Son yıllarda sıklıkla adını duyduğumuz 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verileri işleyen tüm gerçek ve tüzel kişiler için, KVKK uyum kapsamında veri sahiplerinin açık rızalarını alma yükümlülüğü getirmiştir. Bu yükümlülük veri sorumlularının tüm veri işleme süreçlerini yeniden tasarlama zorunluluğunu da beraberinde getirmiştir. İşte bu noktada KVKK ile birlikte gelen en temel kavram olan açık rıza kavramını detaylı anlamak, KVKK’ya doğru şekilde uyum sağlamak açısıdan çok önemlidir. Yazımızın devamında kavramın detaylarını sizlerle paylaşmak isteriz.
Kişisel Verilerin İşlenmesinde Açık Rıza Nedir?
KVKK kapsamında açık rıza, kişilerin kişisel verilerinin işlenmesine yönelik olarak verdikleri onayı ifade etmektedir. Kişilerin sahip oldukları kişisel verilerin işlenmesine, kendi istekleri ile veya karşı tarafın talebi üzerine onay vermeleri KVKK kapsamında açık rıza vermeleri anlamına gelir. Açık rızanın, kişisel verileri işlenen kişinin –kanunun tanımına göre veri sahibinin- olumlu irade beyanını içermesi gerekmektedir. Verilen açık rıza ile ilgili kişisel verilerin hangi sınırlarda işlenebileceği, bu verileri işlemenin kapsamının ne olacağı, veri işlemenin nasıl olacağı ve ne kadar süre devam edeceği de belirlenebilmektedir.
Diğer kanunlardaki düzenlemeler saklı kalmakla birlikte, KVKK anlamında açık rızanın verilmesi şekle tabi değildir. Buna göre açık rıza ilgili kişi tarafından yazılı olarak verilebileceği gibi, elektronik ortamda veya sözlü olarak da verilebilir. Burada önemli olan nokta şudur ki, herhangi bir ihtilaf durumunda açık rızanın varlığını ispat yükü veri sorumlusunun üzerindedir.
Açık Rızanın Geçerlilik Unsurları Nelerdir?
KVKK 3. Maddede yer alan tanımına göre açık rızanın zorunlu 3 unsuru şunlardır:
- Belirli bir konuya ilişkin olması
- Bilgilendirmeye dayalı olması
- Özgür iradeyle açıklanması.
Yukarıda belirtilen unsurları içermeyen rıza geçerli kabul edilmeyecektir. Şimdi bu unsurların detaylarına kısaca göz atalım:
Verilen rızanın belirli bir konuya ilişkin olabilmesi için, veri sahibine yapılan aydınlatmada verinin hangi sebeple ve amaçla alındığının açıkça belirtilmesi önem taşır. Bu aydınlatma sonrasında veri sahibinin de rızasını yine açık şekilde ve belirli konuya yönelik olarak vermesi gerekir. Aksi takdirde verilen rızanın neye ilişkin olduğunun kesin olarak belirlenememesi ve muğlak olması nedeniyle açık rıza verilmemiş kabul edilecektir. Ayrıca belirtmek gerekir ki, veri sorumlusunun verileri yurtdışına aktarmak gibi, veri üzerinde gerçekleştireceği ikincil işlemler için veri sahibinden tekrar açık rıza alması gerekecektir. Aynı gereklilik verilerin işlenme amacının değişmesi durumunda da söz konusu olacaktır.
Belirli bir konuyla veya işlemle sınırlı olmayan, genel nitelikteki açık rızalar “battaniye rıza” olarak adlandırılmaktadır. Örneğin “her türlü ticari işlem” veya “her türlü bankacılık işlemi” için veri işlenmesine rıza vermek belirli bir konuyu işaret etmediği için hukuken geçerli kabul edilmeyecektir.
Veri sahibinin açık rıza verdiği veri işleme faaliyeti konusunda veri sorumlusu tarafından detaylı şekilde bilgilendirilmiş olması gerekir. Yapılan bilgilendirmenin anlaşılabilir olması önemlidir. Burada bahsedilen “anlaşılabilirlik” somut olaya ve hedef kitleye göre değişiklik gösterecek olmakla birlikte, genel olarak bilgilendirme yapılırken sade bir dil kullanılması, mesleki ve teknik dilden kaçınılması ve gerekli görülen hallerde teknik terimlerin veri sahibine açıklanması gibi kriterlerden bahsedilebilir. Bilgilendirmenin herhangi bir yerde veri sahibi tarafından erişilebilir durumda olması yeterli olmayıp, doğrudan veri sahibine yapılması gerekir. Aksi halde yapılan veri işleme faaliyeti hukuka aykırılık teşkil edecektir.
