Veri Koruma Hukuku

KVKK Kapsamında Açık Rıza

Yazar 3 Ağustos 2022Ekim 3rd, 2023No Comments10 dakikalık okuma
KVKK Kapsamında Açık Rıza

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca ilgili kişiden alınması gereken rızaya açık rıza denir.

Açık Rıza Onayı Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerinin işlenmesi hakkında belirli bir konuya ilişkin olarak bilgilendirmeye dayanan ve özgür iradeyle açıklanan ilgili kişinin rızası olarak tanımlanmıştır. İlgili kişi kanunda kişisel verisi işlenen gerçek kişidir.

Kişisel veri işleyecek gerçek veya tüzel kişiler, bu kişisel verilerin işlenmesiyle ilgili olarak ilgili kişilerden rıza almalıdır. İlgili kişinin rızasının alındığı hallerde salt olarak bu rızanın alınması yeterli olmayıp ilgili kişinin kişisel verileri hak ve özgürlükler çerçevesinde hukuka uygun bir biçimde işlenmelidir.

Açık Rıza Nasıl Alınır?

Rıza, Kişisel Verilerin Korunması Kurulu’nun 2020/173 sayılı[1] kararında kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine onay vermesi olarak açıklanmıştır. Ayrıca kurulun kararı uyarınca rıza, rıza verecek kişinin olumlu irade açıklamasını içermelidir. Bu daha çok bilinçli-aktif bir hareket olarak gerçekleştirilmelidir. Burada rıza verilmesi ilgili kişinin de farkında olabileceği bilinçli şekilde yapılan aktif bir hareket olmalıdır. İlgili kişiden üyelik, alışveriş gibi hareketlerle rıza alınmamış olmalıdır.

6698 sayılı KVKK kişisel verilerin niteliği bakımında kişisel veriler ve özel nitelikli kişisel veriler olmak üzere ikili bir ayrıma gitmiştir. Kişisel verilerin işlenmesi konusunda madde 5 uyarınca ilgili kişinin rızası olmadan kişisel verilerinin işlenemeyeceğini hüküm altına almıştır. Aynı kanunun 6. maddesinde ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sayılmış ve bu verilerin yine ilgili kişinin rızası olmadan işlenemeyeceği hüküm altına alınmıştır.

Açık rızanın sözlü veya yazılı halde alınmasıyla ilgili 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta bir zorunluluk bulunmamaktadır. Veri sorumlusu rıza beyanını almayı sözlü veya yazılı bir biçimde gerçekleştirebilir fakat yazılı veya dijital ortamda kayıt altına alınması ispat hukuku açısından daha yararlı olacaktır. Rıza alınırken ayrıca ilgili kişiye sunulacak metin açık bir dille yazılmalı, bilinmeyen kelimelerin kullanımından kaçınılmalıdır. İlgili kişi tarafından bilinmeyen kelimelerin anlaşılması adına tanımlamalar yapılmalı, rızanın kapsamı kesin bir şekilde belirlenmelidir.

Açık Rıza Unsurları

İlgili kişinin kişisel verilerinin işlenmesine dair rıza vermesi konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda hüküm altına alınmıştır. İlgili kanunun “Tanımlar” kısmında açık rızanın tanımı yapılmış, unsurları belirtilmiştir. Bu tanıma göre rıza;

  • Belirli bir konuya ilişkin olmalı,
  • Bilgilendirmeye dayanmalı,
  • Özgür iradeyle açıklanmalıdır.

İlk olarak, ilgili kişinin kişisel verilerinin işlenmesi için vereceği rızanın belirli bir konuya ilişkin olması gerekmektedir. Açık uçlu ve belirgin olmayan bir konuda verilecek olan rıza, Kişisel Verileri Koruma Kurulu’nun da daha önce belirtmiş olduğu üzere battaniye rıza[2]kapsamına girecek ve hukuken geçerli sayılamayacaktır. “Bütün kişisel verilerimin işlenmesine onay veriyorum”, “Kişisel verilerimin işlenmesini kabul ediyorum.” gibi ucu açık ve belirsiz ibareler geçerli bir kişisel verilerin işlenmesi faaliyeti değildir. Birden fazla konuda rıza alınması gereken hallerde rızanın kapsamı belirlenmiş olmalı ve bu kapsam dahilinde hangi verilerin ne amaçla işleneceği hakkında ilgili kişi bilgilendirilmelidir. Aksi halde veri sorumlusu 6698 sayılı Kişisel Verileri Koruma Kanunu’ndan doğan yükümlülüklerini tam olarak yerine getirmemiş sayılacak, ilgili kişiyse ucu açık bir kişisel veri işleme faaliyeti tehlikesiyle karşı karşıya kalacaktır.

