byGenel

Giriş

Kişisel verilerin korunması alanında en çok karıştırılan konulardan biri, aydınlatma metni (bilgilendirme yükümlülüğü) ile açık rıza kavramlarının farkı ve hangi durumlarda hangisinin gerektiğidir. Kısaca ifade etmek gerekirse, veri sorumluları her zaman ilgili kişileri aydınlatmakla yükümlüdür; ancak her durumda açık rıza almak zorunda değillerdir. Açık rıza, kişisel veri işlemenin hukuka uygunluğunu sağlayan şartlardan sadece biridir. Bu makalede aydınlatma metni ve açık rıza kavramlarını hukuki dayanaklarıyla açıklayarak, hangi hallerde sadece aydınlatmanın yeterli olduğu, hangi hallerde ise açık rızaya ihtiyaç duyulduğunu iç hukuk (KVKK) ve uluslararası düzenlemeler ışığında örneklerle ele alıyoruz.

Aydınlatma Yükümlülüğü Nedir?

Aydınlatma yükümlülüğü, veri sorumlusunun, kişisel verileri işlerken ilgili kişiye belirli konularda bilgi verme zorunluluğudur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) md.10 uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiye en az şunları bildirmekle yükümlüdür:

  • Veri Sorumlusunun ve Varsa Temsilcisinin Kimliği: Veri sorumlusunun (ve varsa Türkiye’deki temsilcisinin) adı, unvanı vb..
  • Verilerin İşlenme Amaçları: Kişisel verilerin hangi amaçlarla işleneceği.
  • Verilerin Aktarılabileceği Alıcılar ve Amaçları: İşlenen kişisel verilerin yurt içi veya yurt dışında kimlere hangi amaçla aktarılabileceği.
  • Veri Toplamanın Yöntemi ve Hukuki Sebebi: Kişisel verilerin hangi yöntemle toplandığı (ör. form, kamera, internet sitesi çerezleri vb.) ve işleme faaliyetinin hukuki dayanağı. Bu hukuki sebep, KVKK md.5 ve 6’da sayılan veri işleme şartlarından hangisine dayanıldığını ifade eder (ör. açık rıza, kanuni yükümlülük, sözleşmenin ifası gibi).
  • İlgili Kişinin Hakları: KVKK md.11’de sayılan, ilgili kişinin kendi verileri üzerindeki hakları (ör. bilgi talep etme, düzeltme, silme, itiraz etme gibi haklar).

Yukarıdaki bilgilerin eksiksiz ve açık biçimde sağlanması, ilgili kişinin kişisel verilerinin işlenmesi konusunda bilgi edinme hakkının bir gereğidir. Nitekim T.C. Anayasası md.20/3 de herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğunu hükme bağlamıştır. Aydınlatma yükümlülüğü, bu anayasal hakkın gerçekleşmesini temin eden en temel araçtır.

Ne zaman ve nasıl aydınlatma yapılmalı? Kanuna göre kişisel veriler hangi yolla elde edilirse edilsin, veri elde edilirken bu bilgi verilmelidir. İlgili kişinin talebine bağlı olmaksızın, proaktif olarak yerine getirilmesi gereken bir yükümlülüktür. Aydınlatma yazılı metinler aracılığıyla yapılabileceği gibi sözlü, elektronik veya çağrı merkezi gibi yollarla da yapılabilir. Önemli olan, ispat yükünün veri sorumlusunda olması nedeniyle bu işlemin kayıt altına alınması ve gerektiğinde kanıtlanabilir olmasıdır. Bilgilendirmenin dili sade ve anlaşılır olmalı, karmaşık hukukî ifadeler ve muğlak terimlerden kaçınılmalıdır. Örneğin, “ileride doğabilecek diğer amaçlarla da işlenebilir” gibi ucu açık ifadeler, ilgili kişide başka amaçlar için veri işlenebileceği izlenimi yaratacağı için kullanılmamalıdır.

Aydınlatma metni hazırlanırken her farklı veri işleme amacı için ayrı ve spesifik bilgiler verilmesi önerilir. Örneğin bir şirket, müşterileri, çalışanları ve web sitesi ziyaretçileri için ayrı ayrı aydınlatma metinleri hazırlayabilir. Zira farklı veri kategorileri ve işlemleri söz konusu olduğunda tek bir genel metin, her gruba uygun ve yeterli bilgilendirmeyi sağlamayabilir.

