|
Kişisel Verileri Koruma Kurumundan:
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE
UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ
Amaç ve
kapsam
MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016
tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu
maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine
getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları
belirlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin
Korunması Kanununun 22 nci maddesinin birinci
fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 3 – (1) Bu Tebliğde geçen;
a) Alıcı grubu: Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kişi: Kişisel verisi işlenen gerçek
kişiyi,
c) Kanun: 24/3/2016
tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Kurul: Kişisel Verileri Koruma Kurulunu,
d) Kurum: Kişisel Verileri Koruma Kurumunu,
e) Sicil: Başkanlık tarafından tutulan Veri
Sorumluları Sicilini,
f) Veri kayıt sistemi: Tamamen veya kısmen otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortamı,
g) Veri sorumlusu: Kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ğ) Veri sorumlusu temsilcisi: Türkiye’de yerleşik
olmayan veri sorumlularını 30/12/2017 tarihli ve
30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında
Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda
asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye
Cumhuriyeti vatandaşı gerçek kişiyi
ifade eder.
(2) Bu Tebliğde yer almayan tanımlar için Kanundaki
tanımlar geçerli olacaktır.
Aydınlatma
yükümlülüğünün kapsamı
MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel
verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği
kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük
yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce
yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
a) Veri sorumlusunun ve varsa temsilcisinin
kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki
sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde
sayılan diğer hakları.
Usul ve
esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi
tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya
elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine
getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
a) İlgili kişinin açık rızasına veya Kanundaki
diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda
aydınlatma yükümlülüğü yerine getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri
işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine
getirilmelidir.
c) Veri sorumlusunun farklı birimlerinde kişisel
veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim
nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda,
aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler,
Sicile açıklanan bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi,
ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin
ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza
şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve
açık rızanın alınması işlemlerinin ayrı ayrı
yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak
kişisel veri işleme amacının belirli, açık ve meşru olması gerekir.
Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi
muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini
uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye
yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak
gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının
(ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü
kapsamında kişisel verilerin Kanunun 5 ve 6 ncı
maddelerinde belirtilen işleme şartlarından hangisine dayanılarak
işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki
sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel
verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel
verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle
elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken
eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel
verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü
MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde
edilmemesi halinde;
a) Kişisel verilerin elde edilmesinden itibaren
makul bir süre içerisinde,
b) Kişisel verilerin ilgili kişi ile iletişim
amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
c) Kişisel verilerin aktarılacak olması halinde, en
geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
ilgili kişiyi aydınlatma yükümlülüğünün yerine
getirilmesi gerekir.
Yürürlük
MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma
Kurumu Başkanı yürütür.
|