Anasayfa/ Makale/ KVKK Kapsamında Açık Rıza Kavramı ve Veri İşleme Şartları

KVKK Kapsamında Açık Rıza Kavramı ve Veri İşleme Şartları

Kişisel verilerin hukuka uygun işlenebilmesi için açık rıza veya diğer hukuka uygunluk sebeplerinin varlığı şarttır. Bu makale, KVKK kapsamında açık rızanın unsurlarını, geçerlilik şartlarını ve veri işlemeyi hukuka uygun kılan diğer sebepleri hukuki bir perspektifle ve Kişisel Verileri Koruma Kurulu kararları ışığında detaylıca incelemektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK HUKUKA AYKIRILIK AÇIK RIZA

Kişisel verilerin korunması hukuku, bireylerin özel hayatının gizliliğini ve kişilik haklarını güvence altına almayı amaçlayan, hızla gelişen bir hukuk disiplinidir. Uygulamada en çok karşılaşılan ve veri sorumlularının en çok dikkat etmesi gereken hususların başında kişisel verilerin işlenme şartları gelmektedir. Kural olarak, başkasına ait bir kişisel verinin işlenmesi hukuka aykırıdır ve bu aykırılığı ortadan kaldıracak temel dayanak ilgili kişinin açık rızası veya kanunda sayılan diğer hukuka uygunluk sebepleri olarak karşımıza çıkar. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu, açık rızayı genel ve özel nitelikli kişisel verilerin işlenmesinde temel bir şart olarak kabul etmiştir. Bununla birlikte, açık rızanın geçerli olabilmesi için kanunun aradığı katı unsurları taşıması gerekir. Veri sorumlularının hukuki ve cezai yaptırımlarla karşılaşmamaları adına, rızanın hukuki niteliğini, şeklini, nasıl alınması ve ispat edilmesi gerektiğini detaylıca kavramaları elzemdir.

Açık Rıza Kavramı ve Hukuki Niteliği

6698 sayılı Kanun’un 3’üncü maddesinde açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Doktrinde ağırlık kazanan görüşe ve medeni hukuk prensiplerine göre açık rıza, esasında tek taraflı hukuki işlem benzeri bir irade beyanıdır. Veri sahibinin bu beyanı, kendisine ait hukuki bir değere yönelik müdahalenin onaylanması ve kabullenilmesi anlamına gelir. İlgili kişi, verilerinin geleceğini tayin etme hakkı kapsamında bu rızayı dilediği zaman özgürce geri alabilir. Rızanın geri alınması, tek taraflı ve karşı tarafın kabulüne bağlı olmayan kesin bir haktır. Ancak bu geri alma işlemi her zaman ileriye etkili sonuç doğurur; yani geri alma anından önce açık rızaya dayanılarak hukuka uygun biçimde gerçekleştirilmiş veri işleme faaliyetlerini geriye dönük olarak hukuka aykırı kılmaz. Veri sorumluları bu tarihten sonraki işleme faaliyetlerini derhal durdurmak zorundadır.

Açık Rızanın Geçerlilik Şartları

Bir muvafakatin KVKK nazarında geçerli bir açık rıza sayılabilmesi için kanunda belirtilen temel unsurları barındırması zaruridir. Uygulamada veri sorumlularının sıklıkla hataya düştüğü nokta, genel geçer ve sınırları çizilmemiş battaniye rıza (torba rıza) metinleriyle veri işlemeye çalışmalarıdır. Oysa rıza, belirli bir konuya ilişkin olmalı ve veri işleme amacının sınırları net şekilde çizilmelidir. İkinci olarak, rıza bilgilendirmeye dayalı olmalıdır; yani veri sorumlusu rızadan bağımsız olarak aydınlatma yükümlülüğünü yerine getirmelidir. İlgili kişi; verilerinin hangi amaçla, ne kadar süreyle işleneceğini ve kimlere aktarılacağını açıkça bilerek onay vermelidir. Üçüncü temel unsur ise özgür irade ile açıklanma şartıdır. Veri işleme izninin bir ürün veya hizmetin sunulması için ön şart haline getirilmesi (bağlama yasağı) ya da çalışanın işverene karşı olan zayıf konumu gibi güç dengesizliğinin bulunduğu hallerde özgür iradenin sakatlandığı kabul edilir ve alınan rıza hukuken geçersiz sayılır.

Açık Rızanın Şekli ve İspat Külfeti

Açık rızanın alınması kural olarak herhangi bir şekil şartına tabi değildir. Sözlü, yazılı, elektronik ortamda, SMS, kayıtlı elektronik posta (KEP) veya güvenli elektronik imza ile alınması mümkündür. Özel nitelikli verilerdeki spesifik istisnalar hariç genel kural şekil serbestisidir. Ancak rıza beyanının tereddüde mahal bırakmayacak açıklıkta ve kullanıcının aktif bir eylemiyle (opt-in yöntemi) verilmesi şarttır. İlgili kişinin susması veya önceden işaretlenmiş bir kutucuğu değiştirmemesi gibi pasif davranışlara dayanan opt-out yöntemi, Kurul kararları ışığında geçerli bir açık rıza olarak kabul edilmez. Veri sorumluları açısından hukuki süreçlerdeki en kritik nokta ise ispat yükümlülüğü kuralıdır. İlgili kişiden hukuka uygun bir açık rıza alındığını ispat etme külfeti tamamen veri sorumlusunun üzerindedir. Bu nedenle alınan rızanın ispatlanabilir ve şüpheye yer bırakmayan bir formatta kayıt altına alınması hukuki güvenliğin olmazsa olmazıdır.