Aydınlatma yükümlülüğünün ihlali halinde KVKK md.18 uyarınca idari para cezaları gündeme gelebilir. Nitekim Kişisel Verileri Koruma Kurulu (KVK Kurulu) pek çok kararında, mevzuata uygun aydınlatma yapılmamasını tespit ettiğinde para cezası uygulamıştır. Örneğin bir Kurul kararında, bir bankanın internet sitesinde yayımladığı aydınlatma metninin kanunun öngördüğü unsurları taşımaması ve başvuruya süresinde cevap vermemesi nedeniyle bankaya idari para cezası verilmiştir.

Özetle, aydınlatma metni her durumda ve her veri işleme faaliyetinde zorunludur. Ancak aydınlatma yapmak, tek başına veriyi işlemeye hukuki dayanak oluşturmaz; sadece şeffaflık ve hesap verebilirlik yükümlülüğünün yerine getirilmesini sağlar. Veriyi hukuka uygun işlemek için ayrıca KVKK md.5 ve 6’da sayılan şartlardan birine dayanmak gerekir ki işte açık rıza bu şartlardan biridir.

Açık Rıza Nedir ve Hangi Durumlarda Gerekir?

Açık rıza, KVKK md.3’te tanımlandığı şekliyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” beyanıdır. Yani ilgili kişinin, kişisel verilerinin belirli bir işlem için, yeterli bilgilendirme yapıldıktan sonra ve tamamen kendi özgür iradesiyle verdiği onayı ifade eder. Bu tanımdan yola çıkarak açık rızanın üç temel unsuru olduğu doktrinde ve uygulamada kabul edilmektedir:

  • Belirli bir konuya ilişkin olması: Açık rıza, genel nitelikte ve ucu açık ifadeler içeremez. Hangi veri işleme faaliyeti için onay verildiği somut olarak belirtilmelidir. “Her türlü verimi işleyebilirsiniz” gibi kapsamı belirsiz beyanlar “battaniye rıza” olarak nitelendirilir ve hukuken geçersizdir. Örneğin bir bankanın müşterilerine “her türlü bankacılık işlemi için onay veriyorum” şeklinde genel bir onay alması, belirli bir amaca yönelmediği için geçerli sayılmaz.
  • Bilgilendirmeye dayanması: Rıza alınmadan önce ilgili kişiye, vereceği rızanın kapsamı hakkında gerekli bilgi verilmiş olmalıdır. Bir başka deyişle, kişi neye onay verdiğini anlayabilecek durumda olmalıdır. Bu nedenle açık rıza genellikle aydınlatma metnine dayandırılır; önce ilgili kişiye yukarıda sayılan bilgiler sunulur, sonra onay istenir. İlgili kişi yeterince bilgilendirilmeden alınan rızanın geçersiz olacağı açıktır.
  • Özgür iradeyle açıklanması: Kişi herhangi bir zorlama, baskı, aldatma veya tehdide maruz kalmadan tamamen kendi iradesiyle rıza vermelidir. Eğer rıza vermemesi durumunda bir hakkından mahrum kalacaksa veya bir hizmeti alamayacaksa, ortada özgür bir irade olduğundan söz edilemez. Bu noktada özellikle hizmetin açık rıza şartına bağlanması sıkça hataya düşülen bir konudur. KVK Kurulu, ilgili kişinin açık rıza vermemesine rağmen bir hizmeti kullanabilmesini engelleyen uygulamaların rızayı sakatlayacağını defalarca vurgulamıştır. Örneğin bir kararda, online randevu sisteminde pazarlama amaçlı ileti izni vermeyen kullanıcılara randevu alınmasını engelleyen bir sağlık kuruluşunun, rızayı hizmet şartına bağlayarak hukuka aykırı davrandığı tespit edilmiş ve idari para cezası uygulanmıştır. Aynı şekilde Amazon Türkiye hakkında verilen önemli bir Kurul kararında da “belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda hizmetlerimizin çoğundan yararlanamazsınız” gibi ifadelerin varlığı, kişisel veri işlemenin hizmet şartına bağlandığının göstergesi sayılmış ve bu yolla alınan rızaların geçersiz olduğu belirtilmiştir.

