Açık Rıza ve Hukuki Dayanak ve Unsurları

acik-riza

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle, kişisel verilerin işlenmesi noktasında açık rıza hukuka uygunluk sebeplerinden biri olarak önem kazanmıştır. Zira kural olarak; ilgili kişinin açık rızası olmaksızın kişisel verileri işlenemez, aktarılamaz.

  1. Açık Rızanın Tanımı ve Unsurları

95/46 EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Avrupa Birliği Direktifine göre sadece özel nitelikli kişisel veriler bakımından açık rıza aranmaktadır. Fakat 6698 sayılı Kanun’da böyle bir ayrım yapılmamış, açık rıza her türlü kişisel veri bakımından öngörülmüştür.

Genel Veri Koruma Tüzüğüne göre ise, kişinin serbestçe verdiği, belirli konuya ilişkin, bilgilendirilmiş, belirsizlik içermeyen kişisel verilerinin işlenmesine dair onay beyanıdır.

6698 sy Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinde açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde ifade edilmiştir. Bu bağlamda açık rıza olumlu irade beyanıdır. Kanundaki tanımdan açık rızanın üç unsuru olduğu anlaşılmaktadır. Bunlar;

  • Açık Rızanın Belirli Bir Konuya İlişkin Olması

Veri işleme maksadıyla alınan açık rızanın belirli bir konuya ilişkin olması ve o konuyla sınırlı olması gerekmektedir. Bu unsur “veri koruma ilkeleriyle” birlikte düşünülmelidir. “Kişisel verilerimin işlenmesine onay veriyorum” veya “her türlü ticari işlem için” şeklinde beyanlar, genel nitelikte olması, belirli konuya ilişkin olmaması sebebiyle açık rıza olarak kabul edilmez. Bunun dışında, kişilik hakkını hukuka aykırı şekilde sınırlayan kişisel veri işlemelerine verilen rıza geçersizdir ve bu durum “hukuka ve dürüstlük kuralına uygun olma ilkesinin” de ihlalidir.

Avrupa Birliği Madde 29 Çalışma Grubu (Working Party Article 29) tarafından da belirtildiği üzere bu tip rızalar “Battaniye Rıza” veya “Toplu Rıza” olarak adlandırılmakta olup ucu açık bir dizi işlem için verilen rızalar hukuka uygun kabul edilmemektedir.

Bu sebeple  birden fazla kategoriye ilişkin veri işlenecekse bu halde veri sorumlusunun hangi verilerin hangi amaçlarla işleneceğine dair ilgili aydınlatması ve açık rızanın bu hususlar için de verilmiş olması gerekir. Yine açık rıza aldıktan sonra kişisel verinin kullanımında yurt dışına veri aktarımı gibi ikincil işlemler doğduysa veya verinin işlenme amaçları değiştiyse bu işlemlerle ilgili ayrıca açık rıza alınması gerekir.

acik-riza-bilgilendirme

  • Açık Rızanın Bilgilendirmeye Dayanması

Açık rızanın özgür rıza beyanı olduğunu ifade etmiştik. Bu doğrultuda ilgilinin neye rıza göstereceğini, rızasının sonuçlarını tam olarak bilmesi gerekir. Açık rızanın bu unsuru aydınlatma yükümlülüğü ile bağlantılıdır. Açık rızanın geçerli olabilmesi için Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü de yerine getirmiş olması gerekir.

Bilgilendirme (Aydınlatma); Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ hükümlerine uygun bir şekilde gerçekleştirilmelidir. Aydınlatma Yükümlülüğünün kapsamı ve şekli konusunda yazımızı da okuyabilirsiniz

Yine Tebliğ’in 5/f maddesine göre; Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

  • Özgür İradeyle Açıklanması

İlgili kişi kendi iradesiyle, bilinçli şekilde rıza vermiş olmalıdır. Kişinin iradesini sakatlayacak her türlü durumun mevcudiyeti rızayı geçersiz hale getirir. Örneğin, veri sorumlusuyla eşit konumda olmayan kişinin hizmet almak veya sözleşme kurmak amacıyla verisinin işlenmesine rıza göstermesi halinde özgür iradeden söz edilemeyecektir. Sonuç itibariyle rızanın özgür iradeyle verilip verilmediği hususu somut olay bakımından değerlendirilmelidir.

Konu ile ilgili olarak işverenlerin çalışanları ve okul gibi kamu kurumlarının da öğrencileri karşısında konum olarak çok daha güçlü olmaları sebebi ile aldıkları açık rızaların özgür iradeye dayanmıyor olması sebebi ile geçersiz sayılacağına dair çok sayıda yabancı otorite kararı mevcuttur.

