Türkiye’deki veri sorumlularının bir kısmı ilgili kişilere “gizlilik (mahremiyet) politikası” adıyla aydınlatma bildirimleri sunmaktadırlar. Kişisel Verileri Koruma Kurulu ‘nun konuya değindiği kamuoyu duyurusuna buradan ulaşabilirsiniz. Aydınlatma bildirimi (“privacy notice”), ilgili kişilerin kişisel verileri üzerindeki faaliyetler hakkında bilgilendirildikleri bir içeriği ifade eder. Bu içeriğin amacı ve taşıması gereken unsurlar organizasyon kurallarından farklıdır. Aydınlatma bildirimi, Türk Hukuku bakımından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan aydınlatma yükümlülüğünün vücut bulmuş halidir. Bu bildirim vasıtasıyla bireyler kendi verilerinin ne amaçla kullanıldığını öğrenirler ve akıbetine yön verebilirler.

Kişisel verilerin işlendiği faaliyetlerde, kişisel verilerle hakkında izlenen yöntemleri, benimsenen ilkeleri içeren organizasyon kurallarını ifade eden gizlilik politikası da dolayısıyla, aydınlatma bildiriminden farklıdır.

Hangi isimle anılırsa anılsın organizasyon kurallarının oluşturulmasında en temel gerekçe organizasyonun taşıdığı risklerin (personel riski, teknik risk, yasal risk vb. olabilir) minimize edilmesidir. Bu gerekliliğe işaret eder diğer bir durum ise yasal belirsizliklerdir. Gizlilik politikasına bir organizasyonda hukuken iki şekilde ihtiyaç duyulabilir:

• Organizasyon birden fazla ülkede veri işleme faaliyeti yürütüyordur.

Farklı bağlayıcı hukuk kuralları bulunan her ülkede geçerli olabilecek temel ilkeler bu politikalar aracılığıyla saptanabilir. Organizasyon taraf olduğu ticari ilişkilerinde bu kurallara değinir. Bu şekilde gizlilik kurallarının uygulanmasında yönetsel bütünlük sağlanır. Herhangi bir ülke hukukuna aykırılık halinde ortaya çıkabilecek riskler öngörülebilir ve kontrol edilebilir hale gelir.

• İkinci ihtimalde organizasyonun yürüttüğü kişisel veri işleme faaliyetini konu edinen yasal veya idari düzenleme ya hiç bulunmamaktadır veya yetersiz kalmaktadır.

Bununla birlikte faaliyetin ilgili kişiler üzerindeki etkileri etik olarak değerlendirilmeye muhtaçtır. Bu durumda organizasyon iç değerlendirmeleri sonucunda birtakım kurallar belirleyerek kendine bir sınır belirleyebilir.

Sonuç olarak şahsi görüşümüze göre mevzuatı tekrar ettiği sürece gizlilik politikasının işletilmesi veri sorumlusu için gereksiz bir yüktür. Bu politikanın mevzuata uygunluğunun sürekli kontrolünü sağlamak zaman kaybıdır. Üstelik gizlilik politikası organizasyon yapısına göre kurgulanmamışsa herhangi bir etkinliği de bulunmamaktadır. Gizlilik politikası mutlak zorunluluk olarak düşünülmemeli, organizasyonun ihtiyaçları ve sınırları belirlendikten sonra kurallar şekillendirilmelidir.