Anasayfa/ Makale/ KVKK Kapsamında Açık Rıza Kavramı ve Veri...

Makale

Kişisel verilerin hukuka uygun işlenebilmesi için açık rıza veya diğer hukuka uygunluk sebeplerinin varlığı şarttır. Bu makale, KVKK kapsamında açık rızanın unsurlarını, geçerlilik şartlarını ve veri işlemeyi hukuka uygun kılan diğer sebepleri hukuki bir perspektifle ve Kişisel Verileri Koruma Kurulu kararları ışığında detaylıca incelemektedir.

KVKK Kapsamında Açık Rıza Kavramı ve Veri İşleme Şartları

AÇIK RIZA KVKK

Kişisel verilerin korunması hukuku, bireylerin özel hayatının gizliliğini ve kişilik haklarını güvence altına almayı amaçlayan, hızla gelişen bir hukuk disiplinidir. Uygulamada en çok karşılaşılan ve veri sorumlularının en çok dikkat etmesi gereken hususların başında kişisel verilerin işlenme şartları gelmektedir. Kural olarak, başkasına ait bir kişisel verinin işlenmesi hukuka aykırıdır ve bu aykırılığı ortadan kaldıracak temel dayanak ilgili kişinin açık rızası veya kanunda sayılan diğer hukuka uygunluk sebepleri olarak karşımıza çıkar. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu, açık rızayı genel ve özel nitelikli kişisel verilerin işlenmesinde temel bir şart olarak kabul etmiştir. Bununla birlikte, açık rızanın geçerli olabilmesi için kanunun aradığı katı unsurları taşıması gerekir. Veri sorumlularının hukuki ve cezai yaptırımlarla karşılaşmamaları adına, rızanın hukuki niteliğini, şeklini, nasıl alınması ve ispat edilmesi gerektiğini detaylıca kavramaları elzemdir.

Açık Rıza Kavramı ve Hukuki Niteliği

6698 sayılı Kanun’un 3’üncü maddesinde açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Doktrinde ağırlık kazanan görüşe ve medeni hukuk prensiplerine göre açık rıza, esasında tek taraflı hukuki işlem benzeri bir irade beyanıdır. Veri sahibinin bu beyanı, kendisine ait hukuki bir değere yönelik müdahalenin onaylanması ve kabullenilmesi anlamına gelir. İlgili kişi, verilerinin geleceğini tayin etme hakkı kapsamında bu rızayı dilediği zaman özgürce geri alabilir. Rızanın geri alınması, tek taraflı ve karşı tarafın kabulüne bağlı olmayan kesin bir haktır. Ancak bu geri alma işlemi her zaman ileriye etkili sonuç doğurur; yani geri alma anından önce açık rızaya dayanılarak hukuka uygun biçimde gerçekleştirilmiş veri işleme faaliyetlerini geriye dönük olarak hukuka aykırı kılmaz. Veri sorumluları bu tarihten sonraki işleme faaliyetlerini derhal durdurmak zorundadır.

Açık Rızanın Geçerlilik Şartları

Bir muvafakatin KVKK nazarında geçerli bir açık rıza sayılabilmesi için kanunda belirtilen temel unsurları barındırması zaruridir. Uygulamada veri sorumlularının sıklıkla hataya düştüğü nokta, genel geçer ve sınırları çizilmemiş battaniye rıza (torba rıza) metinleriyle veri işlemeye çalışmalarıdır. Oysa rıza, belirli bir konuya ilişkin olmalı ve veri işleme amacının sınırları net şekilde çizilmelidir. İkinci olarak, rıza bilgilendirmeye dayalı olmalıdır; yani veri sorumlusu rızadan bağımsız olarak aydınlatma yükümlülüğünü yerine getirmelidir. İlgili kişi; verilerinin hangi amaçla, ne kadar süreyle işleneceğini ve kimlere aktarılacağını açıkça bilerek onay vermelidir. Üçüncü temel unsur ise özgür irade ile açıklanma şartıdır. Veri işleme izninin bir ürün veya hizmetin sunulması için ön şart haline getirilmesi (bağlama yasağı) ya da çalışanın işverene karşı olan zayıf konumu gibi güç dengesizliğinin bulunduğu hallerde özgür iradenin sakatlandığı kabul edilir ve alınan rıza hukuken geçersiz sayılır.

Açık Rızanın Şekli ve İspat Külfeti

Açık rızanın alınması kural olarak herhangi bir şekil şartına tabi değildir. Sözlü, yazılı, elektronik ortamda, SMS, kayıtlı elektronik posta (KEP) veya güvenli elektronik imza ile alınması mümkündür. Özel nitelikli verilerdeki spesifik istisnalar hariç genel kural şekil serbestisidir. Ancak rıza beyanının tereddüde mahal bırakmayacak açıklıkta ve kullanıcının aktif bir eylemiyle (opt-in yöntemi) verilmesi şarttır. İlgili kişinin susması veya önceden işaretlenmiş bir kutucuğu değiştirmemesi gibi pasif davranışlara dayanan opt-out yöntemi, Kurul kararları ışığında geçerli bir açık rıza olarak kabul edilmez. Veri sorumluları açısından hukuki süreçlerdeki en kritik nokta ise ispat yükümlülüğü kuralıdır. İlgili kişiden hukuka uygun bir açık rıza alındığını ispat etme külfeti tamamen veri sorumlusunun üzerindedir. Bu nedenle alınan rızanın ispatlanabilir ve şüpheye yer bırakmayan bir formatta kayıt altına alınması hukuki güvenliğin olmazsa olmazıdır.

Açık Rıza Dışındaki Veri İşleme Şartları

Kişisel verilerin işlenmesi kural olarak rızaya tabi olsa da, KVKK'nın 5'inci maddesi veri sorumlusuna rızanın aranmayacağı alternatif hukuka uygunluk sebepleri sunar. Bu sebepler mevcutken veri sorumlusunun sadece kolaylık sağlaması adına açık rızaya başvurması, Kişisel Verileri Koruma Kurulu tarafından dürüstlük kuralına aykırı ve ilgili kişiyi yanıltıcı bulunmaktadır. Çünkü rızasını geri alan kişi veri işlemenin duracağını zannederken, aslında arka planda başka bir hukuki sebebe dayalı olarak veri işleme devam edecektir. Kanunda sayılan bu istisnai hukuka uygunluk sebepleri şunlardır:

  • Kanunlarda açıkça öngörülmesi: İş Kanunu gereği özlük dosyası tutulması veya PVSK kapsamında veri alınması gibi kanuni zorunluluklar.
  • Fiili imkânsızlık: Rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması için acil tıbbi verilerin işlenmesi.
  • Sözleşmenin ifası: Taraflar arasındaki sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla maaş ödemesi gibi süreçler için veri işlenmesi.
  • Hukuki yükümlülük: Veri sorumlusunun kanundan veya ikincil mevzuattan doğan yasal mecburiyetlerini yerine getirmesi.
  • Alenileştirme: İlgili kişinin kendi kişisel verisini, sadece alenileştirme amacına uygun şekilde bizzat kamuya açıklaması.
  • Hakkın tesisi: Bir hakkın kullanılması veya savunulması için dava dosyalarında ispat amacıyla veri işlemenin zorunlu olması.
  • Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla veri sorumlusunun menfaatleri için veri işlemenin zorunlu olması.
4 dk okuma Yayınlanma: Güncelleme: