Makale
Kişisel verilerin işlenmesinde açık rıza; belirli konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanan onaydır. Bu makalede açık rızanın unsurları, ispat külfeti, geri alınması, aydınlatma yükümlülüğü ile ilişkisi ve hizmetin şarta bağlanması gibi uygulamadaki sorunlar KVKK kapsamında hukuki perspektifle incelenmektedir.
Kişisel Verilerin İşlenmesinde Açık Rıza Kavramı ve Uygulama Sorunları
Kişisel verilerin korunması hukuku kapsamında, bireylerin kendi verileri üzerinde kontrol sahibi olabilmesini sağlayan en önemli araçlardan biri açık rıza kavramıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Kişiler, açık rıza vererek kişisel verilerinin işlenmesi sürecine aktif olarak katılır ve verilerinin geleceğini belirleme hakkını kullanırlar. Ancak uygulamada, bu rızanın alınış şekli, zamanı, ispatı ve özellikle diğer hukuki metinlerle olan ilişkisi bağlamında ciddi sorunlar ortaya çıkabilmektedir. Veri sorumlularının hukuka uygun bir veri işleme süreci yürütebilmesi için, açık rızanın kurucu unsurlarını eksiksiz olarak sağlaması ve rızanın sakatlanmasına yol açabilecek uygulamalardan kaçınması gerekmektedir. Hukuka aykırı şekilde alınan onaylar, ileride doğabilecek uyuşmazlıklarda veri sorumluları açısından idari yaptırımlara zemin hazırlamaktadır.
Açık Rızanın Temel Unsurları ve Şekil Şartı
KVKK kapsamında geçerli bir açık rızadan söz edilebilmesi için rızanın üç temel unsuru barındırması zorunludur. Bunlar; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmış olmasıdır. İlgili kişiden talep edilen beyanın hangi konu için istendiği net bir şekilde ortaya konulmalı, ucu açık veya genel nitelikteki "battaniye rıza" olarak adlandırılan onamlar kullanılmamalıdır. Bununla birlikte, rıza gösterecek kişinin, verilerinin ne amaçla ve nasıl işleneceği konusunda anlaşılır, sade bir dille detaylı olarak bilgilendirilmesi gerekmektedir. Rızanın geçerliliği için aranan en kritik unsur ise özgür iradedir. Kişi, herhangi bir baskı veya yönlendirme altında kalmadan, onay verip vermeme konusunda gerçek bir seçim hakkına sahip olmalıdır.
Kanun metninde açık rızanın geçerliliği için özel bir şekil şartı öngörülmemiş olmakla birlikte, ispat yükümlülüğü hukuken veri sorumlusunun üzerinde olduğundan rızanın yazılı veya elektronik ortamda kayıt altına alınması büyük önem taşımaktadır. İlgili kişinin iradesini şüpheye yer bırakmayacak şekilde aktif bir eylemle ortaya koyması gerekmektedir. Bu noktada, sessiz kalma veya önceden işaretlenmiş kutucukların kullanıldığı varsayılan onay (opt-out) yöntemleri hukuken geçerli bir açık rıza olarak kabul edilmemektedir. Bunun yerine, kişinin kendi aktif eylemiyle onay kutucuğunu işaretlediği opt-in yönteminin uygulanması hukuka uygun olan temel yaklaşımdır. Aksi halde, alınan rızanın ispatlanması ve hukuki geçerliliği tartışmalı hale gelecektir.
Uygulamada Karşılaşılan Temel Sorunlar
Açık rızanın alınması ve uygulanması sürecinde veri sorumlularının en sık karşılaştığı sorunların başında ispat külfeti ve rızanın alınma zamanı gelmektedir. Açık rıza, veri işleme faaliyetine başlanmadan önce veya en geç işlemenin yapılacağı sırada alınmalıdır. Veriler hukuka aykırı olarak işlendikten sonra ilgili kişiden sonradan alınan icazet (onay), geçmişe dönük olarak işlemi hukuka uygun hale getirmeyecektir. Veri sorumlusu, ilgili kişinin açık rızasını özgür irade kurallarına ve hukuka uygun şekilde aldığını ispatlamakla yükümlüdür. Bu kapsamda, rızanın alındığı zamanın elektronik zaman damgası gibi araçlarla kaydedilmesi ve bilgilendirme süreçlerinin belgelendirilmesi, olası hukuki uyuşmazlıklarda veri sorumlusunun cezai ve hukuki sorumluluğunu ortadan kaldırmak adına kritik bir öneme sahiptir.
Uygulamada sıklıkla yapılan bir diğer önemli hata ise aydınlatma yükümlülüğü ile açık rıza talebinin birbirine karıştırılmasıdır. KVKK kapsamında aydınlatma yükümlülüğü veri sorumlusu için tek taraflı mutlak bir görev iken, açık rıza kişinin veri işlenmesine onay vermesini ifade eden çift taraflı bir süreçtir. Bu iki metnin birleştirilerek tek bir doküman halinde sunulması ve kişiden tek bir işlem ile her ikisini birden kabul etmesinin istenmesi süreci sakatlar. Veri sorumluları, aydınlatma metnini okuduğuna dair onay ile kişisel verilerin işlenmesine yönelik açık rıza beyanını birbirinden tamamen ayrı mekanizmalarla sunmak zorundadır. Bu ayrımın yapılmaması, hem aydınlatma yükümlülüğünün ihlali hem de rızanın şeklen geçersizliği sonucunu doğurur.
Açık Rızanın Geri Alınması ve Hizmetin Şarta Bağlanması
İlgili kişinin kendi verilerinin geleceğini belirleme hakkı kapsamında, verdiği açık rızayı dilediği zaman ve şarta bağlı olmaksızın geri alma hakkı bulunmaktadır. Rızayı geri almanın, rıza vermek kadar kolay ve erişilebilir olması hukuki bir gerekliliktir. Geri alma işlemi, geçmişe değil, yalnızca geleceğe etkili sonuç doğurur; rızanın geri alınmasından önce hukuka uygun olarak gerçekleştirilen veri işleme faaliyetleri geçerliliğini korur. Bununla birlikte, rızanın özgür irade unsurunu sakatlayan ve uygulamada en sık karşılaşılan hukuka aykırı durumlar şunlardır:
- Bir ürün veya hizmetin sunulmasının, sözleşmenin ifası için zorunlu olmayan kişisel verilerin işlenmesi şartına bağlanması.
- Kişinin rıza göstermemesi halinde herhangi bir yaptırım, indirimden mahrum bırakılma veya dezavantajlı bir durumla karşı karşıya kalması.
- Birden fazla farklı veri işleme amacı bulunmasına rağmen, kişinin bunları ayrı ayrı seçme hakkından mahrum bırakılarak "torba rıza" alınmaya çalışılması.
Bu durumların varlığı halinde, hizmetin açık rıza şartına bağlanması yasağı açıkça ihlal edilmiş olacağından, alınan rıza hukuken geçersiz sayılacak ve dayandığı veri işleme faaliyeti kanuna aykırı hale gelecektir.