi açısından önemi (riski) ve öngörülen sonuçlarını da aydınlatma yükümlülüğü kapsamında ilgili kişiye sunmalıdır (Gutwirt, Leenes ve de Hert, 2015, s. 29, 31). Ayrıca bireylerin otomatik karar mekanizmalarına konu olmama -itiraz- hakkının en geç ilgili kişi ile ilk kez iletişime geçildiği zaman ayrıca belirtilmesi gerektiği düzenlenmiştir (Tüzük 21/4). Doğrudan pazarlamaya ilişkin olarak ise özel bir düzenleme öngörülmüş olup, kişisel verilerin doğrudan pazarlama amaçlı olarak işlenmesi hâlinde ilgili kişinin bunu reddetme imkânının bulunduğunu da veri sorumlusu ayrıca bildirmekle yükümlüdür (Tüzük 21/2).

Aydınlatma yükümlülüğü kapsamında “planlanan” veri işleme faaliyetleri hakkında ilgili kişi bilgilendirilmektedir. Veri işleme süreçlerine ilişkin profilleme de dâhil olmak üzere otomatik karar mekanizmalarının kullanıldığı bilgisi ile mekanizmaların genel olarak çalışma mantığı, anlamı ve sonuçları hakkında otomatik bir karar elde edilmeden önce ilgili kişi bilgilendirilmektedir (Malgieri ve Comandé, 2017; Wachter, Mittelstadt ve Floridi, 2017). Bu noktada henüz kişiye ilişkin belirli bir karar ya da profil çıkarılmamış durumdadır. Aydınlatma yükümlülüğü kapsamındaki bilgilendirme özellikle belirli bir kararın nasıl verildiğine veya ulaşıldığına dair herhangi bir bilgiyi içermemekte, bunun yerine mekanizmanın nasıl çalıştığını açıklamaktadır. Bu kapsamda örneğin; karar ağacı veya kuralların ya da girdilerin nasıl işleneceği hakkında tahminlerin veri sorumlusu tarafından ilgili kişiye sunulması beklenmektedir (Wachter, Mittelstadt ve Floridi, 2017). Yürütülen veri işleme faaliyetinin ilgili kişiye yönelik etkilerinin aydınlatma metninden anlaşılabilir olması gerekmektedir (Gutwirt, Leenes ve de Hert, 2015, s. 136).

Metninde yer alan “mekanizmanın altında yatan mantık hakkında anlamlı bilgiler” ifadesi ise sunulacak bilgilerin kapsamı ve dili bakımından önemli rol oynamaktadır. Algoritma ya da mekanizmaya ilişkin hangi bilgilerin “anlamlı” olarak değerlendirileceği tartışmalı bir konu teşkil etmektedir. Çalışma Grubu
tarafından yayımlanan otomatik karar mekanizmaları ve profilleme faaliyetlerine ilişkin rehberde, öğrenebilir makinaların büyüklüğünün ve karmaşıklığının otomatik karar mekanizmaları ve profilleme kapsamında çeşitli zorluklar doğurduğu belirtilmiştir. Ancak yine de veri sorumluları algoritmalara ilişkin karmaşık ya da algoritmayı olduğu gibi anlatan açıklamalardan kaçınarak basit bir şekilde ilgili kişiyi bilgilendirmekle yükümlü kılınmıştır (Çalışma Grubu, 251 rev. 01, 2018; ICO, What do we need to think about if we use Artificial Intelligence (AI)). Bu çerçevede akla gelen büyük veri uygulamaları bakımından ise ilgili kişinin tamamen bilgilendirilmesinin güçlüğüne öğretide işaret edilmiştir (Çekin, 2016; Sydow, 2018, par. 14). Wachter ise otomatik karar mekanizmaları bakımından Tüzük uyarınca öngörülen aydınlatma yükümlülüğü kapsamını yeterli olmadığı gerekçesiyle eleştirmektedir (Kaminski ve Malgieri, 2019; Wachter, Mittelstadt ve Floridi, 2017).

