Kişisel verilerin korunması hukukunda işleme faaliyetinin hukuka uygun olması, belirli sebeplerden en az birine dayanmasını gerektirir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini düzenler; ancak açık rıza dışında da işlemeye olanak tanıyan hukuka uygunluk sebepleri sayar. Uygulamada açık rıza en sık başvurulan yol olsa da geçerlilik koşulları çoğu zaman gözden kaçırılmakta ve bu durum işleme faaliyetini hukuka aykırı hâle getirmektedir. Bu yazıda açık rızanın kurucu unsurları, en sık yapılan hatalar ve açık rıza dışındaki işleme şartları ele alınmaktadır.
Açık rızanın tanımı ve unsurları
KVKK açık rızayı; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay olarak tanımlar. Bu tanım, geçerli bir açık rızanın üç kurucu unsurunu ortaya koyar. Bu unsurlardan herhangi birinin eksikliği, rızayı baştan geçersiz kılar.
Belirli bir konuya ilişkin olma
Açık rıza, genel ve soyut biçimde alınamaz. Rızanın hangi veri işleme faaliyetine yönelik olduğu somut biçimde belirlenmiş olmalıdır. Battaniye niteliğindeki, tüm işleme faaliyetlerini kapsayan genel rızalar geçersizdir. İlgili kişi, hangi verisinin hangi amaçla işleneceğini bilerek rıza göstermelidir. Örneğin bir üyelik formunda tek bir onay kutusuyla hem sözleşmenin ifası hem pazarlama hem de üçüncü kişilere aktarım için rıza alınması, belirlilik ilkesine aykırıdır.
Bilgilendirmeye dayanma
İlgili kişinin rıza göstermeden önce işlemenin sonuçları, kapsamı ve amacı hakkında bilgilendirilmesi gerekir. Aydınlatma yükümlülüğü ile açık rıza birbirinden ayrı kavramlardır; ancak bilgilendirme yapılmadan alınan rıza geçerli sayılmaz. İlgili kişi, neye onay verdiğini anlamadan verdiği rızayla bağlı tutulamaz.
Özgür iradeyle açıklanma
Rızanın, ilgili kişinin gerçek anlamda seçim özgürlüğüne dayanması şarttır. Baskı, dayatma veya bir menfaatin şart koşulması yoluyla alınan rıza özgür iradeye dayanmaz ve geçersizdir. İlgili kişinin rıza vermeme seçeneğinin fiilen bulunması, özgür iradenin temel göstergesidir.
Kişisel Verileri Koruma Kurulu, bir ürün veya hizmetin sunulmasının ya da hizmetten yararlandırılmanın, ilgili kişinin açık rıza vermesine bağlanması hâlinde rızanın özgür iradeyle açıklanmış sayılmayacağını ilke olarak kabul etmektedir.
Hizmet şartına bağlama yasağı
Açık rıza uygulamasında en sık karşılaşılan hukuka aykırılık, açık rızanın bir ürün veya hizmetin ön koşulu hâline getirilmesidir. Bir hizmetin sunulması, o hizmetin ifası için gerekli olmayan kişisel verilerin işlenmesine rıza gösterilmesi şartına bağlanamaz.
Bu ilkeden çıkan sonuçlar şunlardır:
- Üyelik veya hizmet sözleşmesinin kurulması, pazarlama amaçlı veri işlemeye rıza verilmesi şartına bağlanamaz.
- Sözleşmenin ifası için zorunlu olan veri işleme, zaten açık rıza dışındaki bir hukuka uygunluk sebebine dayanır; bunun için ayrıca rıza istenmesi doğru değildir.
- Rıza vermeyen ilgili kişiye hizmetin sunulmaması veya dezavantajlı koşullar dayatılması, rızayı geçersiz kılar.
- Açık rıza, ilgili kişi tarafından her zaman geri alınabilir; geri alma, geleceğe yönelik olarak işlemeyi durdurur.
Örneğin bir e-ticaret sitesinin, alışveriş yapabilmek için tüketicinin ticari elektronik ileti almaya rıza göstermesini şart koşması hukuka aykırıdır. Ticari ileti rızası, hizmetin sunulmasından bağımsız ve serbestçe verilip geri alınabilir olmalıdır.