İlgili kişinin özgür iradesiyle kişisel verilerinin işlenmesine onay verebilmesi için rızanın bilgilendirmeye de dayalı olması gerekir. Burada ilgili kişinin bilgilendirilmesi, veri sorumlusu tarafından kendisinden rıza talebinde bulunulurken veya ilgili kişi rıza açıklamasında bulunurken hangi verilerin işleneceği, kişisel verilerinin işlenmesine onay vermesi beyanının niteliği ve sonuçları, rızanın geri alınmasına dair hükümleri ihtiva etmelidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, rızanın sebep ve sonuçları hakkında madde 10 uyarınca aydınlatma yükümlülüğünü tam ve eksiksiz bir biçimde yerine getirmelidir.

Bu aydınlatma yükümlülüğü uyarınca veri sorumlusu kendisi veya varsa temsilcisinin kimliğiyle ilgili bilgilendirme yapmalı; kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı, ilgili kişinin kişisel verilerinin toplanmasının yöntemi ve bu toplamanın hukuki sebepleri ile ilgili kişinin talep hakkı doğrultusunda veri sorumlusuna başvurarak talepte bulunabileceği diğer hususları belirtmelidir. Yazılı veya sözlü olarak yapılabilecek bu bilgilendirme, ilgili kişinin anlayabileceği dilde ve yazı biçiminde yapılmalıdır. Bilgilendirme şartı en geç ilgili kişinin kişisel verilerinin işlenmesi sırasında yerine getirilmiş olmalıdır. Aksi halde ilgili kişiden alınacak rıza hukuka aykırı olacaktır.

Rıza alınması sürecinin hukuka uygun bir şekilde işletilebilmesi için son şart kişinin özgür iradesine dayalı olmasıdır. Kişi burada kendi kararını verebilme ve bu irade beyanını dış dünyaya açıklayabilme yetisinde olmalıdır. Veri sorumlusunun ilgili kişiden cebir, tehdit, hile gibi iradeyi sakatlayacak eylemlerle rıza alması halinde alınmış bu rıza, rızanın özgür iradeyle açıklanması şartına aykırı olacaktır. Yukarıda sayılan iradeyi etkileyen haller sınırlı sayıda değildir. Kişisel Verileri Koruma Kurulu iradeyi sakatlayan nedenler hakkında somut olaya göre değerlendirme yapmaktadır.

Kişisel veri işleme amacının veya konusunun değişmesi halinde veri sorumlusu bu değişen amaçlar ve konular doğrultusunda ilgili kişiden yeni bir açık rıza beyanı almalıdır. Veri sorumlusu, veriyi kullandıktan sonra yurtdışına veri aktarımı gibi ikincil işlemler için kullanacaksa bu durum için ilgili kişiden ayrıca rıza alması gerekecektir.

Tarafların eşit olmadığı hukuki ilişkilerde (Örn. İşçi-İşveren) ilgili kişiden rıza temini hususu özellikle incelenmelidir. Güçsüz konumda yer alan işçi için rıza göstermeme hakkı işveren tarafından etkin bir biçimde tanınmayabilir. Bu sebeple özgür irade açısından rıza sakatlanmış olacaktır. İşverenler bu tarz problemlerden kaçınabilmek adına işçilere rıza göstermemeye ilişkin haklarına bir halel gelmeyeceğine dair güvence vermelidir. Bu tarz ilişkilerde rızanın şartları dikkatle irdelenmelidir.

Rıza Geri Alınabilir Mi?

Kişisel verilerin işlenmesine dair ilgili kişi tarafından rıza verilebilmesi hususu kendi içinde değerlendirildiğinde, ilgili kişinin rıza vererek kişisel verilerinin gelecekte ne olacağını belirleyebilme hakkına sahip olmasının yansıması olarak önceden verilmiş olan rızanın istenildiği zaman geri alınabileceği de kabul edilmelidir. İlgili kişi her ne zaman isterse kişisel verilerinin işlenmesine dair rızayı geri alabilecektir. Ayrıca kanundan doğan diğer işleme şartlarının bulunmaması halinde veri sorumlusu ilgili kişinin kişisel verilerini işlemeyi derhal bırakmalıdır. Rızanın geri alınması ancak ileriye etkili olarak sonuç doğuracaktır. Rızanın geri alınması talebi veri sorumlusuna ulaştığı andan itibaren sonuç doğuracaktır.

Türk Medeni Kanunu madde 23 uyarınca rızanın geri alınması hakkında önceden yapılacak feragatler vazgeçme ve aşırı sınırlamaya karşı hükmü uyarınca kanunen kabul edilemeyecektir.

Açık rıza alma yükümlülüğünün gereği gibi yerine getirilmemesi halinde veri sorumlularının KVKK şikayeti ve cezaları ile karşılaşmaları mümkündür. Kişilerin şartların oluşması halinde KVKK ihlali nedeniyle tazminat davası açma hakları genel hükümlere göre her zaman saklıdır.

Yukarıda hukuki açıdan önem ihtiva eden açık rıza konusu genel bir çerçeveyle açıklanmıştır. Rızanın verilmesi, şekli, şartları ve geri alınması hususu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

[1] https://www.kvkk.gov.tr/Icerik/6739/2020-173

[2] KVKK 11.03.2021 2021/227 https://www.kvkk.gov.tr/Icerik/7115/2021-227

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code