Öncelikle söz konusu bilgi teknik bir uzmanlığı bulunmasa bile ilgili kişi tarafından anlamlı bulunmalıdır (Gutwirt, Leenes ve de Hert, 2015, s. 84-85). Ancak veri sorumlusu tarafından yapılacak açıklamanın anlamlı olabilmesi adına unsurların somutlaştırılması gerekmektedir. Bu doğrultuda veri sorumlusu tarafından yapılacak açıklamanın ilgili kişinin özgür iradesini korumaya ve verileri üzerindeki kontrolünü tesise yönelik olması gerektiği kabul edilebilecektir (Selbst ve Powles, 2017, s. 236). Ancak bu beklentinin sınırlarının belirlenmesi aşamasında sorunlar meydana gelmektedir. İlgili kişinin özgür iradesini kurma ve kontrolünün tesisi sübjektif kavramlar olarak her bir ilgili kişi nezdinde farklılık arz edebilmektedir. Bu da farklı uzmanlık seviyelerindeki ilgili kişiler bakımından birbirinden farklı açıklamaları gündeme getirebilmekte ve farklılaşan açıklamalar veri sorumlusunun somut menfaat savunması ile çatışabilecektir. Ancak yine de asgari düzeyde ilgili kişinin veri koruma mevzuatı ve insan hakları hukuku çerçevesinde tanınmış olan haklarını kullanmaya elverişli ve etkin bir bilgilendirmenin sağlanması için veri sorumlusunun hesap verilebilirlik ilkesi gereğince sarf ettiği çabayı ortaya koyması gerekmektedir (Çekin, 2016). Bu da doğal olaraktır ki her bir veri sorumlusu ve hatta veri işleme faaliyeti bakımından farklı bir test gerektirecektir.

Türk hukuku açısından gerek KVKK gerekse Aydınlatma Yükümlülüğü Tebliğ’de aydınlatma yükümlülüğünün maddi unsuruna ilişkin detaylı düzenlemeler yer almamaktadır. Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri sorumlusunun ve varsa temsilcisinin
kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile KVKK 11’de sayılan diğer hakları konusunda ilgili kişiyi bilgilendirme yükümlülüğü altındadır. Veri sorumlusu özellikle açık rıza hukuka uygunluk sebebine dayanması hâlinde geçerli bir açık rızanın söz konusu olması için işlemeye ilişkin her türlü bilgiliyi ilgili kişiye sunmalıdır. Bu kapsamda gerekli bilgilerin KVKK 10 ve 11 kapsamından daha geniş olabileceği öğretide ifade edilmiştir (Yücedağ, 2017).

Aydınlatma yükümlülüğüne ilişkin hükümler bir çerçeve çizerek asgari içeriği belirlemiştir. Özellikle Tüzük ile profilleme ve otomatik karar mekanizmaları göz önünde bulundurularak bilgilendirme kapsamına dâhil edilmiş detaylı hususların KVKK kapsamında olmaması bir eksiklik olarak değerlendirilebilecektir. Ancak KVKK 10/1-ç uyarınca toplama yöntemi ve hukuki sebebine ilişkin bilgileri sunan veri sorumlusunun KVKK kapsamında özel olarak belirtilmemiş olsa dahi profilleme de dahil olmak üzere otomatik karar mekanizmalarının varlığı hakkında ilgili kişiyi bilgilendirmesi dürüstlük kuralı ilkesiyle de bağdaşacaktır. Bu durum ise aydınlatma yükümlülüğünün somut içeriğinin farklı veri işleme faaliyetleri yürüten veri sorumluları bakımından objektif olarak kesin bir şekilde belirlenememesinden kaynaklanmaktadır.

