2021/85 Sayılı KVKK Kararı: 11. Madde Başvurusu Yanıtının Yetersizliği ve Aydınlatma Metni Eksikleri
Karar Tarihi: 03/02/2021 · Karar No: 2021/85 · Konu: Veri sorumlusunun KVKK m.11 kapsamındaki başvuruya verdiği cevabın yetersiz bulunması ve aydınlatma yükümlülüğü ihlalleri.
Olay neydi?
İlgili kişi “….com.tr” üzerinden sipariş vermiş ve e-bültene kaydolmuştur. İşlem sırasında aydınlatma sunulmadığı iddiasıyla; hangi verilerin hangi amaçlarla işlendiği, ne kadar süre saklandığı ve üçüncü taraflara aktarımlara ilişkin KVKK m.11 başvurusu yapmış; 30 gün içinde gelen yanıtı yetersiz bulmuştur.
Şikâyet iddiaları nelerdi?
Genel Politika ≠ Aydınlatma
“Kişisel Veriler Politikası”nın tüm siteyi kapsayan, belirli ve açık olmayan bir metin olduğu; aydınlatma sayılamayacağı ileri sürülmüştür.
Çelişkili Bilgilendirme
Politikada IP/Çerez yer alırken cevap yazısında bunlara değinilmediği; aktarım ifadelerinin tutarsız olduğu belirtilmiştir.
Veri Bazında Belirsizlik
Hangi veri kategorilerinin hangi alıcı gruplarına aktarıldığının veri bazında açıklanmadığı iddia edilmiştir.
Veri sorumlusu ne savundu?
- Politikanın güncellendiği ve sitede “Aydınlatma Metni” bulunduğu, ayrıca ayrı bir Çerez Politikası yer aldığı,
- Mesafeli Satış Sözleşmesi gereği zorunlu kargo aktarımı dışında paylaşım yapılmadığı,
- Metinlerin Tebliğ m.4 kapsamına uygun olduğu beyan edilmiştir.
Kurul bu durumda ne değerlendirdi?
- KVKK m.10 uyarınca aydınlatma; veri sorumlusu kimliği, amaçlar, alıcı grupları, yöntem-hukuki sebep ve m.11 haklarını içermelidir.
- Tebliğ m.5/1-f: Aydınlatma ile açık rıza ayrı işlemdir; birleştirilemez.
- Tebliğ m.5/1-g-ğ-j: Genel, muğlak ifadeler kullanılamaz; açık-anlaşılır olmalı; eksik/yanıltıcı bilgi verilmemelidir.
- “Gizlilik/Veri İşleme Politikası” gibi genel belgeler, işlem bazlı aydınlatma yerine geçemez.
- Üyelik/sipariş akışında aydınlatma ekrana gelmeli; alt link olarak pasif bırakılması ispat açısından yetersizdir.
Önemli: Aydınlatma, işlem özelinde ve veri bazında olmalı; hangi veri kategorisi hangi amaçla ve hangi alıcı grubuna aktarılıyor açıkça belirtilmelidir.
Sonuç ve Kurul talimatı ne oldu?
Kurul, Tebliğ m.5/1’in (g), (ğ) ve (j) bentlerine aykırılık bulunduğu kanaatiyle, hukuka aykırılıkların giderilmesi ve sonucunun Kurula bildirilmesi yönünde talimat vermiştir (KVKK m.15/5).
Uyum için kuruluşlar ne yapmalı?
1) İşlem Bazlı Aydınlatma
Üyelik, sipariş, bülten, iade gibi akışların her biri için ayrı aydınlatma ekranı.
2) Veri Kategorisi → Amaç → Alıcı
Her kategori için amaç ve alıcı gruplarını eşleştirerek belirtin.
3) Rıza Ayrımı
Açık rıza; aydınlatmadan bağımsız, özgür iradeyle ve delillendirilebilir alınmalı.
4) Kanıt & Log
Aydınlatma gösterimi, versiyon, zaman damgası ve kanal log’larını tutun.
5) Çerez Ayrımı
Zorunlu-isteğe bağlı çerezleri ayırın; CMP ile tercihler kaydedilsin.
6) Dili Sadeleştirin
Muğlak ifadelerden kaçının; net, kısa ve anlaşılır yazın.
SSS – 2021/85 Kararı ışığında sık sorulanlar
Genel “Politika” linki aydınlatma sayılır mı?
Hayır. İşlem sırasında, işlem bazlı ve belirli bir aydınlatma ekranda gösterilmelidir.
Aydınlatma ve açık rıza aynı kutuda olabilir mi?
Hayır. Tebliğ gereği ikisi ayrı işlemlerdir; birleştirilemez.
İspat yükü kimde?
Veri sorumlusunda. Gösterim kayıtları, versiyon ve zaman damgası saklanmalıdır.
Alıcı grupları nasıl yazılmalı?
Veri kategorisi → alıcı grubu → amaç zinciri net, muğlak olmayan ifadelerle belirtilmelidir.
Kaynak
Karar Özeti: “İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması”, 03/02/2021, Karar No 2021/85. Kaynak: kvkk.com.tr