Açık rıza, ilgili kişi açısından her zaman geri alınabilir bir beyan niteliğindedir. KVKK gereği rızanın geri alınması, ileriye etkili olarak sonuç doğurur; kişi dilediği zaman verdiği açık rızayı geri çekebilir ve bu durumda veri sorumlusu, o rızaya dayanarak yürüttüğü işlemleri durdurmak zorundadır. Bu nedenle, açık rızaya dayalı işlemlerde veri sahiplerine her zaman rızayı reddetme veya sonradan geri çekme hakkı tanındığı açıkça belirtilmelidir.

Peki, her veri işleme faaliyeti için açık rıza gerekiyor mu? Hayır. KVKK md.5, kişisel verilerin işlenebilmesi için açık rıza olmadan da uygulanabilecek bazı hukuki işleme şartları öngörmüştür. Kanunun 5/2 maddesinde sayılan bu istisnai hallerde açık rıza aranmaksızın veri işlemek mümkündür. Başlıca hukuki sebepler şunlardır:

  • Kanunlarda açıkça öngörülmesi (örn. bir kanun, belirli verilerin belirli kurumlarca toplanmasını emrediyorsa),
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin veya bir başkasının hayatı veya beden bütünlüğünü korumak için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi (örn. satış sözleşmesinde teslimat için adres bilgisinin kullanılması),
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması (örn. işverenin çalışan bilgilerini yasal zorunluluk gereği SGK’ya bildirmesi),
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması (kişinin verisini kamuya kendisinin açıklaması durumu),
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (örneğin yasal bir dava için delil olarak veri işlenmesi),
  • Veri sorumlusunun meşru menfaatleri için zorunlu olması (kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatine dayalı işlemler).

Yukarıdaki koşullardan en az biri mevcutsa, ilgili kişinin açık rızası olmadan da kişisel veri işlenebilir. Hatta böyle durumlarda ayrıca rıza alınması, hukukî güvenlik açısından önerilmez; zira gereksiz yere rıza almak, ilgili kişiyi hakları konusunda yanıltıcı olabilir. Nitekim KVK Kurulu, Amazon kararında mevcut başka bir işleme şartı varken açık rıza istenmesinin ilgili kişiyi yanlış yönlendirebileceğini ve hakkın kötüye kullanılması anlamına gelebileceğini vurgulamıştır. Örneğin bir sözleşmenin ifası için zorunlu olan bir veri işlemede (örneğin e-ticarette kargo için adres bilgisinin alınması) zaten kanunun izin verdiği bu işleme faaliyeti için müşteriden ayrıca açık rıza talep etmek doğru değildir. Böyle bir durumda müşteri rıza vermese bile sözleşme gereği verisinin işlenmesi yasal olarak mümkündür; rıza istenmesi ise yanlış bir uygulama olacaktır.

Benzer şekilde, özel nitelikli kişisel verilerin işlenmesi bakımından KVKK md.6 belirli istisnalar haricinde açık rıza aramaktadır. Sağlık ve biyometrik veriler gibi hassas kategorideki veriler, kanunda açıkça öngörülen haller dışında ancak ilgili kişinin açık rızasıyla işlenebilir. Örneğin bir hastanın sağlık verileri, tıbbî bir müdahale amacıyla ve sır saklama yükümlülüğü altındaki sağlık personelince işleniyorsa kanunen rıza aranmadan işlenebilir; ancak bu veriler farklı bir amaçla (ör. pazarlama veya araştırma) kullanılacaksa mutlaka açık rıza alınmalıdır. Yine işyerlerinde çalışanların adli sicil kaydı, sağlık raporu gibi özel nitelikli verileri kanun veya meşru bir gerekçe olmaksızın işlenecekse, çalışanların açık rızasının bulunması gerekir.