Kişisel Verilerin Doğrudan İlgili Kişiden Toplanmaması

Kişisel verilerin doğrudan ilgili kişiden toplanmadığı hâller bakımından sağlanacak bilgiler büyük ölçüde kişisel verilerin doğrudan ilgili kişilerden elde edildiği hâllerle örtüşmektedir. Tüzük 14/1 kapsamında veri sorumlusunun ayrıca elde ettiği ilgili veri kategorilerini de ilgili kişiye açıklama
yükümlülüğü bulunmaktadır. Buna karşın Tüzük 13/1 de sayılan ve zorunlu içeriğe dâhil olan, kişisel verilerin meşru menfaat hukuka uygunluk sebebine dayanarak işlenmesi hâlinde veri sorumlusu ya da üçüncü tarafça ileri sürülen meşru menfaatin açıklanması Tüzük 14/2’de veri işleme faaliyetinin dürüstlük kuralına uygun ve şeffaf olması için gerekli olması hâlinde sağlanması gereken ek bilgiler arasında sayılmıştır. Yine bu kapsamda kişisel verilerin sözleşmenin kurulması ya da sözleşme gereğince işlenmesinin gerekmesi veya yasal bir zorunluluk uyarınca gerekli olması hâlinde bu duruma ilişkin bilgiler ve verilerin sağlanmamasının muhtemel sonuçlarını açıklama Tüzük 14’de yer almamaktadır.

Verilerin doğrudan ilgili kişiden elde edilmediği hâllerde bu verilerin kamuya açık kaynaklardan elde edilmiş olması özellikle profilleme de dahil olmak üzere otomatik karar mekanizması ve büyük veri uygulamaları bakımından sık rastlanabilecek bir durumdur. Tüzük 14/2’de bu durum gözetilerek, veri sorumlusunun ilgili kişinin verilerini elde ettiği kaynağı açıklama yükümlülüğü ek bilgiler arasında ayılmıştır. Ancak bu kaynakların çok çeşitli olması ve doğrudan belirtilememesi hâlinde genel bilgilerin sağlanması gerektiği Tüzük gerekçelerinde ifade edilmiştir (Tüzük Giriş Bölümü, par. 61).
Özellikle büyük veri uygulamaları bakımından bu yaklaşım önem teşkil etmektedir. Gerek öğretide gerekse endüstride üzerinde uzlaşılmış, net bir büyük veri tanımı bulunmamakla birlikte çeşitli kaynaklarda büyük veri; genel olarak bilgi, teknoloji, yöntem ve etki kavramları ile ilişkilendirilmektedir (Mauro, Greco ve Grimald, 2014). Ayrıca büyük veriyi tanımlayabilmek için kullanılan hız, verinin gerçek zamanlı olması; çeşitlilik, verinin farklı kaynaklardan elde edilebilir olması; hacim, verinin büyük veri kümelerinden oluşması ve değer ise kullanımının bir fayda yaratması şeklinde açıklanmaktadır (Aşıkoğlu, 2018, s. 21). Gerçekten de özellikle profilleme amaçlı kullanılan büyük veri uygulamaları kesin ve gerçeğe yakın sonuçlar elde edebilmek için pek çok kaynaktan veri toplamaktadır. Bunlar kamuya açık –alenileştirilmiş- veriler olabileceği gibi üçüncü taraf uygulamalardan, nesnelerin interneti, RFID ve sensörler gibi çeşitli teknolojiler aracılığıyla da toplanabilmektedir. Büyük veri uygulamaları bakımından genellikle kullanılan verilerin üçüncü taraf uygulamalardan sağlanıyor olması veya veri sorumlularının büyük veri uygulamalarında çalıştırdıkları algoritmaların çalışma prensiplerini tam olarak açıklayamamaları, uygulamaların şeffaflık ve hesap
verilebilirlik ilkesi ile ters düşmesine sebep olmaktadır (Lynskey, 2015, s. 247-248). Nitekim özellikle üçüncü taraf ve kamuya açık kaynaklardan toplanacak veriler bakımından ilgili kişiler nezdinde farklılık doğabilecektir. Örnek olarak uygulama kapsamında sosyal medya verilerinin kullanılmasına aydınlatma metninde hukuka uygunluk sebeplerine uygun olarak yer verilebilir, ancak kişinin sosyal medya hesaplarının olmaması, tespit edilememesi hâlinde bu kişi özelinde bu kaynaklardan veri sağlanamayacaktır. Gerekçede yer alan ifadenin bu şekilde anlaşılması gerektiği belirtilmektedir
(Çalışma Grubu, 260 rev. 01, 2018). Yoksa veri sorumlusuna veri işleme sürecini, toplama kanalları ve işleme amaçlarını belirlemeden genel ifadelerle aydınlatma metni hazırlama imkânı vermemektedir. Nitekim hesap verilebilirlik ve şeffaflık ilkesi uyarınca veri sorumlusunun tasarımdan itibaren veri koruma ve tasarımla veri koruma yükümlülüğü bulunmaktadır. Bu doğrultuda veri sorumlusu veri işleme süreçlerinin hepsi için veri toplama kaynaklarını belirli ve izlenebilir kılmalıdır. Belirtmek gerekir ki bu genel ifadeler ilgili kişinin haklarını kullanarak veri sorumlusuna başvurması hâlinde kullanılamayacaktır. Aydınlatma yükümlülüğünün bütün ilgili kişilere yönelik olması sebebi ile söz konusu olabilecek olan bu durum ilgili kişinin tamamen kendi nezdinde işlenen verilerin nereden, kimler aracılığıyla, ne amaçla toplandığını sorması hâlinde somut olarak belirli olacağından veri sorumlusunun kişisel verileri edindiği üçüncü kişileri açıklaması gerekecektir.

