KVKK Aydınlatma Metni: Nasıl Hazırlanır? Adım Adım Uyum Rehberi
KVKK kapsamında aydınlatma metni; veri sorumlusu kimliği, işleme amaçları, hukuki sebep, veri kategorileri, aktarım, saklama–imha ve güvenlik tedbirlerini şeffaf biçimde ortaya koymanız için zorunlu bir metindir. Doğru tasarlanmış bir aydınlatma metni, denetimlerde en çok bakılan dokümanlar arasındadır.
Bu rehber, KVKK m.10 kapsamındaki aydınlatma yükümlülüğünü; pratik, denetime hazır ve kullanıcı dostu şekilde yerine getirmenize yardımcı olmak üzere hazırlanmıştır.
KVKK m.10 uyarınca, kişisel veriler işlenirken ilgili kişilerin kim olduğunuz, hangi verileri, hangi amaçla, hangi hukuki sebebe dayanarak işlediğiniz ve ne kadar süre sakladığınız konusunda bilgilendirilmesi zorunludur.
İyi tasarlanmış bir aydınlatma metni; denetim, şikâyet ve başvurularda riskinizi azaltır, kullanıcı nezdinde şeffaflık ve güven sağlar.
Ön Görüşme: 30 dakikada kapsam, metin mimarisi ve yayımlama stratejinizi birlikte netleştirelim.
1. Giriş
KVKK aydınlatma metni, kuruluşların; kimliklerini, kişisel verileri hangi kapsamda ve hangi hukuki sebebe dayanarak işlediklerini ilgili kişilere açıkça duyurdukları temel dokümandır.
Bu metin; yalnızca web sitesindeki bir link değil, aynı zamanda başvuru formlarından çağrı merkezine, fiziksel alanlardan mobil uygulamalara kadar uzanan tüm temas noktalarınızın hukuki çerçevesini belirler.
Aşağıdaki adımlar; veri sorumlusu kimliğinden saklama–imha politikasına kadar, denetime hazır bir aydınlatma metninin nasıl tasarlanabileceğini özetler.
2. KVKK Aydınlatma Metni Neden Zorunludur?
Kısa cevap: KVKK m.10 uyarınca kişisel veriler işlenirken ilgili kişilerin bilgilendirilmesi zorunludur. Aydınlatma metni; veri sorumlusu olarak:
- Kim olduğunuzu (unvan, adres, iletişim),
- Hangi kişisel verileri hangi amaçlarla işlediğinizi,
- Hangi hukuki sebebe dayanarak bu verileri işlediğinizi,
- Verileri kimlere ve hangi amaçlarla aktardığınızı,
- Ne kadar süre sakladığınızı ve hangi yöntemlerle imha ettiğinizi,
- İlgili kişilerin KVKK m.11 kapsamındaki haklarını ve başvuru yollarını
açık ve anlaşılır şekilde ortaya koyar.
Uyum açısından bakıldığında aydınlatma metni; şikâyet, inceleme ve denetim dosyalarının ilk kontrol edilen parçalarından biridir. Metnin içeriği ve yayımlanma yöntemi, doğrudan risk profilinizi etkiler.
3. Veri Sorumlusu Kimliği Nasıl Yazılmalıdır?
Aydınlatma metninde veri sorumlusu kimliği, tereddüte yer bırakmayacak şekilde tanımlanmalıdır.
3.1 Zorunlu Bilgiler
- Unvan / Ad–Soyad (varsa MERSİS veya vergi numarası),
- Adres ve iletişim bilgileri (telefon, e-posta),
- Vekil / temsilci bilgisi (yurt dışında yerleşik veri sorumluları için Türkiye’deki temsilci),
- İlgili kişi başvurularında kullanılacak başvuru kanalları.
3.2 Başvuru Kanalları
KVKK m.11 kapsamındaki hakların kullanımı için; ilgili kişilerin başvurabileceği:
- E-posta adresi (tercihen KEP),
- Fiziksel posta adresi,
- Varsa “Veri Sahibi Başvuru Formu” bağlantısı
aydınlatma metninde açıkça belirtilmelidir.
3.3 Şeffaf ve Anlaşılır Dil
Hukuki terimlerin yoğun kullanımı; metni hukuken “tam” gösterebilir ancak ilgili kişi açısından anlaşılabilirlik zayıflar. Bu nedenle:
- Hukuki kavramları sadeleştirin,
- Uzun, karmaşık cümlelerden kaçının,
- Mümkün olduğunca kısa, net ve amaca uygun ifadeler kullanın.
4. Kişisel Verilerin İşlenme Amaçları Nasıl Açıklanır?
KVKK ilkelerine göre, kişisel veriler belirli, açık ve meşru amaçlarla işlenmelidir. Aydınlatma metninde bu amaçlar; mümkün olduğunca somut ve sürece referans verecek şekilde belirtilmelidir.
4.1 İş ve Operasyon Amaçları
- Müşteri ilişkileri, üyelik ve sözleşme yönetimi,
- Destek talepleri, çağrı merkezi ve iletişim süreçlerinin yürütülmesi,
- Satış, sipariş, teslimat ve hizmet sunumuna ilişkin operasyonel süreçler,
- Finans, muhasebe ve faturalandırma süreçlerinin yürütülmesi.