Uluslararası hukuk bakımından, Türkiye’nin de taraf olduğu Avrupa Konseyi 108 No’lu Sözleşme (Convention 108) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), hem aydınlatma (şeffaflık) hem de rıza konusunda benzer yaklaşımı benimser. GDPR md.6’da rıza, kişisel veri işlemenin altı hukuki dayanağından biri olarak sayılmış; md.7’de ise geçerli bir onayın koşulları belirlenmiştir. Özellikle GDPR md.7(2), rıza talebinin diğer konulardan açıkça ayırt edilebilir şekilde sunulmasını ve anlaşılır bir dille yazılmasını şart koşar. Bu, uygulamada aydınlatma metni ile rıza onay kutucuklarının ayrı tutulması anlamına gelir. Nitekim Kurul’un Amazon kararında da “Gizlilik Bildirimi” adı altında bir metinde hem aydınlatma yapılmaya çalışılması hem de genel bir onay alınması eleştirilmiş ve bu durumun aslında ne gerçek bir aydınlatma ne de geçerli bir rıza teşkil etmediği belirtilmiştir. Ayrıca GDPR ve bağlı rehber ilkeler, önceden işaretli onay kutucuklarıyla veya kullanıcının tepki vermemesi üzerinden (sessiz kalarak) rıza alınamayacağını öngörür. Bu kural, KVKK açısından da geçerlidir; Kurul, önceden seçili kutucuklar yoluyla veya “kullanım koşullarını kabul ettiğinizde gizlilik bildirimini de kabul etmiş olursunuz” gibi zımni yolla alınan rızaların geçerli açık rıza sayılamayacağını açıkça ortaya koymuştur.

Aydınlatma ve Açık Rızanın Ayrı Ayrı Ele Alınması

Kanuna göre aydınlatma yükümlülüğü ile açık rıza alma süreci birbiriyle karıştırılmamalı, her biri ayrı ayrı yerine getirilmelidir. Yani veri sorumlusu önce ilgili kişiyi yapılacak işlemler hakkında tam olarak bilgilendirmeli (aydınlatma metnini sunmalı), ardından gerekiyorsa açık rızasını talep etmelidir. Uygulamada sıkça görülen hatalardan biri, tek bir metin veya tek bir onay kutusuyla hem aydınlatma hem rıza işlemini birlikte yapmaya çalışmaktır. Örneğin bir internet sitesine üye olurken karşımıza çıkan “KVKK Aydınlatma Metnini okudum, kişisel verilerimin işlenmesine onay veriyorum” şeklindeki birleşik onay ifadeleri, mevzuata uygun değildir. Kurul’un 2018 tarihli bir kararında, iş başvurusu alan bir platformun üyelik esnasında tek kutucuk ile hem aydınlatma hem rıza onayı almasının yanlış olduğu tespit edilmiş ve aydınlatmanın bir bilgilendirme aracı, açık rızanın ise ayrı bir hukuki dayanak sağlama işlemi olduğu özellikle vurgulanmıştır. Sonuç olarak, eğer işleme faaliyeti açık rızaya dayanıyorsa aydınlatma metni sunulduktan sonra ayrı bir onay mekanizması ile rıza alınmalıdır.

Aydınlatma metni ve açık rıza metni içerik olarak da birbirinden ayrıdır. Aydınlatma metni, yukarıda belirtildiği gibi veri işleme faaliyetinin tüm detaylarını ve yasal dayanaklarını içerir. Açık rıza metni ise ilgili kişinin hangi spesifik işleme faaliyetine onay verdiğini beyan eden, tercihen aydınlatmada anlatılan işlemlere atıf yapan bir metindir. Açık rıza metni, aydınlatma metninde anlatılan her bir veri işleme amacı için ayrı ayrı hazırlanabilir veya madde madde onay alınabilir. Örneğin bir şirket, müşterilerinden birincil amaçlar (hizmetin sunulması) için açık rıza aramıyorsa bile, ikincil amaçlar olan pazarlama, profilleme, veri paylaşımı gibi konularda ayrı onay kutucukları sunmalıdır. Her bir onay, belirli bir konuya dair olmalı ve kullanıcı istemediği onayı vermeden de asıl hizmeti alabilmelidir. Bu prensip, hem KVKK hem de GDPR uyarınca “rıza özgürlüğü”nün sağlanması için elzemdir.

Çerez uygulamaları buna iyi bir örnektir. Bir web sitesi, zorunlu teknik çerezler haricinde kalan ve kişisel veri toplayabilecek analiz, pazarlama çerezleri kullanacaksa, ziyaretçiye bu konuda hem bilgi vermeli (bir çerez aydınlatma metni veya bildirimi ile) hem de tercihe bağlı çerezler için açık rıza tercihi sunmalıdır. Kullanıcı, tercihini açıkça belirtmeden bu tür çerezler çalıştırılmamalıdır. Nitekim Avrupa’da buna yönelik “çerez banner’ları” yaygınlaşmış olup ülkemizde de KVKK uyum rehberleri bu uygulamayı teşvik etmektedir.

Örneklerle “Ne Zaman Hangisi” Meselesi

Farklı senaryolarda aydınlatma ve açık rıza gerekliliğine ilişkin örnekler şöyle özetlenebilir:

  1. Sözleşme ve Yasal Yükümlülük Kapsamındaki Veriler: Çoğu ticari işlemde kişisel veriler, bir sözleşmenin kurulması/ifası veya yasal bir zorunluluk gereği toplanır. Örneğin bir e-ticaret sitesinin müşterinin adresini kargo için kullanması, bir işverenin çalışanın bordro bilgilerini SGK’ya bildirmesi, bir bankanın mevzuat gereği müşterinin kimlik bilgisini alması gibi durumlarda hukuki sebep açık rıza değil, ilgili diğer şartlardır. Bu hallerde yalnızca aydınlatma metni sunulması yeterlidir; ayrıca açık rıza istenmesi gerekmez. Hatta yukarıda belirtildiği gibi, böyle durumlarda açık rıza istemek kullanıcıyı yanlış yönlendirebilir (sanki rıza vermezse hizmet alamayacakmış gibi) ve gereksiz yere sorumluluk doğurabilir. Örneğin iş sözleşmesinin ifası kapsamında gereken bir veri için çalışandan rıza istenmesi, gönüllü görünümlü ancak aslında mecburi bir onay olduğundan, ileride o rızanın geçersiz olduğunun ileri sürülmesine yol açabilir.
  2. İsteğe Bağlı ve İkincil İşleme Amaçları (Pazarlama vb.): Bir veri işleme faaliyeti, ilgili kişinin açık onayına bırakılmış isteğe bağlı bir işlemse, burada açık rıza şarttır. Örneğin bir şirketin müşterilerine e-posta ile kampanya bilgilendirmesi göndermesi, hukuken (6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gereği de) açık rızaya tabidir. Müşteri, onay vermediği takdirde kampanya mesajı almamalıdır. Yukarıda değindiğimiz sağlık kurumu örneğinde, hastaların randevu alırken pazarlama iletişimine onay vermeye zorlanması, isteğe bağlı bir işlem için zorunlu rıza alımına örnekti ve hukuka aykırı bulundu. Dolayısıyla pazarlama, profilleme, konum verisinin reklam amaçlı kullanımı gibi konularda mutlaka açık rıza alınmalı, rıza alınmadığında ise veri işlenmemelidir.
