Adres:
Çetin Emeç Bulv. Yukarı Öveçler Mh. Lizbon Cd. No: 2/3 Çankaya, Ankara

Telefon:
0 (312) 911 81 94

 

KVKK Kapsamında Açık Rıza Nasıl Alınmalı?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin korunmasına ilişkin temel yasal düzenlemedir. Kanunun ruhunu oluşturan kavramlardan biri de “açık rıza”dır. Açık rıza, bir kişinin kendi kişisel verisinin işlenmesine, belirli koşullar altında ve özgür iradesiyle onay vermesi anlamına gelir. Ancak uygulamada açık rızanın ne olduğu, nasıl alınması gerektiği, geçerlilik şartları, süresi ve sınırları sıkça yanlış anlaşılmakta ve suiistimale açık biçimde kullanılmaktadır.

Açık rıza kavramı, yalnızca bireyin “izin vermesi” anlamına gelmez. Hukuken geçerli bir açık rıza, sadece şekli bir beyan değil; bilgilendirmeye dayalı, belirli bir veri işleme faaliyeti için, özgür iradeyle ve bilinçli olarak verilmiş bir irade beyanı olmalıdır. Bu yazıda açık rızanın ne zaman ve nasıl alınması gerektiği, geçerlilik şartları, kullanım alanları ve alınırken dikkat edilmesi gereken hukuki kriterler detaylı şekilde ele alınacaktır.

Açık Rıza Nedir?

KVKK’nın 3. maddesinde açık rıza şöyle tanımlanmıştır:

“Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”

Bu tanım, açık rızanın üç temel bileşeni olduğunu gösterir:

  1. Belirli bir konuya ilişkin olma
  2. Bilgilendirmeye dayalı olma
  3. Özgür iradeyle verilmiş olma

Bu unsurların her biri, açık rızayı sıradan bir onaydan ayıran niteliklerdir. Dolayısıyla “Kişisel verilerin işlenmesini kabul ediyorum” gibi muğlak, kapsamı belirsiz ve ayrıntı içermeyen beyanlar, açık rıza anlamına gelmez. Aynı şekilde, kişinin bir hizmeti alabilmek için zorunlu olarak verdiği sözde rıza da, özgür iradeye dayanmadığı için hukuken geçersizdir.

Açık Rızanın KVKK’daki Yeri ve Fonksiyonu

KVKK’da kişisel veri işlemenin hukuka uygunluğu, rızaya veya kanunda belirtilen diğer hukuki işleme şartlarına dayanır. Bu kapsamda KVKK’nın 5. ve 6. maddelerinde kişisel verilerin işlenme şartları düzenlenmiştir. Eğer veri işleme faaliyeti bu şartlardan herhangi birine dayanmıyorsa, açık rıza zorunludur.

Açık rıza, bu nedenle birincil değil, tamamlayıcı bir hukuki dayanak işlevi görür. Çünkü veri işlemenin mümkün olduğu başka hukuki sebepler varsa, açık rızaya başvurmaya gerek yoktur. Ancak:

  • Veri, herhangi bir hukuki sebebe dayanmıyorsa,
  • Veri özel nitelikli ise ve istisnai durumlar söz konusu değilse,

işte o zaman veri sorumlusunun geçerli bir açık rıza alması gerekir.

Açık Rızanın Geçerlilik Şartları

1. Belirli Bir Konuya İlişkin Olma

Açık rıza, mutlaka belirli, açık ve sınırları net olarak çizilmiş bir veri işleme faaliyetini kapsamalıdır. “Kişisel verilerinizi işliyoruz, kabul ediyor musunuz?” şeklindeki genel ifadeler açık rıza sayılmaz. Çünkü bu ifade, verinin hangi amaçla, ne kadar süreyle, kimlerle paylaşılacağı gibi önemli unsurları içermemektedir.

Belirli konuya ilişkinlik ilkesi gereği, rıza metninde şu unsurlar mutlaka yer almalıdır:

  • Hangi kişisel veriler işlenecek?
  • Hangi amaçla işlenecek?
  • Kimlerle paylaşılacak?
  • Ne kadar süreyle saklanacak?
  • Hangi yöntemle işlenecek?

Örneğin: “İsim, soyisim ve e-posta bilgileriniz, yalnızca promosyon ve kampanya bilgilendirmeleri amacıyla işlenecektir. Bu veriler üçüncü kişilerle paylaşılmayacak ve 1 yıl boyunca saklanacaktır.” ifadesi, belirli bir konuya ilişkin bir açık rıza örneğidir.

2. Bilgilendirmeye Dayanma

KVKK’nın 10. maddesi uyarınca, kişisel veriler işlenmeden önce ilgili kişiye aydınlatma yapılması zorunludur. Bu aydınlatma yükümlülüğü, açık rızadan ayrı ve önceliklidir. Yani açık rıza alınmadan önce kişiye:

  • Veri sorumlusunun kimliği,
  • İşlenecek kişisel verilerin türü,
  • İşleme amacı,
  • Paylaşılacağı kişi ya da kuruluşlar,
  • Saklama süresi,
  • Hakları (veriye erişim, düzeltme, silme vs.)

açık, sade ve anlaşılır bir şekilde bildirilmelidir.

