Anasayfa / Blog
Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Açık rızanın üç unsuru vardır;
Bu unsur işlemeye konu kişisel verinin yalnızca belirlenen husus için işleme alınmasını ifade eder. Örneğin “A şirketinin bütün verilerimi işlemesine açık rızam vardır” şeklinde bir rızanın belirli bir konuya ilişkin olmaması nedeni ile hukuken bir geçerliliği yoktur. Her bir konu için ayrı açık rıza alınması gerekir aksi halde özgür iradeden ve bilgilendirmeye dayalı olma unsurlarından da bahsedemeyiz.
Veri sahipleri, veri işleme faaliyetinden önce açık rıza talep edilen konu ve verinin işlenme amacı hakkında açıkça bilgilendirilmelidir. Bilgilendirme, veri sahiplerinin anlayacağı şekilde net, çelişkiye yer vermeyecek açıklıkta ve sade bir dille yapılmalıdır.
Açık rıza, hiçbir şarta bağlı olmadan veri sahibinin özgür iradesi ile tamamen kendi isteğine bağlı olarak verildiği durumlarda hukuken geçerli olabilir. Veri sahibi açık rıza verdiği gibi istediği zaman rızasını geri alabiliyor ve veri işleme faaliyeti rıza geri alındıktan sonra duruyor ise ancak o zaman açık rızanın özgür iradeye dayalı olduğundan bahsedebiliriz.
Cevap kısaca hayır, tüm veri işleme faaliyetleri için değil aksine yalnızca gerektiği durumlarda açık rıza alınması doğru bir yaklaşım olacaktır. Açık rızanın ne zaman/ne için alınması gerektiği ve ne şekilde hukuka uygun olacağı konusundaki karışıklığı gidermek için izlememiz gereken yol aslında Kanun’da açıkça bahsedilmiştir. Açık rıza aslen veri işleme şartlarının istisnası olarak karşımıza çıkmaktadır. Şöyle ki, Kanun’un 5. maddesinin 2. fıkrasında sayılan veri işleme şartlarından herhangi birinin olmadığı durumlarda veri işleme faaliyetini yasal çerçevede gerçekleştirmek için açık rızaya başvurulması gerekir. Özetle Kanun’da sayılan veri işleme şartlarından birinin dahi varlığı halinde açık rızaya ihtiyacımız yoktur.
Kanun’da sayılan veri işleme şartları (m.5/2) aşağıdaki gibidir;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıda sayılan şartlardan birinin varlığı veri işlemeyi hukuka uygun hale getirmek için yeterlidir, bunun yanında tekrar açık rızaya ihtiyacımız yoktur. Pratikte en çok karşılaştığımız hata “garanti olsun açık rıza alınsın” mantalitesi ile her veri işleme faaliyetini açık rızaya dayandırmaktır. Bu durum sanılanın aksine hem açık rızanın “özgür irade ile açıklanma” unsuruna hem de dürüstlük kuralına aykırı olacağından hukuken de sakat olacaktır.
Bu durumu kısa bir örnekle açıklamamız gerekirse: İş sözleşmesi ve İş Kanunu kapsamında işçiden alınan özlük verileri için KVKK m.5/2-a,c bentlerine dayanarak veri işleme faaliyetini hukuka uygun bir şekilde gerçekleştirmek mümkün iken üstüne açık rıza alınması biraz önce bahsettiğimiz özgür irade unsuruna ve dürüstlük kuralına aykırılık teşkil edeceğinden ver işleme faaliyetini hukuka aykırı hale getirecektir. Açık rıza, veri sahibinde “verisinin sadece kendi isteği ile işleneceği ve rızayı geri aldığında işlemenin duracağı” güvenini oluşturur. Veri sahibi bu örnekte açık rızasını geri aldığında veri işleme faaliyeti durmayacaktır nitekim veri işlemenin asıl nedeni açık rıza değil kanun ve iş sözleşmesinden kaynaklanmasıdır, bu durumda özgür iradenin varlığından da söz edilemeyecektir. Kişisel Verileri Koruma Kurumu’nun konu hakkında karar ve karar özetleri de mevcuttur.
Açık rıza konusunda karşılaşılan yanlış uygulamalardan bir diğeri ise rızanın hizmet şartına bağlanmasıdır. Bir ürünün satışı veya hizmetin verilmesi için veri sahibinin kişisel verilerinin işlenmesine açık rıza vermesinin bir şart olarak dayatılması özgür iradeyi sakatlayacağından bu durumda geçerli bir açık rızadan söz edilemez. Kişisel Verileri Koruma Kurulu’nun "hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı" gerekçesi ile bu tutumla hareket eden gerçek ve/veya tüzel kişiler hakkında idari yaptırımlar uyguladığı karar ve karar özetleri de mevcuttur.
Bir veri işleme faaliyetine başlamadan önce verinin özel nitelikli olup olmadığını tespit etmek gerekir. Daha sonra kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmelidir. Eğer bu faaliyet Kanun’da belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasını alma yoluna gidilmelidir. Her somut olayda açık rıza alınması gereken konu değişiklik gösterebilir. Bu nedenle açık rızanın mahiyetini kavramak önemlidir; açık rıza bir geçerlilik aracı değildir, bir garantör değildir. Açık rıza, veri işleme şartlarının yokluğu halinde alınması ile veri işleme faaliyetini hukuka uygun hale getiren bir işlemden ibarettir.
KVKK m.6 kapsamında ırk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veriler olarak belirlenmiştir.
Veri işleme faaliyetine konu veri özel nitelikli ise sorulması gereken ilk soru verinin sağlık verisi veya cinsel hayat verisi olup olmadığıdır. Bu iki kategoriden birine ait bir veri ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından KVKK m.6/3 kapsamında açık rıza alınmaksızın işlenebilir. Bu kapsam dışındaki veri işleyenler veriyi işleyebilmek için açık rızaya başvurmak zorundadır. Sağlık ve cinsel hayat kategorileri dışında kalan özel nitelikli veriler ise ancak kanunlarda açıkça öngörüldüğü hallerde açık rıza aranmaksızın işlenebilir. Kanunlarda öngörülmemiş ise bu veriler için de veri sahibinin açık rızasına başvurulması şarttır.