top of page
Ara

KVKK BİLGİLENDİRMELERİ NASIL OLMALI?

  • Yazarın fotoğrafı: Rabia Alaz Dağcı
    Rabia Alaz Dağcı
  • 24 Ara 2025
  • 3 dakikada okunur

Güncelleme tarihi: 25 Ara 2025

Veri Korumada Çatı Prensipler: Şeffaflık, Dürüstlük ve Hukuka Uygunluk


Bu prensipler, kişisel verilerin işlenmesini yasal sınırlar içerisine alan, veri koruma rejimine şeklini veren ilkelerdir. Gerek Avrupa Birliği Veri Koruma Tüzüğü (GDPR) gerekse Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veriler, hukuka uygun, adil ve şeffaf bir biçimde işlenir. Bu üç ilke birbirinden ayrılmaz bir bütünlük sergiler. Veri sorumlusu verileri, hukuka aykırı veya adil olmayan şekilde veya bazı kısımlarını gizli tutarak işlerse, bu ilkelerin hepsini ihlal etmiş sayılır.



Şeffaflık


Şeffaflık; veri işleme faaliyetlerinin başından itibaren, tüm faaliyetlerde açık, şeffaf ve dürüst olunmasıdır. Buna göre, veri işleme faaliyetlerine ilişkin her bir bilgi kolayca erişilebilir, anlaşılabilir olmalı ve sade bir dil ile sağlanmalıdır. Gerçek kişiler, hangi verilerin toplandığı, işlendiği konusunda bilgilendirilmeli; kişiler, veri sorumlusunun kim olduğunu, veri işlemenin amacını, işlemenin adil ve şeffaf olduğunu destekleyen her türlü bilgiye erişebilmelidir.


Veri sorumlusu veri sahipleri ile ilişkisinde faaliyetlere ilişkin her zaman şeffaf olduğunu ispatla yükümlüdür. Veri koruma rejiminde, veri sorumlularına böyle bir yükümlülük yüklenmesinin temeli, veri sahiplerinin haklarını kullanmasında bu prensibin hayati oluşudur. Kişiler, verilerinin ne amaçla kullanılacağını ve nasıl bir sonuçla karşılaşacaklarını önceden bildikleri takdirde bu veri işleme faaliyetine dahil olma hususunu değerlendirebilecek; işlemeye ilişkin şartları görüşmeye çalışacakları daha bilinçli bir karar verebileceklerdir.


Aynı zamanda bilgilendirilmeye dayanılarak alınan rıza, veri sorumlularının hesap verilebilirliğini arttırır; rızanın geri alınabilmesi de ancak veri sahibinin bilgilendirildiği hallerde işlerlik kazanır.


Şeffaflık, verilerin veri sahiplerinden sağlanmadığı hallerde de önemlidir zira bu hallerde veri sahipleri verilerinin işlendiğinden haberdar olamayacak ve haklarını kullanamayacaklardır.


Bu ilkeye uygun olarak yapılacak her bilgilendirme:


- Sade, şeffaf, anlaşılır ve kolayca erişilebilir olmalı

- Açık ve sade bir dil ile kaleme alınmalı

- Çocuklara yönelik ise dilin anlaşılır ve sade olmasına ayrıca dikkat edilmeli

- Yazılı veya elektronik araçlarla yapılmalı, talep halinde sözlü bilgilendirilme yapılabilmeli ve bu hizmet mümkün olduğunca ücretsiz yapılmalıdır.



Kolay Erişilebilirlik


Veri sahibi, bilgiyi aramak zorunda olmamalıdır. Veri işleme faaliyetlerine ilişkin tüm bilgilere nereden ve nasıl ulaşılacağı açık olmalıdır. Bilgiler doğrudan veri sahiplerine iletileceği gibi; veri sahipleri, gizlilik prensiplerinin bulunduğu çevrimiçi bir platforma yönlendirilebilir veya interaktif bir chatbot arabirimi ile dijital bağlamda bilgilendirilebilirler.


Açık ve Sade Dil Kullanımı


Veri sahipleri bilgilendirilirken karmaşık cümlelerden kaçınılarak olabildiğince sade bir dil kullanılmalıdır. Verilen bilgiler, belirli ve kesin olmalı; belirsiz, çelişkili ve yorumlamaya açık ifadelere yer verilmemelidir. Çalışmamızın ilerisine dayanak oluşturması açısından aşağıda verilen örnekler açık ve anlaşılır olmadığından, temel prensibe aykırılık teşkil ederler:


- “ Verilerinizi hizmetlerimizi geliştirmek için kullanabiliriz” ifadesinde hangi hizmetler olduğu ve verilerin hizmetleri geliştirmede ne gibi bir fayda sağlayacağı hususu belirsizdir.

