6698 sayılı Kişisel Verilerin Korunması Kanunun 10. maddesi gereği Veri Sorumlusu şu beş konuda kişisel veri sahibini aydınlatmakla yükümlüdür.
- Veri sorumlusunun ve varsa temsilcisinin kimliği
- Kişisel Verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi
- 11. Maddede sayılan diğer hakları.
6698 sayılı yasanın 11. maddesi “ilgili kişinin” haklarından şöyle bahsetmektedir:
- Kişisel verinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna dair bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun olarak işlenip işlenmediğini öğrenme,
- Yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlendiği halde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini ve yok edilmesini isteme (7. Madde çerçevesinde)
- Kişisel verilerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi halinde zararın giderilmesini talep etme haklarına sahiptir.
Biyotıp Sözleşmesinde bilgilendirilme hakkı olarak geçen “Aydınlatma Yükümlülüğü”, sözleşmenin 3. bölüm / 10. maddesinde, “Özel yaşam ve bilgilendirme” başlığı altında düzenlenmiş ve kişinin kendi sağlığı hakkında toplanmış bir bilgiyi öğrenme hakkı yanında, kendinin ve başkasının bu konuda bilgilendirilmemesi isteği de düzenlenmiştir. Bilgilenme hakkı gibi bilgilendirilmeme hakkı da bu konuda düzenlemenin doğal sonucu olarak öngörülmüştür. Kişinin, kişisel verilerinin kaderini tayin hakkına sahip olduğu kabul edilebilir bir gerçek olduğuna göre, kişisel verilerinin kimlere aktarılabileceğini ve kimlerle paylaşılabileceğini ve sınırlarını belirlemek noktasında sınırsız yetkilere sahip olmalıdır. Bu noktada örneğin hasta yakını tanımına uyan kişilerin, hastanın kişisel verilerini öğrenmek istemesi halinde, kişisel verinin paylaşılması durumunda kanuna aykırı hareket edilmiş olacak mıdır? Burada veri sorumlusunun sorumluluğu doğacak mıdır? Hasta, kişisel verilerinin işlenmesi anında kişisel verilerinin kimlerle paylaşılabileceğini belirlememiş ise kişisel verilerinin rızası olmaksızın hasta yakını ile paylaşılması durumunda veri sorumlusunun cezai ve hukuki sorumluluğu elbette doğacaktır.
10.03.2018 tarihinde “Veri sorumlusunun Aydınlatma Yükümlülüğünü Yerine Getirirken Uyulacak Usul ve Esaslar Hakkında Tebliğ” Resmi Gazete’de yayımlandı. Tebliğin 5. Maddesi usul ve esasları şu şekilde belirledi:
- İlgili kişinin açık rızasına veya kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
- Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
- Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
- Sicile kayıt yükümlülüğünün bulunması hallerinde, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, sicile verilecek bilgilerle uyumlu olmalıdır.
- Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı değildir.
- Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
- Kişisel veri işleme faaliyetinin açık rıza faaliyetine bağlı olarak gerçekleştirildiği hallerde, aydınlatma yükümlülüğü ve açık rızanın alınması ayrı ayrı yerine getirilmelidir.
- Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
- Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan "hukuki sebep" ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
- Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirlenmelidir.
- Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
- Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Burada en önemli husus kişiye özel olarak hazırlanmamış, matbu dediğimiz formlarla aydınlatma yükümlülüğü ya da rıza beyan belgesinin alınamayacak olmasıdır. Aydınlatma yükümlülüğü kapsamında bildirimin anlaşılır bir dille anlatılması ve bu noktada kişinin yaşı, anlama kapasitesi, herhangi bir akıl hastalığının olup olmadığı gibi hususların veri sorumlusu ya da yetkilendirdiği kişi tarafından çok iyi anlaşılması gerekmektedir. Hukuki sebep ve verinin neden işlendiği çok iyi anlatılmalı ve rıza beyanı ile aydınlatma yükümlülüğü aynı evrak üzerinde olmamalıdır. Bu noktada önce rızanın mı alınması gerektiği yoksa aydınlatma yükümlülüğünün mü yerine getirilmesi gerektiği hususu değerlendirilmelidir. Burada rızanın açık rıza şeklinde ve aydınlatma yükümlülüğünün kullanılmasından önce alınması gerekmektedir.
Yargıtay Hukuk Genel Kurulu’nun 2014/4-56 E. 2015/1679 K. Sayılı kararında, “Bu hak biryandan kişiye “geçmişini kontrol etme”, “belirli hususların geçmişinden silinmesini ve hatırlanmamayı isteme hakkı” sağladığı gibi, diğer yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri alma yükümlülüğü yükler. Bu hakkın; bireylerin fotoğraf, internet günlüğü gibi kendileri hakkındaki içerikleri silmek için üçüncü şahısları zorlamayı içermesinin yanında geçmişteki cezalarına ilişkin bilgilerin veya haklarında olumsuz yorumlara neden olabilecek bilgi ve fotoğraflarının kaldırılmasını isteme hakkını tanıdığı kabul edilmektedir. Diğer taraftan bu hak, bireyin geçmişindeki belirli yönlerinin mümkün olmayacak biçimde hatırlanmaması için önlemler alınmasını gerektirmektedir. Bu anlamda Unutulma Hakkı kavramı da veri sorumlusu tarafından oldukça hassas bir şekilde değerlendirilmelidir. Bireyin kendi kişisel verilerini kontrol etmesinde oldukça yüksek bir çıkarı bulunduğu gibi geleceğini tayinde önem arzetmektedir. Kişinin gelecek kuşaklarını da ilgilendiren kişisel verilerinin paylaşımı noktasında veri sorumlusunun aydınlatma yükümlülüğünü her durumda kişinin yüksek menfaatleri doğrultusunda kullanması ve kötüye kullanmaması gerekmektedir.
Kişisel verilerimizin kaderini tayin hakkının tamamen kendi elimizde olduğunun farkındalığı inancı ile huzurlu haftalar diliyorum.