4.2 Yasal Yükümlülük ve Güvenlik Amaçları
- Mevzuattan kaynaklanan bildirim ve saklama yükümlülüklerinin yerine getirilmesi,
- Bina ve tesis güvenliği (giriş–çıkış kayıtları, CCTV – ölçülülük ilkesine uygun olarak),
- Erişim yönetimi, işlem güvenliği, dolandırıcılık ve suistimallerin önlenmesi.
5. Toplanma Yöntemi ve Hukuki Sebep Nasıl Belirtilir?
KVKK m.10; yalnızca amaçları değil, verilerin hangi yöntemlerle ve hangi hukuki sebeplere dayanılarak toplandığının da açıklanmasını zorunlu kılar.
5.1 Toplanma Yöntemi
Metinde, verilerin hangi kanallar üzerinden elde edildiğini özetleyin. Örneğin:
- Fiziksel formlar, sözleşmeler, çağrı merkezi kayıtları,
- Web formları, çevrimiçi başvuru/üyelik ekranları, e-posta yazışmaları,
- Mobil uygulamalar, çerezler ve benzeri teknolojiler,
- İş ortakları, tedarikçiler veya entegrasyonlar aracılığıyla.
5.2 Hukuki Sebep
Aydınlatma metninde; KVKK m.5 ve m.6’daki hukuki sebeplerden hangilerine dayandığınızı açıkça belirtin:
- Kanunlarda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
- Hukuki yükümlülüğün yerine getirilmesi,
- Bir hakkın tesisi, kullanılması veya korunması,
- Meşru menfaat (denge testi yapılmış olmalı),
- Açık rıza (istisnai hallerde ve diğer sebeplerin yeterli olmadığı durumlarda, ayrı ve özgür iradeyle).
Açık rızayı; aydınlatma metninin bir parçası olarak değil, ayrı bir irade beyanı olarak ele almak en sağlıklı yaklaşımdır.
6. Hangi Kişisel Veri Kategorileri Yazılmalıdır?
Aydınlatma metninde her bir veri alanını tek tek saymak yerine, çoğu durumda veri kategorileri üzerinden gitmek pratik ve okunaklıdır.
6.1 Temel Veri Kategorileri
- Kimlik Bilgileri: Ad–soyad, TCKN, imza vb.
- İletişim Bilgileri: Adres, e-posta, telefon.
- Müşteri / İşlem Verileri: Üyelik, işlem geçmişi, sipariş ve talep kayıtları.
- Finans ve Muhasebe Verileri: IBAN, fatura, ödeme bilgileri.
- Güvenlik Verileri: Erişim logları, sistem kayıtları, CCTV görüntüleri (ses kaydı yoksa metinde ayrıca belirtin, ölçülülük ilkesine dikkat edin).
6.2 Özel Nitelikli Kişisel Veriler (Varsa)
- Sağlık verileri, biyometrik veriler,
- Dernek/vakıf/sendika üyeliği,
- Ceza mahkûmiyeti ve güvenlik tedbirleri bilgilerinin işlenmesi vb.
Bu kategoriler için, KVKK m.6 ve Kurul kararları gereği ilave teknik/idari tedbirler ve çoğu durumda açık rıza gerekeceğini metinde belirtmek uygundur.
7. Kişisel Verilerin Aktarımı Nasıl Yönetilir?
Aydınlatma metninde, kişisel verilerin kimlere ve hangi amaçlarla aktarıldığı alıcı grupları bazında açıkça yazılmalıdır. Örneğin:
- Tedarikçiler, iş ortakları, kargo/lojistik firmaları,
- Grup şirketleri ve iştirakler,
- Bağımsız denetim firmaları, hukuk ve mali müşavirlik hizmeti alınan üçüncü kişiler,
- Yetkili kamu kurum ve kuruluşları, düzenleyici otoriteler.
Yurt dışı aktarım söz konusu ise; kullanılan hukuki mekanizma (açık rıza, taahhütname, Kurul uygunluk kararı, yeterlilik kararı vb.) mutlaka belirtilmelidir.
8. Saklama Süresi ve İmha Politikası Nasıl Açıklanır?
KVKK; kişisel verilerin, işleme amaçları için gerekli olan süre kadar saklanmasını ve bu sürenin sonunda silinmesini, yok edilmesini veya anonim hale getirilmesini öngörür.
8.1 Saklama Süreleri
Aydınlatma metninde, mümkün olduğunca somut süreler vermek faydalıdır. Örneğin:
- İlgili mevzuatta öngörülen süreler (ör. VUK uyarınca mali kayıtlar için 10 yıl),
- Sözleşme ilişkisinin sona ermesini takiben makul zamana yayılmış saklama süresi,
- Hukuki uyuşmazlık riskine karşı zamanaşımı süreleri.
8.2 İmha Yöntemleri
- Silme: Kullanım dışı hale getirme, erişimin kalıcı olarak engellenmesi.
