KVKK Kapsamında Açık Rıza Nedir? Nasıl Alınır?
Teknolojik gelişmelerle birlikte kişisel veriler neredeyse her yerde kullanılır hale gelmiştir. Bu verilerin kontrolsüzce ve kötüye kullanılmasını önlemek için 6698 sayılı Kişisel Verileri Koruma Kanunu yürürlüğe girmiştir. Bu kanuna göre kişisel veriler, veri sorumlusu tarafından işlenirken kanunda belirlenen veri işleme şartlarına uyulması gerekir. İstisnaları bulunmakla birlikte bir kişisel verinin işlenmesi genel kural, veri sahibinin ilgili kişiden alacağı açık rızadır. Peki, açık rıza nasıl alınır?
Açık Rıza Nedir?
6698 sayılı Kişisel Verileri Koruma Kanunu’na göre, kişisel verilerin işlenmesi için genel kural, veri sorumlusunun kişisel verileri işlemeden önce veri sahibinin açık rızasının alınmasıdır. Bunun için veriyi işleyen taraf, KVKK açık rıza metnine alacağı imza ile veri sahibinden onay alır. Veri sahibinin onay metnini imzalaması halinde, kişisel veriler KVKK usullerine uygun olacak şekilde işlenebilir.
Aydınlatma yükümlülüğü 6698 sayılı kanunun 10’’uncu maddesindedüzenlenmiştir. Bu yükümlülük gereği veri sorumlusu, veriyi işlemeden önce veri sahibini aydınlatmakla yükümlüdür. Aydınlatma metninde kişisel verilerin işlenmesine dair açıklama yapılır. Gerekli bilgilendirici açıklamalardan sonra gerekli hallerde veri sahibinden açık rıza istenir. Açık rızaya dayanan veri işleme faaliyetlerinde veri sahibinin rıza göstermemesi halinde kişisel veriler işlenemez. Ayrıca, tüm veriler, veriyi işleyen kişi ya da kurum tarafından KVKK gizlilik politikası doğrultusunda işlenmelidir. Aydınlatma metni yükümlülüğü veriyi işleyen tarafa aittir.
Her ne kadar KVKK’nın 10’’uncu maddesi gereğince kişisel veriler işlenmeden önce aydınlatma yükümlülüğü bulunsa da, aynı kanunun 28’inci maddesinde “İstisnalar” başlığı altında bazı istisnai durumlar da belirtilmiştir. Aydınlatma yükümlülüğünün istisnalarını öğrenmek için 6698 sayılı kanunun 28’inci maddesinin 1’inci ve 2’inci fıkralarını inceleyebilirsiniz.
Açık Rıza Metni Nedir?
6698 sayılı Kişisel Verileri Koruma Kanunu yürürlüğe girdikten sonra veri, verilerin işlenmesi gibi kavramların yanında açık rıza kavramı da sıkça duyulmaya başlamıştır. Açık rıza kavramı, kanunun 3‘üncü maddesinde tanımlanmıştır. Buna göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade kullanımıyla açıklanan rıza şeklidir. Açık rızanın alınması için ise, açık rıza metninin veri sahibi tarafından imzalanması gerekir.
Anayasanın 20’inci maddesinin 3‘üncü fıkrası da açık rızanın gerekliliğini vurgulamıştır. Bu maddeye göre, kişisel veriler ancak kanunda öngörülen hallerde ya da veri sahibinin açık rızasının alınması yoluyla işlenebilir. Açık rıza kavramı, 6698 sayılı kanunda özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler olarak birbirinden ayrılmış ve her iki durum da temel hukuka uygunluk sebebi olarak öngörülmüştür.
Açık Rıza Alınırken Nelere Dikkat Edilmelidir?
Açık rıza, hem veriyi işleyen hem de veri sahibi ilgili kişiler için oldukça önemlidir. Bilgilendirmeye dayanan açık rıza ile veri sahibi kişisel verilerinin işleneceği hakkında haberdar olurken veri işleyen taraf da veriyi hangi sınırlar içinde işleyeceği hakkında bilgi sahibi olur. Açık rıza yoluyla elde edilen onaylarda rıza veren kişi olumlu irade beyanında bulunmuş olur. Mevzuatta açık rızanın alınma yöntemine ilişkin herhangi bir usül belirlenmemiştir. Rıza, yazılı veya sözlü olarak elektronik veya fiziksel ortamda alınabilir. Buna karşın açık rızanın alındığını ispat etme yükümlülüğü veri sorumlumlusundadır.
Kişisel Verileri Koruma Kanunu’nun 3‘üncü maddesinde açık rızaya dair tanım yer alır. Bu tanıma göre, bu şekilde alınan rızanın 3 unsuru bulunur. Veri sahibinin rızasını alırken dikkat edilecek bu 3 unsur şu şekildedir:
- Rızayı bilgilendirmeye dayandırmak,
- Rızanın özgür irade ile açıklanması,
- Rızanın belirli bir konuya ilişkin olması.
Genel nitelikteki rıza metinleri hukuki olarak geçerli değildir; çünkü, bu metinlerin belirli bir konu ile sınırlandırılması gerekir. “Her türlü ticari işlem” ya da “ Her türlü veri işleme faaliyeti” gibi genel kapsamlı ifadeler KVKK açık rıza metinlerinde geçmesi uygun olmayan ifadelerdir.
Açık rıza metinleri ile ilgili dikkat edilmesi gereken bir diğer unsur ise, verilen rızanın geri alınabileceğidir. Veri sahibi aydınlatma metnini onayladığı gibi sonrasında verdiği onaydan vazgeçebilir. Bunun sebebi veri sahibinin, kişisel verilerinin geleceğini belirleme hakkına sahip olmasıdır. Fakat burada da dikkat edilmesi gereken bir unsur vardır; verilen rızanın geri alınması ileriye dönük suç doğurabilmektedir. Bu sebeple, özellikle açık rıza ile verilen onayda geri alma beyanı veri sorumlusuna ulaştıktan sonra verilerin işlenmesi faaliyeti yine veri sorumlusu tarafından durdurulabilir. Yani, kişinin verdiği onayı geri alma beyanı veri sorumlusuna ulaştıktan sonra hüküm doğurur.
Veri sorumlusuna başvuru hakkında usul ve esaslar 30356 sayılı Resmi Gazete’de yayımlanmıştır. Başvuru hakkında tüm detaylara buradan ulaşabilirsiniz.
Açık Rıza ile İlgili Kurul Kararlarına Ulaşın
Kişisel Verilerin Kurulu’nun açık rıza ile ilgili verdiği kararlara buradan ulaşabilir; bu kararları sektöre, etiketlere, tarihlere ve ilgili kanun maddelerine göre filtreleyebilirsiniz.
KVKKarar ile Tüm Kanun Maddelerinden Haberdar Olun!
Hukuka, tasarıma, süreç yönetimine ve teknolojiye dair disiplinleri birlikte kullanarak veri danışmanlığı yapan KVKKarar, Kişisel Verileri Koruma Kanunu’na dair bilgiye kolay ulaşmanızı sağlar. KVKKarar platformu ile sadece kanun maddelerine değil sektöre ve ilgili karar tarihlerine de kolayca ulaşma fırsatı bulabilirsiniz. Platform hakkında ayrıntılı bilgi için KVKKarar web sitesini ziyaret edebilirsiniz.
