TLDR
Veri koruma mevzuatı kapsamındaki şeffaflık yükümlülüklerini yerine getiren; bir kuruluşun kişisel verileri nasıl topladığını, kullandığını, sakladığını ve paylaştığını açıklayan kamuya açık beyanattır.
Temel Bileşenler:
– Veri Sorumlusunun Kimliği
– Amaç ve Hukuki Dayanak
– Veri Kategorileri
– Alıcılar
– Saklama Süresi
– Veri Sahibi Hakları: Erişim, silme, taşınabilirlik, itiraz.
– İletişim Bilgileri: Veri koruma görevlisi veya sorumlusu iletişim bilgileri.
Gizlilik Bildirimi vs. Gizlilik Politikası
Türkçede “gizlilik bildirimi” ve “gizlilik politikası” terimleri sık karıştırılır ancak farklı anlamlar taşıyabilir. Bildirim, veri sahibine yönelen dış-yüzey iletişim metnidir — KVKK ve GDPR kapsamındaki şeffaflık yükümlülüğünü yerine getirir. Politika ise kuruluş içi süreçleri belirleyen daha geniş çerçevedir — veri sınıflandırma, erişim kontrolü, saklama süreleri, ihlal müdahale protokolleri. Sofistike kuruluşlar her iki belgeyi de tutar ve birbirleriyle tutarlı olmasını sağlar.
KVKK Aydınlatma Yükümlülüğü
KVKK Madde 10, veri sorumlusunun veri sahibini şu hususlarda aydınlatma yükümlülüğünü düzenler: veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ve veri sahibinin Madde 11’deki hakları. Kişisel Verileri Koruma Kurulu, aydınlatma metni hazırlama rehberinde standart yapısal beklentilerini detaylandırmıştır.
Pratik Uygulama Notları
Etkili gizlilik bildirimleri katmanlı yapı kullanır — üstte kısa özet, altında detaylı bölümler — ve veri işleme süreçlerindeki değişiklikleri yansıtmak için sürüm kontrolüne tabi tutulur. Kullanıcıları önemli ölçüde etkileyen değişiklikler (yeni işleme amaçları, yeni alıcılar, genişletilmiş saklama) genellikle yeni bildirim ve onay temelli işlemelerde yeni açık onay alınmasını gerektirir.
Referanslar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
- Kişisel Verileri Koruma Kurumu (KVKK)
- KVK Kurulu Kararları
- EU GDPR (Regülasyon 2016/679) — EUR-Lex
- 5549 sayılı MASAK Kanunu
Bir aydınlatma metninin içermesi gerekenler
Aydınlatma metni (privacy notice), bireylere kişisel verilerinin nasıl işlendiğini anlatan şeffaflık belgesidir — ve bir nezaket değil, hukuki bir yükümlülüktür. KVKK’nın aydınlatma görevi ve GDPR’nin 13–14. maddeleri uyarınca metin en az; veri sorumlusunun kimliğini, işlemenin amaçlarını ve hukuki sebebini, alıcıları veya alıcı kategorilerini, varsa yurt dışı aktarımları, saklama süresini, ilgili kişinin haklarını ve bunları nasıl kullanacağını kapsamalıdır. İyi uygulama, verinin toplandığı anda sunulan “katmanlı” bir metindir — tam ayrıntıya bağlanan kısa, açık bir özet. Metin, işleme her değiştiğinde gözden geçirilmelidir; çünkü güncelliğini yitirmiş veya kalıp bir metin başlı başına, düzenleyicilerin ve karşı tarafların giderek daha sık kontrol ettiği bir uyum boşluğudur.