Burada belirtmek gerekir ki KVKK açısından ilgili kişi tarafından alenileştirilmiş verilerin aydınlatma yükümlülüğünden istisna tutulması sebebi ile ilgili kişinin kamuya açıklamış olduğu verileri bu açıklama amacına uygun şekilde elde eden veri sorumlusunun kişiyi ayrıca aydınlatma yükümlülüğü
bulunmamaktadır (KVKK 28/2-a).

Yapay zekâ ve öğrenebilir algoritmalar kullanılan veri işleme faaliyetleri bakımından veri işleme süreçlerinin başında öngörülememiş olan ve ilgili kişiye ilişkin kişisel veriler (örn. profiller) ortaya çıkabilmektedir. Bu mekanizmaların kendi içinde farklı kaynaklardan beslenirken yarattığı korelasyonların sonucunda elde edilen bu veri, veri sorumlusu tarafından kullanılacak ise yine Tüzük 14 hükmü gündeme gelecektir (ICO, What do we need to think about if we use Artificial Intelligence (AI)).

Veri sorumlusunun Tüzük 14 kapsamındaki aydınlatma yükümlülüğünü kişisel verilerin elde edilmesinden itibaren makul süre içerisinde ancak her hâlükârda en geç bir ay içerisinde; söz konusu verilerin iletişim amaçlı olarak kullanılması hâlinde en geç ilgili kişi ile iletişime geçilen anda; söz konusu verilerin diğer alıcılara açıklanması hâlinde en geç ilk açıklama anında yerine getirilmesi gerekmektedir. Türk hukuku açısından bilgilendirmenin ilgili kişiye iletilmesine ilişkin süreler yukarıda açıklanmıştır.

Burada önemle belirtmek gerekir ki kişisel verileri bir başka veri sorumlusundan elde eden veri sorumlusunun aydınlatma yükümlülüğü ilk veri sorumlusunun yükümlülüğünden bağımsızdır. Her hâlükârda ikinci veri sorumlusu söz konusu verileri elde etmesi için ilgili kişinin bilgilendirilmesine dayalı bir hukuka uygunluk sebebine ihtiyaç duymak ve bunun varlığını sorgulamakla yükümlü olacaktır. Tüzük 14 kapsamında düzenlenen ise kendi yürüteceği veri işleme faaliyetleri bakımından ayrıca ilgili kişiyi bilgilendirmesi gereğidir. Bu yönde bir yorum Türk hukuku açısından da geçerli olacaktır. Örneğin bir kariyer sitesi üzerinden ilgili kişilerin özgeçmişlerini ve diğer bilgilerini elde eden veri sorumlusunun internet sitesinden ayrı olarak da aydınlatma yükümlülüğü bulunmaktadır. Nitekim Aydınlatma Yükümlülüğü Tebliğ kapsamında kişisel verilerin ilgili kişiden elde edilmemesi hâlinde aydınlatma yükümlülüğünün yerine getirilmesi için öngörülen süreler belirtilmiştir. Tebliğ’de kişisel verileri doğrudan ilgili kişinin kendisinden elde etmemiş olan veri sorumlusunun aydınlatma yükümlülüğünün maddi içerik olarak değiştirilmediği görülmektedir. KVKK m. 10 ve Aydınlatma Yükümlülüğü Tebliğ m. 4’de yer alan hususları içeren ve madde 5’te belirtilen usul ve esaslara uygun bir aydınlatmayı veri sorumlusunun ilgili kişiye madde 6’da öngörülen sürelere riayet ederek ulaştırması gerekecektir. Ancak burada veri sorumlusunun aydınlatma metninde yer vereceği “kişisel veri toplama yöntemi ve hukuki sebebi” kapsamında yapacağı açıklamalarda söz konusu verileri elde etmesine ilişkin ilişkileri ve hukuki sebepleri açıklarken verileri elde ettiği başka bir veri sorumlusu var ise buna ilişkin açıklamaları yapması gerekebilecektir.

Aydınlatma Metninin Güncellenmesi

Şeffaflık ilkesinin, sadece veri toplama anında değil bir bütün olarak bütün veri işleme süreçleri bakımından da geçerli olması gerekmektedir. Aydınlatma metinlerinin güncellenmesi ve bu güncellemenin ilgili kişiye bildirilmesi maddi ve şekli unsur kapsamında değerlendirilmelidir.
Veri sorumlusunun aydınlatma metninin içeriğinde yapacağı herhangi bir değişikliğin hâli hazırda aydınlatma metni sağlanmış ilgili kişilere de bildirilmesi önem arz etmektedir. Özellikle yapılan değişikliklerin veri işleme faaliyeti bakımından ve ilgili kişi nezdindeki etkilerinin iletilmesi gerekmektedir. Özellikle veri işleme - amacının, veri sorumlusu kimliğinin, ilgili kişinin haklarını kullanma yollarının değişmesi hâlinde bu değişiklikler aydınlatmanın yapıldığı yol ile uyumlu şekilde ya da teknolojik imkânlar doğrultusunda (e-posta, uygulama içi bildirim, internet sitesi bildirimi gibi) ilgili kişinin bu değişikliklerin kendisi nezdinde sonuçlarına anlam vermesine imkân verir şekilde bildirilmelidir.

Tüzük’te veri sorumlusunun kişisel verilerin toplandığı anda belirtmiş olduğu amaçtan başka bir amaçla kişisel verileri işleme yönünde bir niyetinin olması hâlinde sonraki amaç uyarınca kişisel verileri işlemeden önce bu hususa ilişkin bilgileri ilgili kişiye sağlaması gerektiği özel olarak düzenlenmiştir. Bu düzenleme esas olarak amaçla bağlılık ilkesine ilişkindir (sonraki amaca ilişkin olarak açıklamalar için bkz. Çekin, 2019, s. 66; Yücedağ, 2019). Tüzük 5/1-b uyarınca kişisel veriler “belirli, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenemez”. Burada sonraki amacın, kişisel verilerin toplandığı anda ilgili kişiye belirtilmiş olan amaç ile uyumlu olması yani ilgili kişi tarafından öngörülebilir, beklenebilir bir amaç olması hâlinde bu bağlantılı amacın da ilgili kişiye bildirilmesi gerektiği hatta veri sorumlusunun sonraki amacın ilk amaçla uyumluluğuna ilişkin
açıklamaları da ilgili kişiye sunması gerektiği Çalışma Grubu tarafından belirtilmektedir (Çalışma Grubu, 260 rev. 01, 2018). Tüzük aksine KVKK’da sonraki amaca ilişkin olarak bir düzenleme yer almamakla birlikte buna uyumlu şekilde sonraki amaca ilişkin önceki amaç doğrultusunda herhangi bir uyumluluk testi öngörülmeksizin yeni amaçlarla kişisel verinin işlenecek olması hâlinde veri sorumlusunun ilgili kişiyi tekrardan bilgilendirmekle yükümlü olduğu hüküm altına alınmıştır.

