Adres:
Çetin Emeç Bulv. Yukarı Öveçler Mh. Lizbon Cd. No: 2/3 Çankaya, Ankara
Telefon:
0 (312) 911 81 94
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin korunmasına ilişkin temel yasal düzenlemedir. Kanunun ruhunu oluşturan kavramlardan biri de “açık rıza”dır. Açık rıza, bir kişinin kendi kişisel verisinin işlenmesine, belirli koşullar altında ve özgür iradesiyle onay vermesi anlamına gelir. Ancak uygulamada açık rızanın ne olduğu, nasıl alınması gerektiği, geçerlilik şartları, süresi ve sınırları sıkça yanlış anlaşılmakta ve suiistimale açık biçimde kullanılmaktadır.
Açık rıza kavramı, yalnızca bireyin “izin vermesi” anlamına gelmez. Hukuken geçerli bir açık rıza, sadece şekli bir beyan değil; bilgilendirmeye dayalı, belirli bir veri işleme faaliyeti için, özgür iradeyle ve bilinçli olarak verilmiş bir irade beyanı olmalıdır. Bu yazıda açık rızanın ne zaman ve nasıl alınması gerektiği, geçerlilik şartları, kullanım alanları ve alınırken dikkat edilmesi gereken hukuki kriterler detaylı şekilde ele alınacaktır.
KVKK’nın 3. maddesinde açık rıza şöyle tanımlanmıştır:
“Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”
Bu tanım, açık rızanın üç temel bileşeni olduğunu gösterir:
Bu unsurların her biri, açık rızayı sıradan bir onaydan ayıran niteliklerdir. Dolayısıyla “Kişisel verilerin işlenmesini kabul ediyorum” gibi muğlak, kapsamı belirsiz ve ayrıntı içermeyen beyanlar, açık rıza anlamına gelmez. Aynı şekilde, kişinin bir hizmeti alabilmek için zorunlu olarak verdiği sözde rıza da, özgür iradeye dayanmadığı için hukuken geçersizdir.
KVKK’da kişisel veri işlemenin hukuka uygunluğu, rızaya veya kanunda belirtilen diğer hukuki işleme şartlarına dayanır. Bu kapsamda KVKK’nın 5. ve 6. maddelerinde kişisel verilerin işlenme şartları düzenlenmiştir. Eğer veri işleme faaliyeti bu şartlardan herhangi birine dayanmıyorsa, açık rıza zorunludur.
Açık rıza, bu nedenle birincil değil, tamamlayıcı bir hukuki dayanak işlevi görür. Çünkü veri işlemenin mümkün olduğu başka hukuki sebepler varsa, açık rızaya başvurmaya gerek yoktur. Ancak:
işte o zaman veri sorumlusunun geçerli bir açık rıza alması gerekir.
Açık rıza, mutlaka belirli, açık ve sınırları net olarak çizilmiş bir veri işleme faaliyetini kapsamalıdır. “Kişisel verilerinizi işliyoruz, kabul ediyor musunuz?” şeklindeki genel ifadeler açık rıza sayılmaz. Çünkü bu ifade, verinin hangi amaçla, ne kadar süreyle, kimlerle paylaşılacağı gibi önemli unsurları içermemektedir.
Belirli konuya ilişkinlik ilkesi gereği, rıza metninde şu unsurlar mutlaka yer almalıdır:
Örneğin: “İsim, soyisim ve e-posta bilgileriniz, yalnızca promosyon ve kampanya bilgilendirmeleri amacıyla işlenecektir. Bu veriler üçüncü kişilerle paylaşılmayacak ve 1 yıl boyunca saklanacaktır.” ifadesi, belirli bir konuya ilişkin bir açık rıza örneğidir.
KVKK’nın 10. maddesi uyarınca, kişisel veriler işlenmeden önce ilgili kişiye aydınlatma yapılması zorunludur. Bu aydınlatma yükümlülüğü, açık rızadan ayrı ve önceliklidir. Yani açık rıza alınmadan önce kişiye:
açık, sade ve anlaşılır bir şekilde bildirilmelidir.
Bilgilendirme yapılmadan alınan hiçbir rıza hukuken geçerli değildir. Çünkü rızanın “bilinçli” olması, kişiye neye rıza verdiğinin açıklanmasıyla mümkündür.
Açık rızanın en kritik unsuru özgür iradeye dayalı olmasıdır. Kişi, hiçbir baskı altında kalmadan, kendi kararıyla ve herhangi bir zorlamaya maruz kalmadan rıza vermelidir. Eğer kişi bir hizmeti almak için, iş ilişkisini sürdürmek için ya da bir üyeliği devam ettirmek için rıza vermeye mecbur bırakılıyorsa, bu durumda alınan rıza geçersiz sayılır.
Özgür irade ilkesi özellikle şu durumlarda ihlal edilebilir:
Bu nedenle rıza süreci kişiye bir tercih sunmalı ve rıza vermemeyi tercih eden kişiler cezalandırılmamalıdır.
Açık rıza, yazılı, sözlü veya elektronik yollarla alınabilir. Ancak KVKK uyarınca ispat yükü veri sorumlusuna ait olduğundan, açık rızanın alınması süreci mutlaka kayıt altına alınmalı ve gerektiğinde denetlenebilir olmalıdır.
Açık rıza şu şekillerde alınabilir:
Buradaki temel ilke, kişinin açıkça iradesini ortaya koyduğu bir yöntem olması ve bu yöntemin sonradan kanıtlanabilir olmasıdır.
KVKK’da açıkça düzenlenmese de açık rıza, veri sahibinin özgür iradesine dayandığı için geri alınabilir. Geri alma beyanı ile birlikte veri sorumlusu, o kişiye ait kişisel verileri artık işleyemez, paylaşamaz ya da saklayamaz. Bu veri ya imha edilir ya da anonimleştirilir.
Geri alma işlemi için:
Bu başvurunun alınmasından itibaren 30 gün içinde işlem yapılmalı ve veri sahibi bilgilendirilmelidir. Açık rıza verilirken, kişiye bu rızayı ne zaman ve nasıl geri alabileceği de açıklanmalıdır.
KVKK’ya göre açık rıza, hizmet koşulu haline getirilemez. Yani bir şirket, kişinin açık rıza vermemesi hâlinde ona ürün veya hizmet sunmayı reddedemez.
Ancak iki istisna durum söz konusudur:
Bu dengenin kurulması zor olsa da, veri işleme süreci hizmetin sunulması için “şart” değilse, kişinin rızasına dayanamaz. Bu durum özellikle reklam, pazarlama, analiz, lokasyon izleme, üçüncü taraflarla veri paylaşımı gibi konularda dikkatle incelenmelidir.
KVKK’nın 6. maddesi uyarınca; sağlık bilgileri, cinsel hayat, dini inanç, ırk, genetik veri, biyometrik veri gibi özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması zorunludur. İstisnai olarak:
gibi bazı durumlarda açık rıza olmaksızın da işlenebilir. Ancak bu istisnalar dar yorumlanmalıdır.
Özel nitelikli veriler için alınacak açık rıza:
Aksi halde veri işleme faaliyeti ağır idari para cezalarına ve hatta cezai yaptırımlara konu olabilir.