Bir rıza beyanının hukuken geçerli kabul edilebilmesi için özgür irade ile verilmesi gerekliliği yalnızca KVKK kapsamında değil tüm mevzuat açısından önem taşır. Buna göre veri sahibi rızasını verirken cebir veya tehdit görmemiş olmalı, ayrıca hile ile kandırılmamış olmalı ve taraflardan birinin hatası bulunmamalıdır. Açık rıza verilirken sayılan bu durumlardan herhangi birinin varlığının tespit edilmesi durumunda rızayı ne ölçüde sakatladığının her somut olaya göre ayrıca değerlendirilmesi gerekmektedir. Unutmamak gerekir ki her ne kadar mevzuat veri sahibinin haklarını korumak için azami çabayı gösterse de, pratikte veri sorumlusu çoğunlukla veri sahibinden daha güçlü konumdaki bir kişi olarak karşımıza çıkmaktadır. Bu husus göz önüne alındığında somut olaylarda veri sahibine karşı doğrudan bir cebir veya tehdit uygulanmasa dahi, gücün getirdiği bir “dayatma” durumu olabileceği aşikardır. Böyle bir durumda yine açık rızanın özgür iradeye dayandığından bahsetmek mümkün olmayacak ve irade beyanı hukuken sakat olacaktır.
Açık rızanın yukarıda sayılan unsurlardan birini haiz olmaması durumunda kişisel veriler hukuka aykırı şekilde işlenmiş sayılır ve buna karşı KVKK şikayet imkanı bulunmaktadır.
Açık Rıza Geri Alınabilir mi?
Açık rıza vermek kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerinin işlenmesi ile ilgili haklar tamamen veri sahibine aittir. Bu nedenle veri sahibi verdiği rızayı dilediği zaman geri almakta özgürdür. Burada üzerinde durulması gereken önemli nokta, rızanın geri alınmasının ileriye yönelik bir sonuç doğuracağıdır. Buna göre rızayı geri alma beyanı veri sorumlusuna ulaştığı andan itibaren ileriye dönük olarak hüküm doğurur. Veri sorumlusunun geri alma beyanı kendisine ulaştığı andan itibaren, o zamana kadar açık rızaya dayalı olarak gerçekleştirdiği tüm veri işleme faaliyetlerini durdurması gerekir.
Açık Rıza Ve Aydınlatma Yükümlülüğü İlişkisi
Veri sahibinin kişisel verilerinin işlenmesine açık rıza verirken bu konuda veri sorumlusu tarafından veri işleme faaliyetinin amacı, kapsamı ve sınırları hakkında detaylıca bilgilendirilmesi gerekmektedir. Bu noktada veri sorumlusunun aydınlatma sorumluluğu söz konusudur. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesi uyarınca veri sorumlusunun aydınlatma yükümlülüğü ile veri sahibinden açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir.
Uygulamada açık rızanın alınması çeşitli şekillerde mümkündür. Örnek vermek gerekirse işverenlerin hem iş başvurusu yapan adayların hem de halihazırda çalışanlarının kişisel verilerinin işlenmesi için onların açık rızasını almaları gerekir. İş başvurusu yapan adaylardan açık rızaları başvuru sırasında internet üzerinden alınabilirken, çalışanlar iş sözleşmeleri kapsamında yazılı şekilde açık rıza verebilirler. Ticaret hayatında kişisel verilerin işlenmesi için müşterilerden ve tedarikçilerden açık rızaları yine genellikle yazılı şekilde alınmaktadır.
E-Ticaret Kapsamında Kişisel Verilerin Korunması
Kişisel verilerin korunması konusuna Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da da ayrıca yer verilmiştir. Buna göre e- ticaret faaliyetinde bulunan gerçek ve tüzel kişiler ile başkalarına ait ticari faaliyetlerin yapılmasına e-ticaret ortamını sağlayan gerçek ve tüzel kişiler, yaptıkları işlemler nedeniyle elde ettikleri kişisel verilerin saklanmasından ve güvenliğinden sorumlu tutulmuşlardır. Elde ettikleri kişisel verileri veri sahibinin açık rızası olmaksızın üçüncü kişilere iletmeleri ve başka amaçlarla kullanmaları yasaktır.
Güncel mevzuat gelişmeleri sonrası e-ticaret şirketlerin ilgili kanun kapsamında internet sitelerinde kişisel verilerin korunması politikalarına ve buna bağlı olarak iletişim iznine yer verme konusunda hassasiyetlerinin arttığını gözlemlemek mümkündür. Bu iletişim izinlerinde veri sahiplerinin kişisel verilerinin işlenme amaçları ve hangi hukuki sebeplere dayanılarak işlendikleri, işlenen kişisel verilerin belirtilen amaçlar kapsamında aktarılabileceği 3. kişiler, kişisel veri toplama yöntemleri, resmi makamlarla kişisel veri paylaşım politikaları, çerez (cookie) kullanımları, verileri işlenen veri sahiplerinin hakları, iletişim izninde değişiklik yapılabilecek haller, iletişim izninin kabulüyle veri sahibinin nelere onay verdiği ve kanun kapsamında başvurulabilecek veri sorumlusunun iletişim bilgileri gibi bilgiler yer alır.