- Yok Etme: Fiziksel ortamların imhası, geri döndürülemez yöntemlerle ortadan kaldırma.
- Anonimleştirme: Verinin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Ayrıca, periyodik imha süreçleri (ör. her 6 ayda bir) ve imha işlemlerine ait kayıtların tutulduğuna ilişkin kısa bir ifade eklemek denetim açısından olumlu olacaktır.
9. Veri Güvenliği Tedbirleri Nasıl Anlatılmalıdır?
KVKK m.12 ve ikincil düzenlemeler uyarınca, veri sorumluları kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirleri almakla yükümlüdür. Aydınlatma metninde bu tedbirler özetlenebilir.
9.1 Teknik Tedbirler
- Şifreleme (dinlenimde ve iletişim sırasında),
- Çok faktörlü kimlik doğrulama (MFA),
- Rol bazlı yetkilendirme ve en az yetki prensibi,
- Loglama, anomali tespiti, yedekleme ve felaket kurtarma planları.
9.2 İdari Tedbirler
- Gizlilik taahhütleri ve yetki matrisi,
- Düzenli veri koruma ve bilgi güvenliği eğitimleri,
- Tedarikçi ve iş ortaklarıyla veri işleyen sözleşmeleri (DPA),
- İhlal yönetimi prosedürleri ve bildirim süreçleri.
Resmî kaynaklar için: KVKK Başkanlığı rehberleri ve Kurul kararları düzenli olarak takip edilmelidir.
10. KVKK Aydınlatma Metni için Örnek Mini Şablon
Aşağıdaki yapı; farklı sektörlere uyarlanabilecek özet bir aydınlatma metni iskeleti sunar.
- 1) Veri Sorumlusu: [Unvan – Adres – İletişim – Temsilci (varsa)]
- 2) Veri Kategorileri: Kimlik, iletişim, müşteri/işlem, finans, işlem güvenliği; özel nitelikli veriler (varsa)
- 3) Amaçlar: Hizmet sunumu, sözleşme süreçleri, faturalama, yasal yükümlülüklerin yerine getirilmesi, güvenlik ve denetim
- 4) Toplama & Hukuki Sebep: Fiziksel/dijital kanallar; kanuni zorunluluk, sözleşme, meşru menfaat, açık rıza (ayrı alınır)
- 5) Aktarım: Tedarikçi/iş ortakları, resmî merciler, grup şirketleri; yurt dışı aktarım varsa kullanılan hukuki mekanizma
- 6) Saklama: Amaç + mevzuat kaynaklı süreler; süre sonunda silme/yok etme/anonimleştirme
- 7) Haklar (m.11): Bilgi talebi, düzeltme, silme/anonimleştirme, işlemeye itiraz, zarar halinde tazmin talebi; başvuru kanalı ve 30 gün içinde yanıt yükümlülüğü
11. SSS – Aydınlatma Metni Hakkında Sık Sorulanlar
11.1 Aydınlatma ile açık rıza aynı şey midir?
Hayır. Aydınlatma, kişisel verilerin işlenmesine ilişkin bilgilendirme yükümlülüğüdür. Açık rıza ise, belirli bir konuya ilişkin, bilgilendirmeye dayanarak özgür iradeyle verilen onaydır ve kural olarak ayrı alınmalıdır.
11.2 Aydınlatma metni nerede yayımlanmalıdır?
Metin; web sitesi, mobil uygulama, başvuru/kayıt formları, sözleşme ekleri ve fiziksel alanlarda (örneğin QR kod ile yönlendirme) erişilebilir olmalıdır. Amaç; ilgili kişinin veri işleme faaliyeti başlamadan önce metne ulaşabilmesidir.
11.3 Özel nitelikli kişisel veriler nasıl yazılır?
Özel nitelikli veri kategorileri, bunların işlenmesine ilişkin hukuki sebep ve alınan ilave teknik/idari tedbirlerle birlikte belirtilmelidir. Çoğu durumda açık rıza gerekecek ve erişim, şifreleme, loglama gibi ek güvenlik önlemleri uygulanacaktır.
11.4 Yurt dışı aktarım varsa ne yapmalıyım?
Yurt dışına aktarım söz konusuysa; alıcı veya alıcı grupları, ülke/ülkeler ve kullanılan hukuki mekanizma (açık rıza, taahhütname, yeterlilik kararı vb.) metinde açıkça yer almalıdır.
11.5 Aydınlatma metnini ne sıklıkla güncellemeliyim?
İşleme amaçları, süreçler, kullanılan sistemler veya aktarım yapısı değiştiğinde metin mutlaka gözden geçirilmeli ve güncellenmelidir. Öneri: En az yılda bir defa genel bir uyum gözden geçirmesi yapılması.
11.6 Tek bir genel aydınlatma metni yeterli midir?
Bazı durumlarda genel bir çatı metin yeterli olabilir; ancak farklı süreçler (çalışan, aday, müşteri, ziyaretçi vb.) için süreç bazlı ayrı aydınlatma metinleri hazırlamak denetimlerde daha sağlıklı sonuç verir.
