Yeni Gelişme
Kişisel Verileri Koruma Kurumu (“Kurum“), 8 Kasım 2019 tarihinde internet sitesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun“) 10. maddesinde düzenlenen veri sorumlarının ilgili kişileri aydınlatma yükümlülüğüne ilişkin bir kamuoyu duyurusu yayımladı.
Duyuru Ne Anlama Geliyor?
Kanun’un 10. maddesi uyarınca, tüm veri sorumluları kişisel verilerini işledikleri ilgili kişileri açık ve anlaşılır bir şekilde aydınlatmakla yükümlüdür. Uygulamada birçok veri sorumlusu, söz konusu aydınlatma yükümlülüklerini internet sitelerinde sağladıkları aydınlatma metinleri ile yerine getirmektedir.
Kurum, gerçekleştirdiği incelemelerde, başta medya kuruluşları olmak üzere, çeşitli veri sorumlularının internet sayfalarında yer alan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğü’ne (“GDPR“) atıf yapıldığını gözlemlediğini belirtmiştir.
Bu doğrultuda Kurum, GDPR hükümleri ile uyumlu olarak faaliyet gösteren bir veri sorumlusunun Kanun kapsamındaki yükümlülüklerinin ortadan kalkmadığını ve tüm veri sorumlularının öncelikle Kanun’da yer alan hükümlere uygun faaliyet göstermeleri gerektiğini ifade etmiştir. Bu kapsamda, veri sorumlularının aydınlatma metinlerinde yalnızca GDPR’a atıf yapılması Kanun’un 10. maddesi uyarınca ilgili kişileri aydınlatma yükümlülüğünün yerine getirilmesinde Kurum tarafından yeterli görülmemiştir. Dolayısıyla, veri sorumlularının aydınlatma metinlerinde Kanun hükümlerine açıkça atıfta bulunmaları, muğlak ve belirsiz ifadelerden kaçınmaları ve aşağıdaki hususlar hakkında açık ve ayrıntılı bilgi vermeleri gerektiği belirtilmiştir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanun’un 5. ve 6. maddelerinde yer alan işleme şartlarından hangisine dayanıldığı açıkça belirtilmelidir), ve
- İlgili kişinin Kanun’un 11. maddesinde sayılan diğer hakları.
Sonuç
Kurum, Türkiye’de yerleşik kişilerin kişisel verilerini işleyen yabancı şirketler ile çok uluslu şirketlerin Türkiye’de kurulu iştiraklerine yönelik denetim faaliyetlerini artırıyor. Aydınlatma yükümlülüğünün ihlali kapsamında kesilen yüksek para cezaları dikkate alındığında, özellikle GDPR’a tabi veri sorumlularının Türkiye’deki faaliyetleri bakımından GDPR ile uyumlu olmaları tek başına yeterli sayılmayacaktır. Bu nedenle, tüm veri sorumlularının özel olarak Kanun’da yer alan tüm hüküm ve ilkelere uyumlu olmak için gerekli adımları atmaları gerekmektedir.