Aydınlatma Yükümlülüğü Nedir? KVKK m.10 Kapsamı, Tebliğ Şartları ve Uygulama Rehberi

KVKK · Aydınlatma Metni · Uyum Yönetişimi · Veri Sorumlusu

Aydınlatma Yükümlülüğü Nedir? KVKK m.10 Kapsamı ve Tebliğ’e Göre Uygulama

Veri sorumlusunun aydınlatma yükümlülüğü, veri sorumluları açısından bir uyum zorunluluğu olmasının yanı sıra, kişisel verisi işlenen gerçek kişiler bakımından bir hak niteliğindedir. KVKK’nın 10. maddesi uyarınca veri sorumlusu veya yetkilendirdiği kişi; kişisel veriler elde edilirken ilgili kişiye belirli, açık ve anlaşılır şekilde bilgi vermekle yükümlüdür.

Bu rehber; KVKK m.10’daki zorunlu unsurları, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” kapsamında dikkat edilmesi gereken pratik kuralları, katmanlı aydınlatma yaklaşımını, VERBİS uyumunu, ispat yükünü ve KVKK m.28 istisnalarını kurumsal uygulama perspektifiyle bir araya getirir.

Zorunlu Unsurlar Kontrol Listesi

İçindekiler 1. Aydınlatma Yükümlülüğü Nedir? 2. KVKK m.10: Zorunlu Bilgi Seti 3. Tebliğ’e Göre Usul ve Esaslar 4. Katmanlı Aydınlatma ve Açık Rıza Ayrımı 5. Uygulama Kontrol Listesi ve Örnek Yapı 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Aydınlatma yükümlülüğü: Kişisel veri işleme sırasında ilgili kişiye şeffaf bilgilendirme yapılmasıdır.
Yasal dayanak: KVKK m.10 + Aydınlatma Tebliği.
Kritik noktalar: Amaçların açık yazılması, aktarım alıcı grupları, hukuki sebep, toplama yöntemi, KVKK m.11 hakları ve iletişim kanalı.
İspat: Aydınlatmanın yapıldığını veri sorumlusu kanıtlar.

Aydınlatma metni, genel “gizlilik politikası” değildir; işleme faaliyetine özel ve erişilebilir olmalıdır.

KVKK m.10 Aydınlatma Tebliği VERBİS Uyumu

Not: Aydınlatma metinleri; süreç bazlı hazırlanmalı, kurumun gerçek işleyişiyle uyumlu olmalı ve gerektiğinde güncellenmelidir. Tek metinle “her şeyi kapsama” yaklaşımı, denetimlerde uyumsuzluk riskini artırır.

1. Aydınlatma Yükümlülüğü Nedir?

Aydınlatma yükümlülüğü; veri sorumlusunun, kişisel verilerin işlenmesi sürecinde ilgili kişiyi şeffaf, anlaşılır ve doğrulanabilir şekilde bilgilendirmesini ifade eder. Bu yükümlülük, “rızaya bağlı olsun ya da olmasın” kişisel verilerin işlendiği her senaryoda, işleme faaliyetiyle sınırlı bir içerikle yerine getirilmelidir.

Kurumsal açıdan aydınlatma; sadece hukuki bir metin üretmek değil, aynı zamanda müşteri/çalışan/ziyaretçi güvenini güçlendiren bir iletişim standardıdır. Doğru kurgulanmış bir aydınlatma modeli; veri işleme envanteri, saklama-imha süreçleri ve aktarım yönetimiyle birlikte bütüncül bir uyum katmanı oluşturur.

Aydınlatmanın Operasyonel Katkısı

İlgili kişi beklentilerini yönetir, şikâyet riskini düşürür.
Veri işleme amaçlarını disipline eder; “amaç dışı kullanım” riskini azaltır.
İspat yükü için kurumsal kayıt düzeni oluşturmayı teşvik eder.
VERBİS kaydı ve süreç dokümantasyonu ile tutarlılığı artırır.

2. KVKK m.10: Zorunlu Bilgi Seti

KVKK’nın 10. maddesi uyarınca veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişiye aşağıdaki başlıklarda bilgi vermekle yükümlüdür:

Zorunlu Unsur	Metinde Yer Alması Gereken İçerik	Uygulama Notu
Veri sorumlusu kimliği	Veri sorumlusunun (ve varsa temsilcisinin) adı/unvanı	Grup şirketi yapısı varsa rol dağılımı net olmalı
İşleme amaçları	Kişisel verilerin hangi belirli amaçlarla işleneceği	“Gerekli hallerde” gibi muğlak ifadelerden kaçınılmalı
Aktarım	Kime/kimlere, hangi amaçla aktarılabileceği	Alıcı grupları ve aktarım amaçları ayrıştırılmalı
Toplama yöntemi	Verinin hangi yöntemle toplandığı (otomatik/otomatik olmayan vb.)	Çağrı merkezi, web formu, fiziksel form gibi kanallar yazılmalı
Hukuki sebep	KVKK m.5/m.6 kapsamındaki işleme şartları	Her amaçla eşleşen hukuki sebep açıkça belirtilmeli
İlgili kişi hakları	KVKK m.11 hakları + başvuru kanalı	İletişim kanalı (e-posta/KEP/adres) mutlaka yer almalı