  3. Çerezler ve Online Takip: Bir önceki bölümde değinildiği gibi, kullanıcıların cihazlarına zorunlu olmayan çerezlerin yerleştirilmesi veya çevrimiçi izleme tekniklerinin kullanılması açık rızaya bağlıdır. Ziyaretçi siteye girer girmez bu konuda bilgilendirilmeli ve tercihi sorulmalıdır. Aydınlatma metni (gizlilik/çerez politikası) tek başına rıza yerine geçmez; rıza, kullanıcının aktif bir eylemiyle (ör. “Kabul ediyorum” butonuna basması gibi) alınmalıdır. Örneğin Avrupa Adalet Divanı’nın Planet49 kararında, önceden işaretli çerez onay kutularının geçerli rıza oluşturmayacağı kesinleşmiştir. Ülkemizde de KVK Kurumu 2022’de yayımladığı Çerez Rehberi’nde benzer ilkelere yer vermiştir.
  4. İşveren-Çalışan İlişkisinde Veriler: İş ilişkilerinde çalışanlardan veri alınırken genellikle açık rıza dayanağı tercih edilmez, çünkü işçinin işverene karşı konumunda rızasını özgürce açıklayabilmesi zordur. Doktrinde ve Kurul kararlarında, işverenin mümkün olduğunca KVKK md.5/2’deki diğer hukuki sebeplere dayanması, açık rızaya ise ancak başka hiçbir işleme şartı uygun değilse başvurması gerektiği belirtilmiştir. Örneğin işyerine giriş-çıkış takibinde parmak izi (biyometrik veri) kullanımı, alternatif yöntemlerle sağlanabiliyorsa çalışan rızasına dayandırılmamalıdır. Yine çalışanın yakınlarının (eş ve çocuk bilgilerinin) işlenmesi gibi konularda açık rıza alınsa bile, bu rızaların çoğu zaman geçerli kabul edilmeyeceği ifade edilmiştir. KVK Kurulu, bir şirketin çalışanlarından tek bir “KVKK muvafakatnamesi” ile çok geniş kapsamlı ve belirsiz şekilde rıza almasını, üstelik bunu elektronik ortamda onaya zorlamasını hukuka aykırı bulmuştur. Kararda aydınlatma metni ile açık rıza metninin aynı metinde birleştirilmesinin Tebliğ’e aykırı olduğu ve çalışanlara sunulan rızanın “battaniye rıza” niteliğinde olup özgür iradeyle verilmiş sayılamayacağı belirtilmiştir. Sonuç olarak işverenler, işlemeyi meşru kılan başka bir sebep varsa rızaya başvurmamalı, ancak gerçekten rızaya dayalı bir işlem kalmışsa da çalışanı rıza vermediği için cezalandırmamalı veya mahrum etmemelidir.
  5. Sağlık Hizmetleri ve Özel Nitelikli Veriler: Hastaneler, klinikler gibi sağlık kuruluşları, hastaların sağlık verilerini genellikle kanuni yükümlülükler ve tıbbî amaçlarla işler. Bu gibi durumlarda hastadan ayrıca rıza aranmaz; ancak yine de hasta, verilerinin nasıl kullanılacağı konusunda aydınlatılmalıdır (örneğin hasta aydınlatma metinleriyle). Öte yandan, sağlık verilerinin tedavi dışında bir amaçla (ör. bilimsel araştırma, pazarlama veya sigorta şirketine aktarma gibi) kullanımı söz konusuysa açık rıza şarttır. Hastadan alınacak rıza da spesifik olmalı; örneğin “tüm sağlık verilerimin her türlü kullanımı” gibi genel değil, hangi verilerin hangi amaçla araştırma kapsamına alınacağı açıkça belirtilmelidir. Ayrıca sağlık verilerinde rıza alınsa bile, bu verilerin güvenliği ve gizliliği açısından ilgili diğer mevzuata (ör. Hasta Hakları Yönetmeliği, EHRM gibi) uyulması gerektiği unutulmamalıdır.

