AB’deki Google Kararı Işığında Aydınlatma Yükümlülüğüne Bakış

Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 10 altında düzenlenen veri sorumlusunun aydınlatma yükümlülüğü uyarınca, veri sorumlusu, kişisel verilerin elde edilmesi sırasında ya da kişisel verileri 3. Kişiden elde ediyorsa, verileri edinmesini takiben ilk fırsatta, ilk iletişime geçtiği zamanda ilgili kişilere (i)  veri sorumlusunun kimliği, (ii) kişisel verilerin işlenme amacı, (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı, (iv) kişisel verilerin toplanma yönetim ve hukuki sebebi ve (v) kanuni hakları hakkında bilgi vermekle yükümlüdür. Aydınlatma yükümlülüğü veri işleme şartlarından bağımsız olarak her koşulda yerine getirilmesi gereken bir yükümlülük olup, yerine getirildiğine ilişkin ispat yükü veri sorumlusundadır.

Kanun’da “aydınlatma yükümlülüğü” olarak yer alan bu yükümlülüğün madde 11 kapsamında ilgili kişilere tanınan haklar ile doğrudan bağlantısı da bulunmaktadır. Zira, ilgili kişinin de her zaman veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenme,  kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verileri işlenmişse bunlara ilişkin bilgi talep etme gibi hakları vardır. Veri sorumlusu kural olarak bu gibi bilgi edinme hakkını kullanan ilgili kişilere kanuni süreler içinde tatmin edici bir cevap vermekle yükümlüdür. Aksi halde, ilgili kişilerin veri sorumlusunu Kişisel Verilerin Korunması Kurumu’na şikayet hakları saklıdır.

Ancak bahsi geçen yükümlüğün pratikte çoğu zaman veri sorumlularınca göz ardı edildiği ya da gerekli önemi gösterilmediği görülmektedir. Pek çok organizasyon aydınlatma yükümlülüğü kapsamında verilmesi gereken bilgileri ilgili kişilere bir formun arkasında, ya da web sitesi üzerinde (ayrı bir sayfa, ya da pop up pencere açılması sureti ile), ya da link aracılığı ile veya SMS ile sağlamayı tercih etmektedir. Bunun yanında, sözlü olarak, yüz yüze, çağrı merkezi aracılığıyla da aydınlatmanın yapılması mümkündür. Yalnız aşağıda bahsi geçen Google kararı sonrasında ne kadar sayfa/ link/ adım sonrasında bilgilendirmenin tamamına ulaşılabileceği, bu gibi araçların kötüye kullanıma yol açmaması gerektiği hususları da tartışılmaya başlanmıştır.

Söz konusu aydınlatma metinlerinin her zaman ilgili kişilere göre ve veri işleme faaliyetinin içeriğine göre farklılaştırılması gerekmektedir. Aydınlatma metinlerinde kullanılan dilin basit, sade ve anlaşılır olması, teknik bilgilere yer vererek anlaşılmasının zor olmaması gerektiği Kişisel Verilerin Korunması Kurumu tarafından çıkarılan kılavuzda da dile getirilse de, bunu uygulamada gerçekleştirmek oldukça güçtür. Veri işleme faaliyetinin kapsamı ya da yapıldığı platforma göre farklı uygulamalara yer verilmesi kural olarak mümkündür. Örneğin, katmanlı aydınlatma metinleri kullanım kolaylığı sağlaması bakımından otoriteler tarafından desteklenmektedir ancak dürüstlük kuralı her zaman gözetilmelidir. Bunun yanında bilgilendirmenin çeşitli dillerde yapılması da duruma göre zaruri olabilir.

Belirttiğimiz gibi aydınlatma veri işleme faaliyetinden ve nedenlerinden bağımsız şekilde yerine getirilmesi gereken bir yükümlülüktür. Veri işleme faaliyetinin hukuka uygunluğunun sağlanması bakımından tamamlanması gereken önemli bir adımdır. AB’de yürürlükte olan GDPR düzenlemesinde de bulunan bilgilendirme yükümlülüğü ile Kanun düzenlemesi paraleldir.

2019 yılı Ocak ayında, Fransız Kişisel Veri Koruma Kurumu (CNIL) Google LLC aleyhine 50 milyon EUR tutarında ceza kesmiştir. Özellikle GDPR kapsamında şeffaflık, bilgi verme ve rızaya ilişkin ilkelerin ihlali sebebi ile bu kararın verildiği belirtilmiştir ve karar çok ses getirmiştir. Bilgi verme yükümlülüğü kapsamında Google’ın sağladığı bilginin kullanıcılar tarafından kolay erişilebilir olmadığı, özellikle kişisel verilerin işlenme amacı gibi esaslı bilgilere pek çok sekme, sayfa ve link aracılığı ile her biri ayrı ayrı açılmak suretiyle dağınık biçimde yer verildiği, esaslı bilgilere 5-6 adım ile erişilebildiği, örneğin kullanıcının kişisel verilerinin kişiselleştirilmesi hakkındaki işleme amaç ve faaliyetlerin tamamı hakkında bilgi sahibi olabilmesi için bu gibi komplike süreçlerin tasarlandığına ve bunun bilgi vermek yükümlülüğünün ihlalini teşkil ettiği tespit edilmiştir. Google kararına konu olan ihlal yalnızca bilgi verme yükümlülüğü ile sınırlı olmamakla birlikte, bu karar bilgi verme süreçlerinin önemini veri sorumlularına bir kez daha hatırlatmıştır.

Google’ın işletim sisteminin (Android) yaygınlığı, Kararda, Google hesaplarının insanların gündelik hayatlarını idame ettirirken örneğin akıllı telefonlarının kullanımında sıkça kullanılması, Google’ın kişisel verilerin korunmasındaki kurallara hassasiyetle yaklaşmasında yoğun sorumluluğu olduğuna işaret edilmiştir. Kişisel verilerin korunması konusundaki büyük küçük tüzel kişi ya da gerçek kişi tüm veri sorumlularının aynı şekilde sorumluluğu bulunmaktadır, ancak büyük ölçekte kişisel veri işleyen veri sorumlularının kurallara tam uyum sağlamamalarında maruz kaldıkları risk/ ceza şüphesiz daha fazladır.

Özetle, Kanun’da yer alan aydınlatma yükümlülüğüne AB bünyesinde tüm veri sorumlularına ibret olan CNIL Google kararı akabinde bir kez daha bakılmalı, veri sorumluları, ilgili kişilerin bilgilendirilmesi meselesini ciddiye alarak, kullanıcılara en açık, kolay ve doğru şekilde gerekli bilgilendirmeyi yapmak konusunda hassasiyet göstermelidir. Bu hususa emek ve zaman harcanması, veri sorumlularının hem hukuka uygunluk ve kullanıcı/ müşteri memnuniyetini sağlamaları hem de kendi kurumsal saygınlıklarını korunmaları için değerli ve gereklidir.

-----------------------------------------------------------------------------------------------------------------------

Begüm Yavuzdoğan Okumuş (https://gun.av.tr/tr/cv/begum-yavuzdogan-okumus/)

Çalışma Alanı: Teknoloji, Medya ve Telekomünikasyon (https://gun.av.tr/tr/teknoloji-medya-ve-telekomunikasyon/)