Pratik öneri: Aydınlatma metnini “amaç bazlı modüler” kurgulayın. Örn: iletişim formu, ziyaretçi girişi, kamera kayıtları, çalışan aday başvurusu gibi her süreç için ayrı aydınlatma metni, uyum kalitesini belirgin biçimde artırır.

3. Tebliğ’e Göre Usul ve Esaslar

Aydınlatma Tebliği; aydınlatma yükümlülüğünün nasıl ve hangi prensiplerle yerine getirileceğini standardize eder. Tebliğ’e göre aydınlatma; sözlü, yazılı, ses kaydı, çağrı merkezi, elektronik ortamlar gibi farklı kanallarla yapılabilse de içerik ve yöntem bakımından belirli kurallara tabidir.

Kurumsal Uygulamada Kritik Kurallar

İsteğe bağlı değildir: Aydınlatma, ilgili kişinin talebine bırakılmadan sağlanmalıdır.
Toplama yöntemi açık olmalı: Otomatik/otomatik olmayan yöntem ve veri kayıt sistemi ilişkisi belirtilmelidir.
Birim bazlı ayrıştırma: Farklı birimler farklı amaçlarla işliyorsa, aydınlatma metinleri ayrıştırılmalıdır.
Amaç değişirse güncelleme: İşleme amacı değiştiğinde, işlemeye geçmeden önce yeni aydınlatma yapılmalıdır.
VERBİS uyumu: VERBİS’e kayıt yükümlülüğü varsa, aydınlatma içerikleri VERBİS kayıtlarıyla tutarlı olmalıdır.
İspat yükü veri sorumlusunda: Aydınlatmanın yapıldığını kanıtlama sorumluluğu veri sorumlusuna aittir.
Genel dokümanla geçiştirmeyin: Gizlilik politikası/kişisel veri işleme politikası “aydınlatma metni” yerine geçecek şekilde kullanılmamalıdır.
Erişilebilirlik: Metin kolay erişilebilir, fark edilebilir olmalı; erişimi zorlaştıran yöntemlerden kaçınılmalıdır.
Net ve sade dil: Eksik, muğlak, yanıltıcı veya genel ifadelerden kaçınılmalıdır.
Aktarım ayrıntısı: Üçüncü kişilere aktarım amaçları ve alıcı grupları açıkça belirtilmelidir.

Denetim bakışı: Tebliğ, “metin var mı?” sorusundan öte “metin, süreci doğru anlatıyor mu?” sorusuna odaklanır. Bu nedenle metnin kurum içi gerçek akışlarla uyumu (CRM, ERP, çağrı merkezi, tedarikçi, bulut servisleri) kritik önem taşır.

4. Katmanlı Aydınlatma ve Açık Rıza Ayrımı

Aydınlatma “katmanlı” yapılacaksa, ilgili kişiyi detay metne yönlendirmeden önce temel bilgilerin ilk katmanda verildiği garanti edilmelidir. İlk katmanda; veri sorumlusu kimliği, temel işleme amacı, ana alıcı grupları, başvuru kanalı gibi kritik unsurlar görünür olmalıdır.

Aydınlatma ile Açık Rızayı Karıştırmayın

Tebliğ’e göre; aydınlatma yükümlülüğü ile açık rızanın alınması işlemleri birbirinden ayrı yürütülmelidir. Aydınlatma metni, rıza metni değildir. Açık rıza gerektiği durumlarda; rıza, belirli bir işleme faaliyeti için ayrıca ve açık bir irade beyanıyla alınmalı, rıza vermeme halinde hizmete erişimi otomatik engelleyen “zorlamalı” kurgulardan kaçınılmalıdır.

Örnek Katmanlı Yapı

Katman	İçerik	Hedef
1. Katman (Kısa)	Veri sorumlusu, amaç, temel alıcı grupları, başvuru kanalı	İlk temas anında hızlı ve net bilgilendirme
2. Katman (Detay)	Hukuki sebep, toplama yöntemi, saklama süreleri, aktarım detayları	Şeffaflık ve denetim uyumu
3. Katman (Politika/Prosedür)	Başvuru prosedürü, saklama-imha politikası, bilgi güvenliği yaklaşımı	Kurumsal yönetişim ve süreç standardizasyonu

Özellikle dikkat: İşleme amacı “belirli, açık ve meşru” olmalı; “ileride doğabilecek ihtiyaçlar” gibi ucu açık amaçlar aydınlatma kalitesini düşürür ve risk oluşturur.

