Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma ve Açık Rıza Metinlerinde Sıklıkla Yapılan Hatalar
Kişisel Verilerin Korunması Kanununun yürürlüğe girmesinin üzerinden 4 yıl geçmesine rağmen kanunun yanlış ve yetersiz bir şekilde uygulandığı görülmektedir. Kanun gereği veri sorumluları teknik ve idari tedbirleri almak ile birlikte ilgili kişileri aydınlatmak ile yükümlüdür. Uygulamada sıklıkla hata yapılan alanlar aydınlatma metinleri ve açık rıza metinleridir.
Aydınlatma ve açık rıza metinlerinde yapılan en büyük hatalardan biri aydınlatma metni ile açık rıza metinlerinin aynı başlıkla belirtilmesidir. Çoğu veri sorumlusu internet sitesinde, telefon uygulamalarında ve yazılı metinlerde aydınlatma metnini okudum anladım vb. bir yol izlemekte, ayrı bir metinde açık rızayı belirtmemektedir. Kişisel Verilerin Korunması Kanunu açık rızayı;
“Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”şeklinde tanımlamıştır. Aydınlatma metnine okudum anladım vb. bir imza alınması kanunda belirtildiği gibi açık rızanın bilgilendirmeye dayanması ve belli bir konuya ilişkin olması unsurlarını taşımadığı için geçersiz bir açık rızadır. Kişisel Verileri Koruma Kurumu rehberlerinde, etkinliklerinde vb. birçok platformda bu hususu defalarca belirtmesine rağmen, uygulamada kanuna uygun aydınlatma metni ve açık rıza çok azdır.
Kanuna uygun açık rızanın alınması için aydınlatma metinleri envantere göre hazırlanmalı, açık rıza alınacak alanlar tespit edilmelidir. Bu tespitten sonra çalışandan sabıka kaydı alınacaksa (ki alınmaması KVKK Mad.4 ‘de belirtilen ilkeler uyarınca gerekmektedir) bunun için açık rızasının gerekli olduğu aydınlatma metninde belirtilmeli, bundan sonra kanundaki tanıma uyan şekli ile açık rıza alınmalıdır. Bu açık rıza metninin bilgilendirmeye dayanması, ayrı bir metinde veya ayrı bir başlıkta olması kanun uyarınca zorunluluktur.
Aydınlatma metinlerinde sıklıkla yapılan hatalardan bir diğeri ise genel nitelikli ve kafa karıştırıcı aydınlatma metinlerinin hazırlanmasıdır. Kişisel Verileri Koruma Kurumunun hazırladığı Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberinde veri sorumlusunun aydınlatmayı nasıl yapması gerektiği detaylı bir şekilde açıklanmıştır. Bu rehbere göre aydınlatma metinlerinde açık, sade bir dil kullanılması ve aydınlatma metinlerinin tamamen teknik, hukuki bilgi ile doldurulmaması gerekmektedir. Rehberdeki aydınlatma metinleri örneklerinde ve yurtdışı uygulamalarında görüleceği üzere veri sorumlularının süreç ve kişi bazlı aydınlatma yapması gerekmektedir. Örneğin çalışanlar için tek bir aydınlatma metni hazırlanması ( uygulamada en çok rastlanan örneklerden biridir) yeterli olmayacaktır. Çalışanların verileri şirketlerde birçok süreçten (İK, Mali işler vb.) geçmektedir. Bu süreçlerinin hepsinin tek bir aydınlatma metninde yer alması hem kafa karıştırıcı olacak hem de birçok teknik ve hukuki bilgi içereceği için açık ve sade bir dil kullanılamayacaktır.
Veri sorumluları envanterde ilgili kişilerin verilerinin yer aldığı süreçleri tespit edip (çalışan insan kaynakları süreci, müşteri pazarlama süreci, kamera kaydı süreçleri vb.) buna göre aydınlatma metinlerini çoğaltmalı ve gerekirse ilgiliye kişiye birden fazla aydınlatma metni sunmalıdır. Çalışan genel aydınlatma metni, kişisel verilerin korunması kanunu kapsamında aydınlatma metni vb. genel başlıklarla süreci veya doğrudan ilgili kişiyi göstermeyen aydınlatma metinleri kanuna, kurumun belirlediği kriterlere uygun değildir.