İnternet üzerinden alışverişi tercih eden tüketicilerin ve buna bağlı olarak e-ticaret yapan firmaların sayısı günümüzde oldukça artmış olması nedeniyle, e-ticaret alanında kişisel verilerin korunması önem taşımaktadır. E-ticaret sitelerinin de faaliyetleri sırasında elde ettikleri kişisel verileri işlemeleri için veri sahibinin açık rızasını almaları gerekir. Bunun için üyelik sırasında kişisel verilerin işlenmesi ile ilgili detaylı aydınlatma metni kullanıcılara sunulduktan sonra, buna açık rıza verdiklerini gösteren “Evet” veya “Kabul ediyorum” gibi tıklama yöntemleri yaygın olarak kullanılmaktadır.
KVKK’da düzenlenen açık rıza kavramının bir yansımasını Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”)’da görmekteyiz. İletişim veri kategorisinde anılan kişisel veriler kapsamında veri sahibi ile iletişime geçmek için ayrıca ve özel alınması gereken ve amaç ile sınırlı olarak iletişim kurmayı esas alan düzenlemeler söz konusudur. Ticari elektronik iletilerin gönderilmesi konusunda, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”) kapsamında alıcıların onayının alınması gereklidir. Buna göre esnaf ve tacirler dışındaki kişilere ticari ileti gönderilebilmesi için alıcıların yazılı olarak veya elektronik iletişim araçlarıyla onaylarının alınması gerekir.
Gönderilen ticari iletiler verilen onay ile sınırlı kalmalıdır. E-ticaret şirketleri gönderdikleri ticari iletilerde kendi iletişim bilgilerine yer vermeli ve alıcıların dilediği zaman bu iletilerin gönderimini reddedebilmeleri için gereken bilgileri iletmelidir. Alıcılar ticari iletileri almaktan herhangi bir sebep göstermeksizin vazgeçme hakkına sahiptir. Bu durumda en geç 3 iş günü içinde ticari iletilerin gönderiminin durdurulması gerekir.
Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller
Kanunlarda açıkça öngörülmesi durumunda veri sahibinin açık rızası alınmadan kişisel veriler işlenebilmektedir. 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5. maddesinde düzenlenen kolluğun şüphelilerin parmak izini alma yetkisi,İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması, Vergi Usul Kanunu gereği fatura üzerinde ad soyad bilgisine yer verilmesi bu duruma örnek olarak gösterilebilir.
Veri sahibinin bilincinin kapalı olması durumu gibi, açık rıza alınmasının fiili olarak imkansız olması durumunda yine açık rıza aranmayacaktır. Bilincini kaybeden bir kişinin hayatını korumak amacıyla ad soyad, kan grubu, telefon numarası gibi kişisel verileri işlemek bu duruma örnek olarak verilebilir.
Sözleşmelerin kurulması ve ifası için gereken kişisel veriler, yalnızca sözleşme kapsamında kullanılmaları koşuluyla, veri sahibinin açık rızası olmadan işlenebilir. Örneğin sözleşmeden doğan para borcunun ödenebilmesi için banka hesap bilgilerinin alınması veya teslimin gerçekleşmesi için adres bilgisinin alınması bir zorunluluktur.
Kişisel veri sahibi tarafından aleni hale getirilmiş ise, bu verinin işlenmesi için yine ayrıca açık rıza aranmayacaktır. Veri sorumlusunun kendisine tanıtım ve reklam yapılması için iletişim bilgisi bırakan müşterisinin iletişim bilgisini yalnızca bu amaçla işlemesi bu duruma örnek olarak verilebilir.
Veri sorumlusu kendisine ait yükümlülükleri yerine getirebilmek için de kişisel verileri saklamak durumunda olabilir. Örneğin bir okulun öğrencileriyle ilgili gereken bilgilendirmeleri yapabilmesi için velilerin iletişim bilgilerini saklaması gerekir. Veri sorumlusunun çalışanlarına ücretlerini ödemesi için çalışan hesap bilgilerini işlemesi de bu duruma örnek olarak verilebilir.
Veri sorumlusunun bir hakkının kurulması, kullanılması veya korunması adına veri sahibinin verilerini kullanması zorunluluğu söz konusu olduğunda yine açık rıza aranmayacaktır. Eski bir çalışanı hakkında tarafına haciz ihbarnamesi gönderilen veri sorumlusunun kişinin Şirket ile hizmet akdinin sona erdiğini bildirmesi de bu duruma örnek olarak verilebilir.
Veri sorumlusunun meşru menfaatleri için zorunlu olması halinde veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla açık rıza olmaksızın veri işleme hakkına sahiptir. Şirket’in işyeri güvenliğini sağlamak için çalışanların kişisel verilerini işlemesinin zorunlu olması halleri bu duruma örnek olarak verilebilir.