KVKK Aydınlatma Metni Hazırlama Rehberi: Nedir ve Nasıl Hazırlanır?

KVKK m.10 ve Aydınlatma Tebliği’ne göre aydınlatma, kişisel veri elde edilirken yapılmalıdır; bu yüzden metni yalnızca “Gizlilik” sayfasına koymak yeterli olmayabilir. Web sitesinde en doğru uygulama: veri toplanan her ekranda (üyelik, iletişim formu, ödeme/teslimat, çağrı talebi, bülten kaydı, çerez alanı) kısa bir “ilk katman” bilgilendirme + tam aydınlatma metnine tek tıkla erişim ve ayrıca footer’da kalıcı link vermektir.

Aydınlatma metninde “kişisel verilerin yurt dışına aktarılması” başlığı açıp, aktarım ihtimali varsa bunu açıkça yazın: (i) hangi veri kategorileri, (ii) hangi amaçla, (iii) hangi alıcı/alıcı gruplarına ve yurt dışında oldukları (mümkünse ülke/konum) ve (iv) aktarımın hukuki dayanağı/aktarım mekanizması (KVKK m.9 kapsamında açık rıza veya uygun güvence gibi) belirtilmelidir. Eksik/yanıltıcı şekilde “üçüncü kişiyle paylaşım” deyip yurt dışını belirtmemek risklidir.

Aydınlatma metninde “alıcı grubu”nu şirket adıyla değil, kişisel verinin aktarıldığı “kategori” olarak sınıflandırın; başlıklar envanter/VERBİS’teki aktarım kurgunuzla uyumlu olmalı.

Örnek pratik sınıflandırma:

• Kargo/lojistik hizmet sağlayıcıları (teslimat süreçleri)
• Banka ve/veya ödeme kuruluşları (tahsilat/ödeme iadesi)
• Çağrı merkezi hizmet sağlayıcıları (dış kaynak ise “hizmet tedarikçisi/veri işleyen” olarak)
• Yetkili kamu kurum ve kuruluşları (kanuni yükümlülükler)

İşleme amaçlarını “hizmet kalitesini artırmak, faaliyetleri yürütmek” gibi fazla genel yazmak, aydınlatmanın muğlak sayılmasına ve aydınlatma yükümlülüğünün gereği gibi yerine getirilmemiş kabul edilmesine yol açabilir. Bu durumda ilgili kişiler şikâyet edebilir; Kurul incelemesinde idari para cezası ve düzeltme/uyum tedbirleri gündeme gelebilir. Ayrıca KVKK’daki “belirli, açık ve meşru amaç” ilkesine aykırılık iddiası güçlenir; özellikle açık rızaya dayanıyorsanız rızanın “bilgilendirilmiş” olduğu tartışmalı hale gelir.

Aydınlatma metninde asgari olarak şu başlıklar yer almalıdır: (i) veri sorumlusunun (ve varsa temsilcisinin) kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) ilgili kişinin KVKK m.11 kapsamındaki hakları.

Aydınlatma metninde “veri sorumlusunun kimliği” veriyi işleme amaç ve vasıtalarını belirleyen gerçek/tüzel kişinin açık adı olacak şekilde yazılmalıdır; tüzel kişilerde ticaret unvanı, kamu idarelerinde kurum adı esas alınır ve varsa veri sorumlusu temsilcisinin kimliği de ayrıca belirtilir. Ayrıca VERBİS’e kayıt yükümlülüğünüz varsa, aydınlatmadaki kimlik bilgileri Sicil’de beyan edilen bilgilerle uyumlu olmalıdır.

Aydınlatma metnindeki “hukuki sebep/dayanak” seçimi, her işleme amacı için ayrı yapılmalıdır (KVKK m.10; Tebliğ). Pratikte şu sırayla gidin:

• Amaç bir sözleşmenin kurulması/ifası için zorunlu mu? → buna dayanın (KVKK m.5).
• Kanuni yükümlülük var mı (vergi/iş/SGK vb.)? → buna dayanın (KVKK m.5).
• Bir hakkın tesisi/kullanılması/korunması için zorunlu mu? → buna dayanın (KVKK m.5).
• Bunlar yoksa ve veri özel nitelikli ise m.6 şartlarını; değilse çoğu durumda açık rızayı kullanın. Açık rıza ile aydınlatmayı ayrı yapın.

Evet, pratikte en azından kategori bazında belirtmek gerekir. KVKK m.10 ve Aydınlatma Tebliği, aydınlatmanın belirli, açık ve anlaşılır olmasını; muğlak/genel ifadelerden kaçınılmasını ister. KVKK Kurulu da geçerli aydınlatma için işlenen veri kategorilerinin (ve mümkünse bu kategorilerin kapsamı ile amaç/hukuki sebep/aktarımıyla bağlantısının) metinde sarih gösterilmesi gerektiğini vurgulamıştır.

Özel nitelikli kişisel veri (KVKK m.6) işliyorsanız aydınlatma metninde hangi özel veri kategorisini (ör. sağlık, biyometrik vb.) işlediğinizi ve her bir işlem amacı için dayandığınız hukuki sebebi açıkça yazın; sadece “m.5/m.6” demekle yetinmeyin. Ayrıca aydınlatma ile açık rıza metnini ayırın; açık rıza gerekiyorsa ayrı ve özgür iradeye dayalı alın. Özel nitelikli veriler için Kurulun öngördüğü ek idari/teknik önlemleri (2018/10) ve varsa aktarım/alıcı gruplarını netleştirin.

Evet, tercihen ayrı olmalı; çünkü çalışan adayı (başvuru, mülakat, referans) ile çalışan (özlük, bordro, yan haklar, işyeri güvenliği vb.) süreçlerinde işlenen veri kategorileri, amaçlar, hukuki sebepler ve alıcı grupları farklılaşır. KVKK m.10 kapsamındaki aydınlatma, faaliyet bazlı ve ilgili kişiye uygun yapılmalıdır.

Tek metin kullanılacaksa, aday ve çalışan için bölümler net ayrılmalı ve her bir süreçte eksiksiz aydınlatma sağlanmalıdır.

Aydınlatmayı kişisel veri elde edilmeden hemen önce (kayıt/üyelik, izin ekranı, form gönderimi gibi) tam metin veya özet+“devamı” şeklinde gösterin; içerikte KVKK m.10’daki asgari unsurlar (veri sorumlusu, amaç, aktarım, yöntem-hukuki sebep, haklar) açıkça yer alsın.

İspat için: “Aydınlatma metnini okudum” aksiyonu (ayrı bir buton/checkbox) alın ve metin versiyonu, tarih-saat, uygulama sürümü, kullanıcı/cihaz oturumu ile değiştirilemez şekilde loglayın; metni uygulama içinde her an erişilebilir tutun.

Evet, e‑posta ile aydınlatma metni göndermek kural olarak aydınlatma yükümlülüğünü yerine getirme yöntemlerinden biridir; Tebliğ, aydınlatmanın fiziksel veya elektronik ortam kullanılarak yapılabileceğini kabul eder. Ancak aydınlatma, kişisel veriler elde edilirken (veri toplanırken) yapılmalıdır; veri sizden alınmadıysa makul süre içinde/ilk iletişimde yapılması gerekir. Ayrıca ispat yükü sizdedir; sadece “gönderdim” demek yerine teslimi/erişilebilirliği tevsik edebilmeniz beklenir.

Aynı şey değiller. Çerez aydınlatma metni, KVKK m.10 ve Aydınlatma Tebliği uyarınca çerezler yoluyla kişisel veri işlendiğinde kullanıcıya verilmesi gereken asgari bilgilendirmedir (kimlik, amaç, hukuki sebep, aktarım/alıcı grubu, haklar vb.). Çerez politikası ise genelde daha detaylı bir dokümandır (çerez listesi, süre, birinci/üçüncü taraf, tercihlerin nasıl yönetileceği). Uygulamada banner/katmanlı aydınlatma + tam çerez politikası birlikte hazırlanır; açık rıza metni/tercih ekranı aydınlatmadan ayrı olmalıdır.

Aydınlatma metninde saklama/imha süresini, her veri kategorisi ve işleme amacıyla bağlantılı olacak şekilde net bir süre (örn. “10 yıl”) ya da süreyi belirleyen ölçüt (örn. “hukuki uyuşmazlık zamanaşımı sonuna kadar”) olarak yazın; süre dolunca verilerin silineceği/yok edileceği/anonimleştirileceğini belirtin. İmha süreçlerinin, “Silme–Yok Etme–Anonimleştirme Yönetmeliği”ne göre yürütüldüğünü ve periyodik imhanın en fazla 6 ayda bir yapıldığını (politikaya tabiyseniz) ekleyebilirsiniz.

Aydınlatma metnini güncellediğinizde, değişiklikler yeni veri işleme faaliyeti başlamadan/kişisel veri elde edilirken ilgili kişiye açık, anlaşılır ve sade biçimde ayrıca duyurulmalıdır; yalnızca web sitesine koymak çoğu durumda yeterli değildir.

Pratikte e‑posta/SMS, uygulama içi bildirim veya web pop‑up ile “güncelleme tarihi + özet değişiklik” verin ve tam metne yönlendirin. Değişiklik amaç, hukuki sebep veya alıcı grubu gibi unsurları etkiliyorsa ilgili kişiyi yeniden aydınlatın; gerekiyorsa ayrıca yeni açık rıza alın.