Açık rızanın hizmet şartına bağlı olduğu durumlarda da özgür iradenin bulunmadığı ifade edilebilir. Kurul tarafından yayınlanan ancak tarih ve numarası verilmeyen bir kararda; Veri sorumlusu tarafından açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının hakkın kötüye kullanılması anlamına geleceği ve Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmiştir.

cocuklarin-acik-rizasi

Ayrıca belirtmek gerekir ki, genel hukuka uygunluk sebepleri elverişli olduğu ölçüde KVKK alanında da uygulanır. Örnek vermek gerekirse, kişinin özgür iradesini açıklama noktasında fiil ehliyeti KVKK kapsamında da dikkate alınır. Tam ehliyetli ve sınırlı ehliyetliler verilerinin işlenmesine rıza gösterebilirken, tam ehliyetsizler rıza gösteremez. Sınırlı ehliyetsizler ise ayırt etme gücüne sahip küçük ya da kısıtlı kişilerdir. Kişiye sıkı sıkıya bağlı hakkın kullanılması sınırlı ehliyetsizlerin tek başlarına yapabileceği işlemlerdir. Fakat örneğin bir çocuğun verisinin işlenmesine açık rıza vermesi noktasında çıkarları zedelenebileceği için kanuni temsilcisinin izninin aranması gerektiği kabul edilmiştir. Rızanın veri işleme faaliyetinden önce verilmesi gerektiği için kanuni temsilcinin de sonradan verdiği izin geçerli olmaz.

  1. Açık Rıza Şekil Şartı 

6698 sayılı Kanun’da açık rıza için herhangi bir şekil şartı öngörülmemiştir. Açık rıza yazılı, sözlü, elektronik ortam vb. usullerle alınabilir. Dikkat edilmesi gereken husus açık rızanın yukarıda açıklanan unsurları taşıması ve ispatlanabilir olmasıdır. Açık rızanın varlığını ispat yükümlülüğü veri sorumlusundadır. Bu sebeple mağduriyete sebebiyet vermeyecek şekilde ve süreyle açık rızanın saklanması veri sorumlusu açısından önemlidir.

Avrupa Birliği Genel Veri Koruma Tüzüğü’(GDPR) nün izahat kısmında yazıldığı üzere; açık rıza yazılı, sözlü veya elektronik ortamda alınabilecektir. Özellikle internette tıklanılan kutucuklar bile yeterli sayılmıştır. Ancak bu kutucukların önceden tıklanmış vaziyette (OPT-out) gelmemesi, ilgili kişinin açık rıza vermek istemesi durumunda tıklanabilir durumda olması (OPT-in) olması gerekir.

Açık Rıza’nın içeriğinin ne olacağı hakkında yasal bir düzenleme yoktur. Ancak rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği açıktır.

Yine Yine 29.Madde Çalışma Grubuna göre açık rıza metninde;

  • Veri Sorumlusunun Kimliği
  • Açık Rıza talep edilen her bir işeleme sürecinin amacı
  • Elde edilip işlenen veri kategorileri
  • Açık rızayı geri alabilme hakkı
  • Verilerin münhasıran otomatik sistemle işlenebilme ihtimali
  • Güvenli ülke kararı ya da yurt dışına aktarılması durumundaki riskler hakkındaki bilgi

Olması gerekmektedir.

Ancak Tebliğ’e göre açık rıza’nın aydınlatma ile birlikte alınmaması gerektiği düşünülürse bu bilgilerin çok kısa tutulması, aydınlatma metnine referans gösterilmesi ve hukuk terimlerinden çok ortalama kişinin anlayabileceği dilde yazılmasında fayda bulunmaktadır.

  1. Açık Rıza Geri Alınabilir mi ?

Açık rıza, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen rıza her zaman, serbestçe geri alınabilir.

Zira kişinin, kişisel verilerini denetim ve bilgilerinin geleceğini belirleme hakkı bunu gerektirir. Kişinin geri alma beyanı veri sorumlusuna ulaştığı andan itibaren sonuçlarını doğurur. Geri alma beyanının ulaşmasıyla birlikte veri sorumlusu açık rızaya dayanarak gerçekleştirdiği faaliyeti durdurmalıdır, aksi takdirde hukuka aykırı işleme gerçekleştirilmiş olur.

Genel Veri Koruma Tüzüğü’nün 7/3.maddesi ile verisi işlenen kişinin her an rızasını iptal edebileceği düzenlenmiş ve iptal işleminin rızanın verilmesi kadar basit olması gerektiği belirtilmiştir.

  1. Açık Rıza Alınmasına Gerek Olmayan Haller

Kanun’un 5. Maddesinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olan haller sayılmıştır. Bu haller ile ilgili olarak Kişisel Verilerin İşlenmesi Şartları ve Özel Nitelikli Kişisel Verilerin İşlenmesi şartları başlıklı yazılarımızı okuyabilirsiniz.

Veri işleme faaliyetinin gerçekleştirilmesinde öncelikle Kanunda sayılan işleme şartlarından birine dayanılıp dayanılamayacağı değerlendirilmeli, bunlardan biri mevcutsa işleme faaliyeti buna göre gerçekleştirilmeli açık rıza alınmamalıdır. Aksi durum, kişileri aldatıcı nitelik taşıyacak ve hakkın kötüye kullanımı teşkil edecektir.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir