TR EN DE

Aydınlatma Yükümlülüğü

KVKK Madde 10 kapsamında veri sorumlusunun aydınlatma yükümlülüğü, aydınlatma metninin zorunlu içeriği, Aydınlatma Tebliği hükümleri, katmanlı aydınlatma ve pratik uygulamalar.

Summary in English

Overview

This article examines the data controller's transparency and information obligation under Turkish Personal Data Protection Law No. 6698 (KVKK) Article 10. The information obligation is the concrete reflection of the transparency principle.

Key Points

  • Mandatory Content: Privacy notices must include data controller identity, processing purposes, recipients, collection method, legal basis, and data subject rights.
  • Timing: Information must be provided before or at the time of data collection, not after processing has begun.
  • Layered Notice: The Information Notice Communique allows layered approach with short notice first and detailed information accessible via link.
  • Channel-Specific Methods: Different methods apply for websites, mobile apps, physical stores, call centers, and CCTV systems.
  • Separation from Consent: Information obligation and consent must be kept separate; combining them in one form is considered a violation.
Full article in Turkish below

Überblick

Dieser Artikel untersucht die Transparenz- und Informationspflicht des Verantwortlichen nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) Artikel 10. Die Informationspflicht ist die konkrete Umsetzung des Transparenzgrundsatzes.

Kernpunkte

  • Pflichtinhalt: Datenschutzhinweise müssen Identität des Verantwortlichen, Verarbeitungszwecke, Empfänger, Erhebungsmethode, Rechtsgrundlage und Betroffenenrechte enthalten.
  • Zeitpunkt: Informationen müssen vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden, nicht nachdem die Verarbeitung begonnen hat.
  • Gestaffelte Hinweise: Die Informationspflicht-Verordnung erlaubt einen gestaffelten Ansatz mit Kurzhinweis zuerst und detaillierten Informationen über Link zugänglich.
  • Kanalspezifische Methoden: Unterschiedliche Methoden gelten für Websites, mobile Apps, physische Geschäfte, Callcenter und CCTV-Systeme.
  • Trennung von Einwilligung: Informationspflicht und Einwilligung müssen getrennt gehalten werden; die Kombination in einem Formular gilt als Verstoß.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Aydınlatma yükümlülüğü, veri koruma hukukunun temel ilkelerinden biri olan şeffaflık ilkesinin somut yansımasıdır. Veri sorumlusu, kişisel verileri işlemeye başlamadan önce ilgili kişiyi bilgilendirmekle yükümlüdür. Bu yükümlülük, ilgili kişinin verilerinin nasıl işleneceğini anlamasını ve haklarını kullanabilmesini sağlar.

Karşılaştırmalı Hukuk
AB (GDPR Madde 13-14): Ayrıntılı bilgilendirme yükümlülüğü öngörülmüştür. Verilerin doğrudan ilgili kişiden alınması (Madde 13) ve üçüncü kişilerden alınması (Madde 14) için farklı kurallar mevcuttur. "Fair processing information" kavramı kullanılır.

ABD: Kapsamlı federal düzenleme yoktur. Sektörel yasalarda (HIPAA, GLBA) bilgilendirme yükümlülükleri mevcuttur. California CPRA "notice at collection" zorunluluğu getirir.

Almanya: GDPR kuralları doğrudan uygulanır. Ek olarak, Telemediengesetz (TMG) ve TTDSG çerçevesinde web siteleri için özel bilgilendirme gereklilikleri mevcuttur.

Türkiye: KVKK Madde 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile düzenlenmiştir.

2. Yasal Dayanak

KVKK Madde 10 - Veri Sorumlusunun Aydınlatma Yükümlülüğü
"Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür."

3. Aydınlatmanın Zorunlu İçeriği

Aydınlatma metni, KVKK Madde 10'da sayılan beş unsuru mutlaka içermelidir. Bu unsurlardan herhangi birinin eksikliği, aydınlatma yükümlülüğünün ihlali anlamına gelir.

Unsur Açıklama Örnek
Veri sorumlusu kimliği Unvan, adres, iletişim bilgileri "ABC A.Ş., Merkez Mah. No:1, İstanbul"
İşleme amacı Verilerin hangi amaçlarla işleneceği "Sipariş işleme, teslimat, müşteri hizmetleri"
Aktarım bilgisi Kimlere, hangi amaçla aktarılacağı "Kargo şirketlerine teslimat amacıyla"
Toplama yöntemi ve hukuki sebep Nasıl toplandığı ve hangi KVKK m.5/6 şartına dayandığı "Web sitesi üzerinden, sözleşmenin ifası için"
İlgili kişi hakları KVKK m.11'deki hakların bildirilmesi "Verilerinize erişim, düzeltme, silme talep edebilirsiniz"