Açık rıza dışındaki işleme şartları (m. 5/2)
KVKK, açık rıza aranmaksızın kişisel verilerin işlenebileceği hâlleri de düzenler. Uygulamada birçok işleme faaliyeti aslında bu şartlardan birine dayandığı hâlde gereksiz yere açık rıza alınmaktadır. Oysa aşağıdaki şartlardan biri varsa açık rıza aranmaz:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaki kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu şartlardan biri mevcutsa, aynı işleme faaliyeti için ilgili kişiden ayrıca açık rıza alınması hem gereksizdir hem de rızanın geri alınabilir niteliği nedeniyle işlemeyi hukuki belirsizliğe sürükler. Örneğin bir çalışanın maaş ödemesi için banka bilgisinin işlenmesi, sözleşmenin ifası ve hukuki yükümlülük kapsamındadır; bunun için açık rıza almak yanlıştır. Bu nedenle veri sorumlularının, her işleme faaliyeti için önce açık rıza dışındaki şartların uygulanıp uygulanmadığını değerlendirmesi gerekir.
Özel nitelikli kişisel verilerde rıza
Sağlık, cinsel hayat, din, ırk, etnik köken, siyasi düşünce, felsefi inanç, mezhep, kılık kıyafet, dernek, vakıf, sendika üyeliği, ceza mahkûmiyeti ve biyometrik ve genetik veriler özel nitelikli kişisel veri sayılır. Bu verilerin işlenmesinde açık rıza aranırken, kanunda öngörülen ek güvenlik tedbirlerinin de alınması zorunludur. Sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda öngörülmesi hâlinde açık rıza aranmadan da işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi belirli amaçlarla, sır saklama yükümlülüğü altındaki kişilerce açık rıza aranmaksızın işlenebilir.
Açık rızanın geri alınması
Açık rıza, ilgili kişinin geleceğe yönelik olarak her zaman geri alabileceği bir onaydır. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren, rızaya dayanan işleme faaliyeti durdurulmalıdır. Geri almanın kolay ve rızanın verildiği yöntem kadar basit olması beklenir. Bu nedenle istikrar ve süreklilik gerektiren işleme faaliyetlerinin açık rızaya dayandırılması, veri sorumlusu bakımından risklidir; mümkün olduğunda m. 5/2'deki diğer şartların tercih edilmesi daha güvenlidir.
Açık rıza ve ticari elektronik ileti
Açık rıza uygulamasının en tartışmalı alanlarından biri, tüketicilere gönderilen ticari elektronik iletilerdir. Elektronik posta, kısa mesaj veya arama yoluyla yapılan tanıtım, kampanya ve reklam bildirimleri kural olarak alıcının önceden onayına bağlıdır. Bu onay, KVKK anlamında açık rızanın taşıması gereken özellikleri karşılamalı ve pazarlama amaçlı veri işleme için ayrı biçimde alınmalıdır.
Bu konuda dikkat edilmesi gereken hususlar şunlardır:
- Ticari elektronik ileti onayı, bir mal veya hizmetin satın alınmasının ön koşulu hâline getirilemez.
- Alıcı, dilediği zaman ve ücretsiz olarak ileti almayı reddedebilir; her iletide bu imkânın sunulması gerekir.
- Reddetme hakkının kullanılması hâlinde veri işleme derhâl durdurulmalıdır.
- Onayın ispat yükü, iletiyi gönderen tarafa aittir.
Bu kurallar, tüketicinin rızası dışında pazarlama iletileriyle rahatsız edilmesini önlemeyi amaçlar ve açık rızanın özgür irade unsuruyla doğrudan bağlantılıdır.
Çocukların verilerinde rıza
Çocuklara ait kişisel verilerin işlenmesinde açık rıza konusu ayrı bir hassasiyet taşır. Ayırt etme gücüne sahip olmayan küçüklerin verileri bakımından rıza, kural olarak veli veya vasi tarafından verilir. Ayırt etme gücüne sahip küçükler bakımından ise, işlemenin niteliğine ve çocuğun yararına göre değerlendirme yapılması gerekir. Özellikle çevrim içi hizmetlerde çocukların verilerinin işlenmesinde, yaş doğrulaması ve ebeveyn onayı gibi ek güvencelerin sağlanması beklenir. Çocuğun üstün yararı, bu alandaki tüm değerlendirmelerde belirleyici ölçüttür.
