Öncelikle Veri Sorumlusu kavramına değinecek olursak eğer, Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder[1] diyerek 6698 sayılı kanun 3. Maddesinde tanımlamıştır. Yine tüzel kişiler, kişisel verileri işleme konusunda yapmış oldukları faaliyetler kapsamında bizzat kendileri “Veri Sorumlusu” olup, söz konusu düzenlemelerde belirtilmiş olan hukuki sorumluluk ise tüzel kişinin şahsında doğacaktır. Bu konuya ilişkin olarak kamu hukuku tüzel kişileri veyahut özel hukuk tüzel kişileri açısından herhangi bir farklılık gözetilmemektedir.
6698 sayılı Kanuna göre Veri Sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani yapılan işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir[2].
Yine Veri Sorumlusunun kanunda da açıkça belirtilmiş olan bir takım yükümlülükleri bulunmaktadır. Söz konusu bu yükümlülükler, 6698 sayılı Kanunda, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre Veri Sorumlusu, Kanunun 10. Maddesinde de belirtilmiş olduğu üzere kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla madde hükmünde de yer alan ve aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
Veri Sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
11. maddede sayılan diğer hakları
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da Veri Sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır[3]. Bu noktada ise bizler için en önemli öğelerden biri olan aydınlatma yükümlülüğünün ne olduğu ve söz konusu aydınlatmaya ilişkin kapsam ve usulünün nasıl olduğuna değinmek gerekmektedir. Söz konusu durumlar 10.03.2018 tarihinde Resmi Gazetede yayımlanmış olan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ” de belirtilmiştir. İlgili tebliğin 4. Maddesi de yine söz konusu 6698 sayılı kanuna atıfta bulunmuş olup asgari konuların neler olacağını belirtmiştir.
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları
olarak da sıralamış bulunmaktadır.
Yine söz konusu tebliğe ilişkin usul ve esasların neler olacağına ilişkin 5. Maddesinde belirtmiş olup ilgi maddeye değinilmiş olup uyulması gereken usul ve esaslar şunlardır;
a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 nci ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
[1]https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir
[2] https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir
[3] https://www.kvkk.gov.tr/Icerik/2033/Aydinlatma-Yukumlulugu-