3.1. KVKK ve GDPR Karşılaştırması

Bilgi KVKK m.10 GDPR m.13-14
Veri sorumlusu kimliği Zorunlu Zorunlu + DPO iletişim bilgileri
İşleme amacı Zorunlu Zorunlu
Hukuki dayanak Zorunlu Zorunlu
Aktarım bilgisi Zorunlu Zorunlu + yurt dışı aktarım detayları
Saklama süresi Belirtilmemiş Zorunlu
Meşru menfaat açıklaması Belirtilmemiş Zorunlu (meşru menfaat halinde)
Otomatik karar alma bilgisi Belirtilmemiş Zorunlu (profilleme dahil)
Rıza geri alma hakkı m.11 kapsamında Ayrıca belirtilmeli

4. Aydınlatma Tebliği

10.03.2018 tarihli Resmî Gazete'de yayımlanan "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ", aydınlatma yükümlülüğünün nasıl yerine getirileceğini detaylı olarak düzenlemektedir.

4.1. Aydınlatmanın Şekli

Tebliğ Madde 5/1 - Aydınlatmanın Şekli
"Aydınlatma yükümlülüğü yerine getirilirken kullanılacak yöntem, işlenen verinin niteliği, amacı ve veri işleme faaliyetine göre, kişisel veri işleme faaliyetinin gerçekleştiği kanalın özelliklerine göre belirlenmelidir."
Kanal Önerilen Yöntem Dikkat Edilecekler
Web sitesi Aydınlatma metni sayfası + form üstü kısa bilgi Erişilebilir link, okunabilir font
Mobil uygulama Kayıt ekranında aydınlatma + ayarlar menüsü Küçük ekran için optimize
Fiziksel mağaza Görünür tabela + form üzerinde kısa bilgi Okunabilir boyut, erişilebilir konum
Çağrı merkezi Sesli aydınlatma + SMS/e-posta ile detay Makul sürede, anlaşılır dil
E-posta pazarlama Kayıt formunda aydınlatma Onay öncesi bilgilendirme
CCTV/Kamera Görünür tabela + detaylı metin Giriş noktalarında bilgilendirme

4.2. Katmanlı Aydınlatma

Tebliğ, "katmanlı aydınlatma" yöntemini açıkça kabul etmiştir. Bu yöntemde, kısa ve özet bilgi ilk katmanda sunulur; detaylı bilgiye erişim için link veya yönlendirme sağlanır.

Katmanlı Aydınlatma Örneği
1. Katman (Kısa Bilgi): "Kişisel verileriniz ABC A.Ş. tarafından sipariş işleme ve teslimat amacıyla işlenmektedir. Detaylı bilgi için [Aydınlatma Metni] linkine tıklayınız."

2. Katman (Detaylı Metin): KVKK m.10'da sayılan tüm unsurları içeren tam aydınlatma metni.

4.3. Aydınlatmanın Zamanı

Tebliğ Madde 5/2 - Aydınlatmanın Zamanı
"Aydınlatma yükümlülüğü, kişisel veri işleme faaliyetinin başlamasından önce yerine getirilmelidir."
Kurul Kararı - Aydınlatma Zamanı
Kurul'un 2019/165 sayılı kararında, bir bankanın müşteri verilerini işledikten sonra aydınlatma yapmasının KVKK'ya aykırı olduğuna hükmedilmiştir. Kurul, aydınlatmanın veri toplama anında veya öncesinde yapılması gerektiğini vurgulamıştır.

5. Aydınlatma İlkeleri

Tebliğ, aydınlatma yükümlülüğünün yerine getirilmesinde uyulması gereken temel ilkeleri belirlemiştir:

İlke Açıklama Uygunsuz Örnek
Açıklık ve anlaşılırlık Sade dil, jargondan kaçınma "KVKK m.5/2-c kapsamında..." (teknik dil)
Yazılı veya elektronik İspatlanabilir yöntem Sadece sözlü bilgilendirme
Amaca uygunluk Gerçek işleme faaliyetini yansıtma Genel, her şeyi kapsayan ifadeler
Doğruluk Yanıltıcı olmama "Verileriniz paylaşılmayacaktır" (paylaşılırken)
Güncellik Değişikliklerin yansıtılması Eski amaçları içeren metin

6. Aydınlatma ve Açık Rıza Ayrımı

Uygulamada sıkça karşılaşılan hatalardan biri, aydınlatma yükümlülüğü ile açık rıza alınmasının karıştırılmasıdır. Bu iki kavram farklı amaçlara hizmet eder ve farklı şekilde yerine getirilmelidir.

