TLDR
Veri koruma mevzuatı kapsamındaki şeffaflık yükümlülüklerini yerine getiren; bir kuruluşun kişisel verileri nasıl topladığını, kullandığını, sakladığını ve paylaştığını açıklayan kamuya açık beyanattır.
Temel Bileşenler:
– Veri Sorumlusunun Kimliği
– Amaç ve Hukuki Dayanak
– Veri Kategorileri
– Alıcılar
– Saklama Süresi
– Veri Sahibi Hakları: Erişim, silme, taşınabilirlik, itiraz.
– İletişim Bilgileri: Veri koruma görevlisi veya sorumlusu iletişim bilgileri.
Gizlilik Bildirimi vs. Gizlilik Politikası
Türkçede “gizlilik bildirimi” ve “gizlilik politikası” terimleri sık karıştırılır ancak farklı anlamlar taşıyabilir. Bildirim, veri sahibine yönelen dış-yüzey iletişim metnidir — KVKK ve GDPR kapsamındaki şeffaflık yükümlülüğünü yerine getirir. Politika ise kuruluş içi süreçleri belirleyen daha geniş çerçevedir — veri sınıflandırma, erişim kontrolü, saklama süreleri, ihlal müdahale protokolleri. Sofistike kuruluşlar her iki belgeyi de tutar ve birbirleriyle tutarlı olmasını sağlar.
KVKK Aydınlatma Yükümlülüğü
KVKK Madde 10, veri sorumlusunun veri sahibini şu hususlarda aydınlatma yükümlülüğünü düzenler: veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ve veri sahibinin Madde 11’deki hakları. Kişisel Verileri Koruma Kurulu, aydınlatma metni hazırlama rehberinde standart yapısal beklentilerini detaylandırmıştır.
Pratik Uygulama Notları
Etkili gizlilik bildirimleri katmanlı yapı kullanır — üstte kısa özet, altında detaylı bölümler — ve veri işleme süreçlerindeki değişiklikleri yansıtmak için sürüm kontrolüne tabi tutulur. Kullanıcıları önemli ölçüde etkileyen değişiklikler (yeni işleme amaçları, yeni alıcılar, genişletilmiş saklama) genellikle yeni bildirim ve onay temelli işlemelerde yeni açık onay alınmasını gerektirir.