Sonuç

Aydınlatma metni ve açık rıza, kişisel veri işlemenin iki farklı boyutunu temsil eder: Aydınlatma, şeffaflık ve hesap verebilirlik ilkesinin gereği olarak her türlü veri işleminde yapılması zorunlu bir bilgilendirme sürecidir. Açık rıza ise, veri işlemenin hukuka uygunluğu için gerekli olabilecek koşullardan sadece biridir ve ancak diğer şartların olmadığı durumlarda devreye girer. Uygulamada veri sorumluları, her veri işleme faaliyetinde öncelikle “Bu işlemin dayanağı ne?” sorusunu sormalı; eğer kanun, sözleşme, meşru menfaat gibi bir dayanak varsa onunla yetinmeli ve ilgili kişiyi bu konuda bilgilendirmelidir. Hiçbir hukuki dayanağa girmeyen, tamamen ilgili kişinin tercihe bağlı hususlarda ise açık rıza mekanizmaları tasarlanmalıdır. Her iki halde de şeffaflık esastır: İlgili kişi neyin, neden yapıldığını bilmeli; onayı isteniyorsa bunu özgürce ve bilerek verebilmelidir.

Bu dengenin sağlanması, şirketlerin KVKK uyumunun önemli bir parçasıdır. Hem KVK Kurumu kararları hem de uluslararası düzenlemeler, açık rızanın kötüye kullanılmaması, her önüne gelen yerde rıza istenmemesi fakat gerçekten gerektiğinde de usulüne uygun alınması yönünde bizlere yol göstermektedir. Özellikle GDPR uyum sürecinde görülen “her şey için rıza alalım” yaklaşımının doğru olmadığı; esas olanın gereksiz yere rıza yüküne başvurmadan, uygun hukuki sebebe dayanmak ve her koşulda ilgili kişiyi aydınlatmak olduğu unutulmamalıdır.

Veri sorumluları, süreçlerini bu prensipler ışığında gözden geçirmeli; web sitelerinden iş sözleşmelerine, müşteri formlarından mobil uygulamalardaki çerezlere kadar her noktada aydınlatma metinlerini güncel ve anlaşılır tutmalı, açık rıza gerekiyorsa bunu mevzuata uygun şekilde, ayrı ve özgür iradeye dayalı olarak almalıdır. Bu sayede hem yasal uyumluluk sağlanacak hem de veri sahiplerinin güveni kazanılacaktır.

Kaynakça:

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) md.10 – Veri Sorumlusunun Aydınlatma Yükümlülüğücottgroup.com.
  2. Kişisel Verileri Koruma Kurulu, 26/07/2018 tarih ve 2018/90 sayılı Karar Özeti – Online platform üzerinden iş başvurusu alınması sürecinde aydınlatma ve açık rızanın birlikte alınmasıkvkkarar.com.
  3. Kişisel Verileri Koruma Kurulu, 20/05/2020 tarih ve 2020/404 sayılı Karar Özeti – İşverenin çalışan verilerini yeterli aydınlatma olmaksızın ve hukuka aykırı işlemesi (Çalışan Muvafakatnamesi ile aydınlatma ve rızanın birleştirilmesi)kkhukuk.comkkhukuk.com.
  4. Kişisel Verileri Koruma Kurulu, 27/02/2020 tarih ve 2020/173 sayılı Karar Özeti – Amazon Turkey hakkında inceleme (Genel ilkeler, aydınlatma ve rıza süreçleri)yaklaw.comyaklaw.comyaklaw.com.
  5. KVKK md.3 – Açık rıza tanımı ve unsurlarıgozdeyavuzer.comgozdeyavuzer.com.
  6. KVKK md.5 ve md.6 – Kişisel verilerin işlenme şartları (açık rıza ve diğer hukuki sebepler; özel nitelikli veriler için açık rıza zorunluluğu)kvksis.com.
  7. Anayasa md.20 – Özel hayatın gizliliği ve kişisel verilerin korunması (kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkı ve açık rıza şartı)ozgunlaw.com.
  8. İstanbul Üniversitesi, Yüksek Lisans Tezi (2020) – “Kişisel Verilerin İşlenme Şartları Bağlamında Açık Rıza” (tezden işçi-işveren ilişkilerinde açık rızanın son çare olmasına dair alıntı)nek.istanbul.edu.tr.

İlgili Mevzuat:

  • Türkiye Cumhuriyeti Anayasası (1982) – m.20 (2010 değişikliği ile kişisel verilerin korunması hakkı).
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (2016) – m.3 (tanımlar), m.4 (genel ilkeler), m.5 (işleme şartları), m.6 (özel nitelikli veriler), m.10 (aydınlatma yükümlülüğü), m.11 (ilgili kişi hakları), m.18 (suç ve kabahatler).
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (2018) – (Aydınlatma yükümlülüğünün uygulama usulü, özellikle m.5).
  • Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563, 2015) – m.5 (ticari iletiler için alıcı onayı şartı).
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR, 2016/679) – md.5 (şeffaflık ilkesi), md.6 (işleme şartları; rıza dahil), md.7 (rıza koşulları), md.13-14 (ilgili kişinin bilgilendirilmesi yükümlülükleri).
  • Avrupa Konseyi 108 Sayılı Sözleşme (1981) ve 108+ Protokolü (2018) – Kişisel verilerin otomatik işleme tabi tutulmasında kişilerin korunmasına ilişkin temel ilkeler (hukuka uygunluk, meşru amaç, bilgilendirme ve rıza prensipleri).

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.