Özellik Aydınlatma Açık Rıza
Amaç Bilgilendirme Onay alma
Zorunluluk Her durumda zorunlu Sadece m.5/1 veya m.6/2 hallerinde
İlgili kişi eylemi Gerekli değil (tek taraflı) Aktif onay gerekli
Geri alınabilirlik Geri alınamaz (bilgi verilmiştir) Her zaman geri alınabilir
Birleştirme Ayrı tutulmalı Ayrı tutulmalı
Kurul Kararı - Aydınlatma ve Rıza Ayrımı
Kurul'un 2019/78 sayılı kararında, bir şirketin aydınlatma metnini açık rıza formu içinde sunmasının hukuka aykırı olduğuna karar verilmiştir. Kurul, aydınlatma ve açık rızanın ayrı ayrı yerine getirilmesi gerektiğini, aksi halde ilgili kişinin yanıltılabileceğini belirtmiştir.

7. Özel Durumlar

7.1. Dolaylı Veri Toplama

Veriler doğrudan ilgili kişiden değil de üçüncü kişilerden elde edildiğinde, aydınlatma yükümlülüğü farklı şekilde yerine getirilir.

Tebliğ Madde 6 - Dolaylı Toplama
"Kişisel verilerin ilgili kişiden elde edilmemesi halinde; kişisel verilerin elde edilmesinden itibaren makul bir süre içinde, ilgili kişi ile ilk iletişim kurulması esnasında veya kişisel verilerin aktarılacağı kişilere ilk aktarımın yapılması esnasında aydınlatma yükümlülüğü yerine getirilir."

7.2. Çocukların Aydınlatılması

Çocuklara yönelik aydınlatma metinleri, çocukların anlayabileceği basit ve açık bir dille hazırlanmalıdır. GDPR'ın aksine KVKK'da çocuklara özel düzenleme bulunmamakla birlikte, Kurul kararları bu konuda yönlendirme sağlamaktadır.

7.3. Kamera Kayıt Sistemleri

Kurul Kararı - CCTV Aydınlatması
Kurul'un 2020/149 sayılı kararında, bir AVM'nin kamera sistemi için yeterli aydınlatma yapmaması nedeniyle idari para cezası uygulanmıştır. Kurul, kamera kaydı yapılan alanlarda görünür uyarı tabelaları bulunması ve detaylı aydınlatma metnine erişim sağlanması gerektiğini belirtmiştir.

8. Yaptırımlar

Aydınlatma yükümlülüğünün yerine getirilmemesi, KVKK'nın 18. maddesi kapsamında idari para cezası ile yaptırıma bağlanmıştır.

KVKK Madde 18/1-a - İdari Para Cezası
"10 uncu maddede öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar (2024 yılı güncel değerleri) idari para cezası verilir."

9. Aydınlatma Metni Hazırlama Kontrol Listesi

Aydınlatma Metni Kontrol Listesi
  1. Veri sorumlusunun tam unvanı, adresi ve iletişim bilgileri belirtildi mi?
  2. Kişisel veri işleme amaçları açık ve anlaşılır şekilde yazıldı mı?
  3. Verilerin aktarılacağı alıcı grupları ve aktarım amaçları belirtildi mi?
  4. Veri toplama yöntemi (web formu, sözlü beyan, vs.) açıklandı mı?
  5. Hukuki sebep (KVKK m.5/2 veya m.6/3 bentlerinden hangisi) belirtildi mi?
  6. KVKK m.11'deki ilgili kişi hakları sıralandı mı?
  7. Başvuru yöntemi (e-posta, posta, KEP) ve adresi belirtildi mi?
  8. Metin sade ve anlaşılır bir dille yazıldı mı?
  9. Aydınlatma, veri işlemeden önce yapılacak şekilde konumlandırıldı mı?
  10. Aydınlatma metni güncel mi?

10. Sonuç

Aydınlatma yükümlülüğü, veri koruma hukukunun temel taşlarından biridir ve ilgili kişilerin kişisel verileri üzerindeki kontrolünü sağlamanın ilk adımıdır. KVKK, aydınlatma yükümlülüğünü veri sorumluları için zorunlu kılmış ve Tebliğ ile uygulamaya ilişkin detayları belirlemiştir.

Uygulamada en sık yapılan hatalar; aydınlatmanın veri işleme başladıktan sonra yapılması, açık rıza ile karıştırılması, genel ve belirsiz ifadeler kullanılması ve güncel tutulmamasıdır. Veri sorumlularının, her veri işleme kanalı için uygun aydınlatma yöntemini belirlemesi ve KVKK m.10'da sayılan tüm unsurları eksiksiz olarak sunması gerekmektedir.

KVKK Makale Serisi 4 / 15
Özel Nitelikli Veriler Açık Rıza

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.