Skip to main content
İnternet HukukuVeri Koruma Hukuku

Gizlilik Politikası Nedir?

Yazar 25 Ağustos 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
gizlilik politikası nedir - gizlilik politikası hazırlama

Kişisel verilerin korunması kapsamında veri sorumluları gizlilik politikası oluşturmakla yükümlü kılınmıştır.

Gizlilik Politikası KVKK

Veri sorumluları 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında uyum süreçlerini yürütürken veri işlemeye ilişkin kuralları belirlemeli, politika ve prosedürler oluşturmalıdır. Veri korunmasına ilişkin politikalar veri sorumlusu ve veri işleyen tarafından gerçekleştirilecek veri işleme faaliyetini yansıtmalıdır.  Veri işleme faaliyetini tam anlamıyla yansıtmayan politika ve prosedürler uyum riskini de yanında getirmektedir. Kişisel veri ihlallerinin yaşandığı bir senaryoda Kişisel Verileri Koruma Kurulu tarafından ilgili prosedür ve politikalar talep edilecektir. Veri sorumlusunun sağlıklı olmayan politikalar ve prosedürler hazırlamış olması olası bir veri ihlalinde Kurul tarafından cezalandırılabilirliği kaçınılmaz bir hale getirecektir. 

Gizlilik politikası temelini kişisel verilerin korunması mevzuatından almaktadır. Şirketlerin kişisel verilerini işlediği ilgili kişilere karşı özellikle internette yaptıkları işlemler için bu kişileri eksiksiz bir biçimde bilgilendirmesi gerekmektedir. Kullanıcılar bu gizlilik politikasına internet sitesi veyahut uygulamayı kullanmadan önce erişebilmelidir. 

Gizlilik Politikası Neleri İçermeli?

Gizlilik politikası içerisinde kişisel verilerin korunması mevzuatı uyarınca değinilmesi gereken birçok başlık bulunmaktadır. Bu başlıklardan ilki kişisel veri işleyen veri sorumlusunun unvanı ve kişisel verilerin ne şekilde işleneceğidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde yer alan Genel İlkeler uyarınca kişisel verilerin işlenirken işlemenin hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Veri sorumluları gizlilik politikasında bu genel ilkelere uyacağını kullanıcılara açık ve sade bir dil kullanarak belirtmelidir. 

Gizlilik politikasında yer alması gereken başlıklardan ikincisi kişisel verilerin toplanmasıdır. Bu başlık altında veri sorumlusu olarak hangi kişisel verilerin hangi süreçler kapsamında toplanacağı konusunda kişisel veri sahibi kullanıcı bilgilendirilmelidir. Burada fiziksel veya otomatik yollarla veri işlemede hangi verilerin fiziksel hangi verilerin otomatik yolla toplandığının da belirtilmesi ilgili kişiye yapılacak aydınlatmanın tam olarak yerine getirilmesini sağlayacaktır.

Gizlilik politikasında yer alması gereken başlıklardan üçüncüsü kişisel verilerin hangi amaçlarla işlendiği ve kullanıldığıdır. Kişisel verilerin hangi amaçlarla ve hangi süreçler için işlendiği hakkında kullanıcının veri sorumlusu tarafından bilgilendirilmesi gerekmektedir. Veri sorumlusunun varsa 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan hangi işleme şartları dahilinde kişisel verileri işlediği, açık rıza alınması gereken durumlarda hangi konularda açık rıza alınacağı kullanıcıya açıklanması gereken diğer hususlardandır.

Kişisel verilerin saklanması ve saklama ile ilgili amaç ortadan kaktığında veyahut taahhüt edilen süre sona erdiğinde imhasının nasıl yapılacağı ise politika metninde yer alması gereken dördüncü husustur. Veri sorumlusu ilgili kişiden topladığı kişisel verilerin saklama süresini, saklama süresi bittiği ve amaçlar ortadan kalktığı takdirde kişisel verilerinin geleceğinin ne olacağını ilgili kişiye açık ve sade bir dille bildirmelidir.

Politika içerisinde yer verilmesi gereken beşinci ve en riskli sayılabilecek husus kişisel verilerin aktarılmasıdır. Veri sorumlusu şirket politika içerisinde kullanıcıdan alınacak kişisel verilerin hangi taraflara aktarılacağını aktarım amaçlarını da içerisine dahil edecek şekilde açıklamalıdır.

Politika içerisinde belirtilmesi önemle tavsiye edilen altıncı husus ise ilgili kişinin sahip olduğu haklardır. Kişisel verilerin korunması mevzuatı ve Kurul kararları ilgili kişiye sahip olduğu hakların hatırlatılması konusunun önemle üzerinde durmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. Maddesinde sayılan hakların yanısıra ilgili kişi başvuru formu ve veri sorumlusuna başvurunun hangi platformlardan gerçekleştirileceğine politika metninde yer verilmelidir.