Ancak Tüzük kapsamında bu değişikliklerin bildirilmesinde herhangi bir süre öngörülmemiştir. Yalnızca yeni ortaya çıkan amaç bakımından amaç uyarınca işleme faaliyetine başlamadan önce bilgilerin iletilmesi gerektiği hüküm altına alınmış ancak veri sorumlusunun değişmesi, güvenlik tedbirlerinin değişmesi gibi aydınlatma metninin diğer hususlarındaki güncellemelerin bildirimi için özel bir düzenleme getirilmemiştir. Bu doğrultuda yapılan değişikliğin niteliğine göre ilgili kişinin herhangi bir hak kaybına uğramamasını sağlayacak, ilgili kişinin yapılan değişikliğe ilişkin olarak kendisi üzerindeki etkilerini değerlendirmesine ve değişikliğe ilişkin olarak Tüzük uyarınca sahip olduğu hakları kullanmasına elverişli bir süre tanınmalıdır (Çalışma Grubu, 260 rev. 01, 2018). Bu noktada veri sorumlusunun şeffaflık ve hesap verilebilirlik ilkesi uyarınca özellikle önemli değişiklikler bakımından sadece değişikliği bildirmesi değil ek olarak bu değişikliğin ilgili kişi nezdinde bir etkisi olacak ise bunu da açıklaması gerekecektir.

Aydınlatma Yükümlülüğünün Şekli ve Maddi Unsuruna İlişkin Sorunlar

Tüzük’ün yürürlüğe girmesiyle beraber pek çok şirket aydınlatma metinlerini (privacy policy) güncelleyerek kullanıcılarına tekrar iletmiştir. Avukatlar tarafından hazırlanan ve çoğu zaman ağdalı ifadeler içeren bu metinler ilgili kişiler için anlaşılmaz ve uzun olabilmektedir (Yücedağ, 2019). Aydınlatma yükümlülüğü ilgili kişinin kişisel verilerinin akıbeti hakkında karar vermesi, bilgilenmesi, haklarının farkında olması bakımından büyük önem taşımaktadır. Bu bakımdan aydınlatma yükümlülüğü bir formalitenin yerine getirilmesi değil, ilgili kişi nezdinde faydanın gerçekleşmesine hizmet etmelidir.

Avrupa Tüketici Organizasyonu (BEUC) destekli proje kapsamında büyük şirketlerin aydınlatma metinleri yapay zekâ tarafından değerlendirilmiştir (Contissa ve diğerleri 2018). Proje kapsamında Google, Facebook, Instagram, Amazon, Apple, Microsoft, WhatsApp, Twitter gibi dünyada çok fazla kullanıcısı olan 14 uygulama seçilerek çalışma bu uygulamaların aydınlatma metinleri üzerinden yürütülmüştür. Tam bilgi, yetersiz bilgi, açık olmayan dil ve sorunlu veri işleme faaliyeti olarak 4 kategori altında cümle cümle değerlendirilen aydınlatma metinlerinde pek çok eksik olduğu ve Tüzük beklentilerinin karşılanamadığı ortaya konmuştur. Yine Digital World Market Watch tarafından yayınlanan çalışmada 8 sosyal medya uygulaması üzerinden yapılan incelemede aydınlatma metinlerinden kullanıcıların hangi verilerinin, hangi amaçla ve hangi hukuka uygunluk sebebine dayanılarak toplandığını anlamalarının güç olduğu ifade edilmiştir (Digital World Market Watch, 2018, s. 2).

Bir Expert Group, 2019). Tüzük uyarınca uygulanan

Çalışma

Diğer

Çalışma Alanlarımız

Adres ve İletişim