- “ Verilerinizi araştırma amacıyla kullanabiliriz” ifadesinde ne tür bir araştırma olacağı belirsizdir.

- “Verilerinizi size özel hizmet sunmak için kullanabiliriz” ifadesinde kişiselleştirme işleminin neleri gerektirdiği açık değildir.


Aşağıdaki örnekler ise temel prensibe uygun şekilde açık ve anlaşılır ifadeler barındırmaktadır.


- “İlgileneceğinizi düşündüğümüz ürünleri size önerebilmek için, alışveriş geçmişinizi ve daha önce satın almış olduğunuz ürünlerin özelliklerini sistemimizde tutacağız” ifadelerinde hangi kişisel verilerin kullanılacağı, veri işlemenin amacı ve sonucu açık ve net biçimde yer almıştır.

- “Sitemizi daha sezgisel hale getirebilmek adına yaptığımız analizlerde kullanmak için internet sitemizdeki hareketlerinizi kaydedeceğiz” ifadesinde hangi verilerin kaydedileceği, analizin ne

olduğu ve hangi amaçla yapıldığı açıktır.

- “İlgi alanınıza yönelik reklamları size sunabilmek için internet sitemizdeki hangi yazılara tıkladığınız kaydedilecektir” ifadelerinde kişiselleştirmenin kapsamı ve kişiselleştirmenin neye göre yapıldığı açıkça ifade edilmiştir.


Bilgilendirilme Hakkı ve Şeffaflık


Gerçek kişiler, verilerinin toplandığı ve işlendiğine dair bilgilendirilme hakkına sahiptir. KVKK 11. Maddesi ile bağlı mevzuatlar, GDPR’nin 13. ve 14. maddeleri, veri sahibinin hangi konularda bilgilendirilme hakkı olduğunu düzenlemektedir.


Bu bilgiler temel gizlilik bilgisi olarak adlandırılmakta ve asgari sınırları çizmektedir.


Buna göre veri sorumluları, veri sahiplerini şu hususlarda bilgilendirmelidir:


- Veri sorumlusu şirketin, varsa temsilcisinin ve veri koruma görevlisinin kimliği, iletişim bilgileri,

- Veri işlemenin yasal dayanağı ve amacı,

- Eğer veri işlemenin temeli buna dayanıyorsa, veri sorumlusunun meşru menfaati,

- Verilerin alıcılarının kimlikleri veya kategorileri,

- Veriler kişilerden bizzat alınmadıysa hangi verilerin kullanıldığını ve veri toplama kaynaklarının ne olduğu,

- Veri sahipleri, kanun veya sözleşmesel bir zorunluluk nedeniyle verilerini vermek zorundalarsa bu durumun detayları,

- Üçüncü bir ülkeye veya uluslararası organizasyona aktarım yapılacaksa, alıcıların bilgileri ve uygun güvencelere dayanıp dayanmadığı,

- Verilerin hangi süreyle depolanacağı veya bu sürenin belirlenmesinde kriterin ne olduğu,

- Otomatik karar verme ve kişiselleştirme var ise detayları,

- Veri sahibinin diğer hakları.


Okuyucuya not: Veri sahibi ilgili kişinin 'beklemediği' veya bu kişiye 'sürpriz' görünecek her sürecinizde yasal bir eksiklik olduğu varsayılabilir. Esas olan kişinin gizlilik beklentisi ve bilgisi dahilinde operasyonları yönetmektir.


SONUÇ


Veri koruma rejiminin özünde, ilgili kişilerle iletişimin hesap verilebilir olması bulunmaktadır. Hesap verilebilirlik ise süreçlerin yazılı ve şeffaf olması ile mümkündür. Veri sorumluları tüm faaliyetlerinde bu ilkeleri gözeterek süreçlerini dizayn etmelidir.


Veri koruma yalnızca bir “doküman hazırlama” süreci olarak değil; kurumun uçtan uca güven altyapısını inşa eden bir mimari olarak ele alınmalıdır. Çözüm ortaklığı ve danışmanlık hizmetlerimiz için bizimle iletişime geçebilirsiniz.


 
 
 

Yorumlar

bottom of page