Gizlilik politikası kişisel veri mevzuatı da dikkate alınarak şu şartları da sağlamalıdır:

  1. İnternet sitesi veya uygulama sahibi veri sorumlusu gizlilik politikasını bu platformlarda kolayca erişilebilir bir yere eklemelidir. İnternet sitesi veyahut uygulama üzerinde görünmeyecek kısımlara gizlenmiş, ürün ve yayınlar arasında uzun çabalarla bulunabilecek bir gizlilik politikası etkili sayılamayacaktır.
  2. Gizliliğe ilişkin bilgiler farklı politika ve prosedürler içerisinde yer almamalı, tek bir metin halinde gizlilik politikası içerisinde yer verilmelidir.
  3. Gizlilik politikası internet sitesi veya uygulama kullanıcısının rahatlıkla okuyabileceği sade ve anlaşılır bir dil kullanılarak hazırlanmalıdır.
  4. Politikanın değiştirilmesi söz konusuysa bu değişiklik ilgili kişilere açıkça bildirilmelidir. Kullanıcılara gizlilik politikasının güncellenmesine ilişkin bildirim pop-up veya e-posta yoluyla bildirilebilecektir.
  5. Gizlilik politikası metninde kullanıcıların verilerinin paylaşıldığı üçüncü taraf iş ortaklarına da yer verilmelidir.
  6. Veri sorumlusu şirketin kullanıcıdan topladığı kişisel verileri grup şirketleriyle paylaşıyor olması durumunda gizlilik politikasında ayrıca bu paylaşımın yapıldığına ilişkin kullanıcıya bilgilendirme yapılmalıdır.
  7. Politikada ayrıca kullanıcının internet sitesine üyeliği olması halinde bu üyeliğin sona ermesinden itibaren kişisel verilerin silineceği de belirtilmelidir. Kanundan veya ilgili mevzuattan kaynaklanan herhangi bir istisna olması halinde kullanıcı bu konuda bilgilendirilmelidir.

Gizlilik Politikasını Hangi Mevzuat Düzenliyor?

Gizlilik politikası dayanağını başta 6698 sayılı Kişisel Verilerin Korunması Kanunu ve kişisel verilerin korunması mevzuatından almaktadır. Mevzuat içerisinde açıkça gizlilik politikasına yer verilmemiş olsa da Kişisel Verileri Koruma Kurulu kararlarında gizlilik politikasının içermesi gereken unsurlar ve hukuka uygun olmayan gizlilik politikalarının neler olacağı Kurul’a yapılan şikayetler nezdinde belirtilmiştir.

Kurul 08/10/2020 tarihli ve 2020/766 sayılı karar özetinde gizlilik politikası hakkında tespitlerde bulunmuştur. İlgili karar özeti uyarınca aydınlatma metinleri ve gizlilik politikasının ayrı ayrı oluşturulması ve kullanılması gerektiği, gizlilik politikası metninin aydınlatma metni yerine geçemeyeceği aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği belirtilmiştir. Bu karar uyarınca veri sorumluları aydınlatma ve gizlilik politikası metinlerini ayrı ayrı sunmalıdır. Gizlilik politikasına ilişkin bakış açısında Kurul kararları da yükümlü kılıcı ve yönlendirici niteliktedir.

Gizlilik Politikası Zorunlu Mu?

İnternet veya uygulama kapsamında verileri kullanacak olan veri sorumluları, bu platformların kullanıcılarına gizlilik politikası sunması gerekmektedir. Politika metni ile kullanıcı, hangi kişisel verilerinin nasıl ve hangi amaçlarla toplanıldığı hakkında bilgi sahibi olacaktır. Kullanıcıya yapılacak bu bildirim ileride olası kişisel veri ihlallerinin önüne geçmek açısından da önem arz etmektedir. Gizlilik politikası kişisel veri ihlali gerçekleştiği takdirde Kişisel Verileri Koruma Kurulu’na veri sorumlusunun kendisinden istenen belgelerin sunulabilmesi açısından büyük öneme sahiptir.

Kişisel Verilerin İhlali Nedeniyle Tazminat

Gizlilik Politikası Hazırlamada KVKK ve GDPR Farkları

KVKK ve GDPR açısından gizlilik politikaları incelendiğinde nispeten paralel içeriklere sahiptir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında gizlilik politikalarında veri kontrolörünün sahibi olduğu kurum veya kuruluşta görev yapan veri koruma görevlisi (DPO) bilgilerine yer verilmektedir. Veri koruma görevlisi bilgisinin yanısıra eğer profil çıkarma da dahil otomatik karar verme kullanılıyorsa kullanıcıların bu yönde de bilgilendirilmesi gerekecektir. Yukarıda sayılanlara ek olarak çocuklar GDPR kapsamında büyük önem taşımaktadır. KVKK’da çocuklara dair henüz özel bir hüküm bulunmasa da çocukların rızasına GDPR kapsamında gizlilik politikalarında yer verilmektedir. Son olarak kullanıcıların GDPR kapsamında gizlilik politikası güncellendiğinde ne zaman güncellendiği ve ne zaman yürürlüğe gireceği de dahil olmak üzere bilgilendirileceğine dair bir kısmın da yer alması gerekmektedir.

Yukarıda hukuki açıdan önem ihtiva eden gizlilik politikası konusu genel bir çerçeveyle açıklanmıştır. Gizlilik politikası konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
WhatsApp Mesajlarının Delil Niteliği Bilişim HukukuCeza Hukukuİnternet HukukuMedeni Hukuk WhatsApp Mesajlarının Delil Niteliği
20 Temmuz 2023

WhatsApp Mesajlarının Delil Niteliği

AEY Legal
Scan the code