Uygulamadaki yaygın hatalar
Veri sorumlularının en sık düştüğü hatalar; aydınlatma metni ile açık rıza metnini birleştirmek, tek bir onay kutusuyla hem sözleşme hem pazarlama rızası almak, rıza vermeyi hizmetin koşulu hâline getirmek, önceden işaretlenmiş onay kutuları kullanmak ve geri alınabilir niteliği nedeniyle istikrar gerektiren işlemleri açık rızaya dayandırmaktır. Bu hatalar, hem işleme faaliyetini hukuka aykırı kılar hem de idari yaptırım riski doğurur. Kurul, önceden işaretlenmiş onay kutularının özgür iradeyle verilmiş rıza sayılamayacağını kabul etmektedir. Bir diğer sık görülen hata, açık rızanın ispatına ilişkin bir kaydın tutulmamasıdır; oysa açık rızanın alındığını ispat yükü veri sorumlusuna aittir. Rızanın hangi tarihte, hangi kapsamda ve hangi yöntemle alındığının belgelenmesi, olası bir uyuşmazlıkta veri sorumlusunu koruyan temel unsurdur. Ayrıca rızanın kapsamının, işleme amacının ötesine geçecek biçimde genişletilmesi de hukuka aykırıdır; işleme faaliyeti, ancak rıza kapsamındaki amaçlarla sınırlı olarak yürütülebilir.
Sonuç
Açık rıza, geçerlilik unsurları titizlikle sağlandığında güçlü bir hukuka uygunluk sebebidir; ancak yanlış uygulandığında işleme faaliyetini baştan sakat hâle getirir. Rızanın belirli, bilgilendirmeye dayalı ve özgür iradeye dayanması, hizmet şartına bağlanmaması, kolayca geri alınabilmesi ve mümkün olduğunda m. 5/2'deki şartlara öncelik verilmesi, hem ilgili kişinin verilerini hem de veri sorumlusunu korur.
- 6698 sayılı KVKK m. 3
- 6698 sayılı KVKK m. 5
- 6698 sayılı KVKK m. 6
- Kişisel Verileri Koruma Kurulu, 27.02.2020 tarih ve 2020/173 sayılı karar
- Kişisel Verileri Koruma Kurulu, 31.05.2019 tarih ve 2019/159 sayılı karar
Sık sorulan sorular
- Açık rızanın geçerli olması için hangi unsurlar gerekir?
- Açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekir. Bu üç unsurdan biri eksikse rıza geçersizdir.
- Hizmet almam açık rıza vermeme bağlanabilir mi?
- Hayır. Bir hizmetin sunulması, o hizmet için gerekli olmayan veri işlemeye rıza gösterme şartına bağlanamaz. Aksi hâlde rıza özgür iradeye dayanmadığından geçersiz sayılır.
- Her veri işleme için açık rıza almak zorunlu mudur?
- Hayır. KVKK m. 5/2'de sayılan şartlardan biri varsa (sözleşmenin ifası, hukuki yükümlülük, meşru menfaat gibi) açık rıza aranmaz. Bu durumlarda ayrıca rıza almak gereksizdir.
- Verdiğim açık rızayı geri alabilir miyim?
- Evet. Açık rıza her zaman geri alınabilir. Geri alma geleceğe yönelik sonuç doğurur ve rızaya dayanan işleme faaliyetinin durdurulmasını gerektirir.
- Aydınlatma ile açık rıza aynı şey midir?
- Hayır. Aydınlatma yükümlülüğü, ilgili kişinin bilgilendirilmesidir ve her işlemede yerine getirilir. Açık rıza ise ayrı bir onaydır. İkisinin tek metinde birleştirilmesi hatalıdır.
- Önceden işaretlenmiş onay kutusu geçerli midir?
- Hayır. Kurul, önceden işaretlenmiş onay kutularının özgür iradeyle verilmiş açık rıza sayılamayacağını kabul etmektedir; rızanın ilgili kişinin aktif iradesiyle verilmesi gerekir.
§Bu platformdaki içerik ve hesaplamalar bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez.