Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ!

Print Friendly, PDF & Email

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliği”) ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Veri Sorumlusuna Başvuru Tebliği”) 10 Mart 2018 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girdi. Bu iki tebliğ ile kişisel verilerinizin korunmasına ilişkin oldukça önemli düzenlemeler getirildi.

Bu tebliğler hakkında detaylı bilgiler anlatılmadan önce veri sorumlusu ve veri sahibinin kimler olduğu konusunda kısa bir bilgi vermekte fayda var. Veri sorumlusu, kişisel verileri işleyen ve tüm sürecin merkezinde bulunan; veri sahibi, kişisel verileri işlenen toplanan kaydedilen kişiler olarak açıklanabilir.

Öncelikli olarak Aydınlatma Yükümlülüğü Tebliği kapsamında, yapılacak olan bilgilendirmenin içermesi gereken zorunlu hususlar açıklığa kavuşturuldu. Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verinin işlenme amacı, kimlere hangi amaçla aktarılabileceği, bunların toplama yöntemleri, hukuki sebepleri ve veri sorumlusuna başvuru yapıldığı takdirde ilgili kişinin bilgi alabilmesine ilişkin düzenlemeler getirildi.

Bunun yanı sıra veri sorumlularına ilişkin aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğine ilişkin detaylı ve oldukça önemli düzenlemelere yer verildiği de görülüyor. Veri sahibinin veri işleme amacı hakkında belirli ve açık, muğlak ifadelere yer vermeyecek şekilde aydınlatılması, veri işleme amacı değiştiğinde veri sahibinin bu değişikliğe istinaden ayrıca ve tekrar bilgilendirilmesi gerekliliği yer alıyor. Öte yandan, veri sorumlusuna aynı veri sahibine ilişkin bilgilerin birden fazla amaç için işlendiği durumlarda da her bir amaç için ayrı ayrı aydınlatma yükümlülüğü getirdiği anlaşılıyor. Böylelikle alınan veriler sadece belirli bir amaç dâhilinde kullanılabilecek.

Tebliğ kapsamında belki de en çok üzerinde durulması gereken düzenleme, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak yapılması durumunda aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin veri sorumlusu tarafından ayrı ayrı gerçekleştirilmesi gerekliliğine ilişkin düzenlemedir. Bir başka deyişle, kişisel verilerin işlenmesine ilişkin olarak alınan rızanın aydınlatma metninin içerisine yedirilmeksizin, ayrı bir sekmede açıkça alınması gerekiyor.

Tebliğ’de aydınlatma yükümlülüğüne ilişkin son düzenleme ise, kişisel verilerin veri sahibinden elde edilmemesi durumunda veri sorumlusuna yüklenen bir sorumluluğa ilişkin. Buna göre, kişisel veri doğrudan veri sahibinden elde edilmiyorsa bu verilerin elde edilmesinden itibaren makul bir sürede bir başka deyişle mümkün olan en kısa sürede veri sorumlusunun veri sahibine karşı aydınlatma yükümlülüğü doğuyor.

Öte yandan Veri Sorumlusuna Başvuru Tebliği ise adından da anlaşılacağı üzere kişisel verileri işlenen gerçek kişilerin veri sorumlusuna başvuruyu nasıl yapacağına ilişkin düzenlemeleri içeriyor. Başvuru dilinin Türkçe olması şartının yanı sıra başvurunun yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletileceği düzenleniyor. Bu konuda belirtilmesi gereken noktalardan bir diğeri ise veri sorumlusunun gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olmasıdır. Böyle bir düzenlemeye yer verilmesinin nedeni ise başvuruların etkin bir şekilde sonuçlandırılması olarak açıklanıyor. Ancak veri sorumlusu, veri sahibinin talebini yerine getirirken sınırsız bir süreye sahip olmayıp 30 günlük bir süreyle sınırlandırılıyor.

Kişisel Verileri Koruma Kurumu bu iki tebliğ ile veri sahibinin haklarını mümkün olduğunca güvence altına alarak kendisi hakkında oluşturulan her türlü verinin kullanımı ile ilgili bilgilendirme yükümlülüğünü veri sorumlusuna yüklediğini, veri sahibine de dilediğinde bilgi alma hakkını tanıdığını ayrıntılarıyla açıklıyor. Ayrıca bu düzenlemeler, Kişisel Verileri Koruma Kurumu’nun kişisel verilerin korunmasına yönelik çalışmalarını tam gazla sürdürdüğünü gösteriyor. Bakalım bu alanda Kurum tarafından ilerleyen dönemlerde ne gibi yeni düzenlemeler getirilecek…