5. Uygulama Kontrol Listesi ve Örnek Yapı

Aydınlatma metinlerini sürdürülebilir hale getirmek için “doküman” değil “süreç” yönetmek gerekir. Aşağıdaki kontrol listesi; web, çağrı merkezi, fiziksel formlar, kamera kayıtları ve işe alım/çalışan süreçlerinde standart bir uyum seviyesi sağlar.

KVKK Aydınlatma Uyum Kontrol Listesi

Aydınlatma metni, işleme faaliyetine özel mi? (tek metinle her şey yerine süreç bazlı)
Veri sorumlusu kimliği ve varsa temsilci bilgileri açık mı?
İşleme amaçları belirli ve muğlak olmayan ifadelerle yazıldı mı?
Aktarım yapılabilecek alıcı grupları ve amaçları ayrıştırıldı mı?
Toplama yöntemi (web formu, çağrı merkezi, fiziksel form vb.) net mi?
Hukuki sebep, her amaçla eşleştirilerek açıkça belirtildi mi?
KVKK m.11 hakları ve başvuru kanalı (iletişim) görünür mü?
VERBİS kayıtlarıyla çelişen ifade var mı? (yükümlülük varsa uyum kontrolü)
Metin erişilebilir mi? (gizleme, zor bulunur konum, karmaşık yönlendirme yok)
Aydınlatmanın yapıldığını ispatlayacak mekanizma var mı? (log, imza, ekran kaydı, checkbox kayıtları vb.)

KVKK m.28 İstisnaları: Ne Zaman Aydınlatma Yükümlülüğü Doğmayabilir?

KVKK’nın 28. maddesinde bazı istisna halleri düzenlenmiştir. Bu kapsamlarda veri sorumlusunun aydınlatma yükümlülüğü doğmayabilir. Örneğin; kişisel verilerin resmi istatistik amacıyla anonimleştirilerek araştırma/planlama/istatistik gibi amaçlarla işlenmesi veya suç işlenmesinin önlenmesi/soruşturma amacıyla işlenmesinin gerekli olması gibi senaryolarda istisna gündeme gelebilir. Ayrıca, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi gibi durumlar da değerlendirme konusu olabilir.

aydınlatma yükümlülüğü KVKK madde 10 aydınlatma tebliği katmanlı aydınlatma VERBİS uyumu KVKK madde 28

Kurumsal öneri: Aydınlatma metinlerini; veri envanteri, saklama-imha politikası ve tedarikçi sözleşmeleri (veri işleyen ilişkileri) ile aynı “kaynak doğruluk” üzerinden yönetin. Bu sayede hem içerik tutarlılığı artar hem de güncelleme süreçleri hızlanır.

6. Sık Sorulan Sorular (SSS)

Aydınlatma yükümlülüğü, açık rıza ile aynı şey mi?

Hayır. Aydınlatma; şeffaf bilgilendirmedir. Açık rıza ise gerekli hallerde ayrıca alınan özgür irade beyanıdır. Süreçler ayrı yürütülmelidir.

Gizlilik politikası aydınlatma metni yerine geçer mi?

Genel nitelikli gizlilik politikaları, tek başına aydınlatma metni yerine kullanılmamalıdır. Aydınlatma, ilgili işleme faaliyetine özgü hazırlanmalıdır.

Aydınlatmanın yapıldığını kim ispatlar?

Aydınlatma yükümlülüğünün yerine getirildiğini ispat yükü veri sorumlusundadır. Bu nedenle kayıt/kanıt mekanizması (log, imza, kayıt) kurgulanmalıdır.

Farklı birimler farklı amaçlarla veri işliyorsa tek metin yeterli olur mu?

Tebliğ perspektifinde, farklı birim ve amaçlar için aydınlatma metinlerinin ayrıştırılması önerilir. Böylece amaçlar netleşir ve uyum riski azalır.

Katmanlı aydınlatma nasıl yapılmalı?

Önce temel bilgiler (veri sorumlusu, amaç, temel aktarım, başvuru kanalı) sunulmalı; sonra detay metne yönlendirme yapılmalıdır. İlk katman mutlaka yeterli bilgi içermelidir.

KVKK m.28 istisnalarında aydınlatma hiç mi yapılmaz?

İstisna halleri somut olaya göre değerlendirilir. Kurum içi yaklaşım olarak, istisna kararı verildiğinde bunun gerekçesini kayıt altına almak ve minimum şeffaflıkla hareket etmek önerilir.