Bilgilendirme yapılmadan alınan hiçbir rıza hukuken geçerli değildir. Çünkü rızanın “bilinçli” olması, kişiye neye rıza verdiğinin açıklanmasıyla mümkündür.

3. Özgür İrade ile Verilme

Açık rızanın en kritik unsuru özgür iradeye dayalı olmasıdır. Kişi, hiçbir baskı altında kalmadan, kendi kararıyla ve herhangi bir zorlamaya maruz kalmadan rıza vermelidir. Eğer kişi bir hizmeti almak için, iş ilişkisini sürdürmek için ya da bir üyeliği devam ettirmek için rıza vermeye mecbur bırakılıyorsa, bu durumda alınan rıza geçersiz sayılır.

Özgür irade ilkesi özellikle şu durumlarda ihlal edilebilir:

  • Rıza vermeyen kişiye hizmetin sunulmaması,
  • Hizmeti alabilmek için “zorunlu” olarak rıza istenmesi,
  • Alternatif sunulmaması (“rıza ver ya da ayrıl” yaklaşımı),
  • Çalışanlara dayatılan rıza formları.

Bu nedenle rıza süreci kişiye bir tercih sunmalı ve rıza vermemeyi tercih eden kişiler cezalandırılmamalıdır.

Açık Rıza Nasıl Alınmalıdır?

Açık rıza, yazılı, sözlü veya elektronik yollarla alınabilir. Ancak KVKK uyarınca ispat yükü veri sorumlusuna ait olduğundan, açık rızanın alınması süreci mutlaka kayıt altına alınmalı ve gerektiğinde denetlenebilir olmalıdır.

Açık rıza şu şekillerde alınabilir:

  • Fiziksel ortamda yazılı beyan alınması (ıslak imzalı formlar)
  • Web sitesi üzerinden onay kutusu (tick-box) yöntemi
  • Mobil uygulamalarda onay ekranı (opt-in ekranlar)
  • SMS veya e-posta onayı
  • Çağrı merkezleri aracılığıyla ses kaydı alınarak

Buradaki temel ilke, kişinin açıkça iradesini ortaya koyduğu bir yöntem olması ve bu yöntemin sonradan kanıtlanabilir olmasıdır.

Açık Rızanın Geri Alınması

KVKK’da açıkça düzenlenmese de açık rıza, veri sahibinin özgür iradesine dayandığı için geri alınabilir. Geri alma beyanı ile birlikte veri sorumlusu, o kişiye ait kişisel verileri artık işleyemez, paylaşamaz ya da saklayamaz. Bu veri ya imha edilir ya da anonimleştirilir.

Geri alma işlemi için:

  • Yazılı bir dilekçe verilebilir,
  • E-posta yoluyla başvuru yapılabilir,
  • Uygulama veya sistem üzerinden geri alma seçeneği sunulabilir.

Bu başvurunun alınmasından itibaren 30 gün içinde işlem yapılmalı ve veri sahibi bilgilendirilmelidir. Açık rıza verilirken, kişiye bu rızayı ne zaman ve nasıl geri alabileceği de açıklanmalıdır.

Hizmetin Rızaya Bağlı Kılınması

KVKK’ya göre açık rıza, hizmet koşulu haline getirilemez. Yani bir şirket, kişinin açık rıza vermemesi hâlinde ona ürün veya hizmet sunmayı reddedemez.

Ancak iki istisna durum söz konusudur:

  1. Veri işleme faaliyeti, hizmetin ifası için zorunluysa (örneğin kargolama için adres bilgisi) açık rıza gerekmez.
  2. Rıza verilmemesi, hizmetin teknik olarak sunulmasını imkânsız kılıyorsa, bu durumda hizmetin verilmemesi haklı görülebilir.

Bu dengenin kurulması zor olsa da, veri işleme süreci hizmetin sunulması için “şart” değilse, kişinin rızasına dayanamaz. Bu durum özellikle reklam, pazarlama, analiz, lokasyon izleme, üçüncü taraflarla veri paylaşımı gibi konularda dikkatle incelenmelidir.

Özel Nitelikli Verilerde Açık Rıza

KVKK’nın 6. maddesi uyarınca; sağlık bilgileri, cinsel hayat, dini inanç, ırk, genetik veri, biyometrik veri gibi özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması zorunludur. İstisnai olarak:

  • Kamu sağlığının korunması,
  • Tıbbi teşhis ve tedavi hizmetleri,
  • Sosyal güvenlik işlemleri,

gibi bazı durumlarda açık rıza olmaksızın da işlenebilir. Ancak bu istisnalar dar yorumlanmalıdır.

Özel nitelikli veriler için alınacak açık rıza:

  • Daha kapsamlı bilgilendirme içermeli,
  • Ek güvenlik önlemleriyle korunmalı,
  • Diğer verilerden ayrı tutulmalı,
  • Verinin türü, amacı ve kapsamı açıkça belirtilmelidir.

Aksi halde veri işleme faaliyeti ağır idari para cezalarına ve hatta cezai yaptırımlara konu olabilir.