Açık Rıza Dışındaki Veri İşleme Şartları

Kişisel verilerin işlenmesi kural olarak rızaya tabi olsa da, KVKK'nın 5'inci maddesi veri sorumlusuna rızanın aranmayacağı alternatif hukuka uygunluk sebepleri sunar. Bu sebepler mevcutken veri sorumlusunun sadece kolaylık sağlaması adına açık rızaya başvurması, Kişisel Verileri Koruma Kurulu tarafından dürüstlük kuralına aykırı ve ilgili kişiyi yanıltıcı bulunmaktadır. Çünkü rızasını geri alan kişi veri işlemenin duracağını zannederken, aslında arka planda başka bir hukuki sebebe dayalı olarak veri işleme devam edecektir. Kanunda sayılan bu istisnai hukuka uygunluk sebepleri şunlardır:

  • Kanunlarda açıkça öngörülmesi: İş Kanunu gereği özlük dosyası tutulması veya PVSK kapsamında veri alınması gibi kanuni zorunluluklar.
  • Fiili imkânsızlık: Rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması için acil tıbbi verilerin işlenmesi.
  • Sözleşmenin ifası: Taraflar arasındaki sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla maaş ödemesi gibi süreçler için veri işlenmesi.
  • Hukuki yükümlülük: Veri sorumlusunun kanundan veya ikincil mevzuattan doğan yasal mecburiyetlerini yerine getirmesi.
  • Alenileştirme: İlgili kişinin kendi kişisel verisini, sadece alenileştirme amacına uygun şekilde bizzat kamuya açıklaması.
  • Hakkın tesisi: Bir hakkın kullanılması veya savunulması için dava dosyalarında ispat amacıyla veri işlemenin zorunlu olması.
  • Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla veri sorumlusunun menfaatleri için veri işlemenin zorunlu olması.
Verdiğim onaydan vazgeçersem, eski verilerimi de silerler mi? expand_more
Kişisel verilerinizin işlenmesi için verdiğiniz açık rızayı, verilerinizin geleceğini tayin etme hakkı kapsamında dilediğiniz zaman özgürce geri alabilirsiniz. Ancak bu geri alma işlemi geriye dönük değil, daima ileriye dönük olarak hukuki sonuç doğurur. Yani rızanızı iptal ettiğiniz andan önce hukuka uygun şekilde gerçekleştirilmiş veri işleme faaliyetleri bir anda yasadışı hale gelmez. Veri sorumlusu, sadece bu geri alma tarihinden sonraki veri işleme eylemlerini derhal durdurmakla yükümlüdür.
Sitedeki onay kutucuğu baştan işaretliydi, ben de dokunmadım. Bu rıza sayılır mı? expand_more
Hayır, hukuken bu durum geçerli bir açık rıza olarak kabul edilmemektedir. Kişisel Verileri Koruma Kurulu kararları ışığında, rıza beyanının tereddüde yer bırakmayacak açıklıkta olması ve kullanıcının aktif bir eylemiyle (opt-in yöntemi) verilmesi şarttır. İlgili kişinin sessiz kalması veya önceden işaretlenmiş bir kutucuğu değiştirmemesi gibi pasif davranışlara dayanan "opt-out" yöntemi geçersizdir. Şirketlerin bu şekilde elde ettikleri onaylara dayanarak veri işlemesi açık bir hukuka aykırılık teşkil eder.
"Onay vermezsen bu hizmeti kullanamazsın" diyorlar, buna hakları var mı? expand_more
Kanuna göre açık rızanın geçerli olabilmesi için mutlaka özgür irade ile açıklanması gerekmektedir. Bir veri işleme izninin, ürün veya hizmetin sunulması için ön şart haline getirilmesi "bağlama yasağı" olarak adlandırılır ve bu durum iradeyi sakatlar. Bu tür bir dayatma ile alınan rıza, özgür irade şartını taşımadığı için hukuken geçersiz sayılmaktadır. Dolayısıyla, hizmetin sunulmasını kişisel verilerinizin işlenmesi şartına bağlayan veri sorumluları hukuka aykırı hareket etmiş olurlar.
İşçiden her türlü verisini işlemek için tek bir genel onay belgesi alsam yeterli mi? expand_more
Hayır, uygulamada sıklıkla düşülen bu hata "battaniye rıza" veya "torba rıza" olarak bilinir ve KVKK kapsamında kesinlikle geçersizdir. Geçerli bir açık rızanın mutlaka belirli bir konuya ilişkin olması ve veri işleme amacının sınırlarının net şekilde çizilmiş olması zorunludur. Üstelik işçi ve işveren arasındaki güç dengesizliği nedeniyle bu tarz genel onaylarda işçinin özgür iradesinin sakatlandığı kabul edilir. İşçi verilerini işlerken sınırları belli, şeffaf ve detaylı bir aydınlatma sonrasında belirli konulara özgülenmiş rızalar alınması gerekmektedir.
Müşterinin rıza verdiğini olası bir davada kim kanıtlamak zorundadır? expand_more
Hukuki süreçlerde ilgili kişiden hukuka uygun bir açık rıza alındığını ispat etme külfeti tamamen veri sorumlusunun, yani işlemi yapan firmanızın veya kurumunuzun üzerindedir. Kanun, rızanın alınması için sözlü, yazılı veya elektronik ortam gibi katı bir şekil şartı öngörmese de ispat yükümlülüğü size aittir. Bu nedenle alınan rızanın şüpheye yer bırakmayan ve belgelenebilir bir formatta kayıt altına alınması, hukuki güvenliğin olmazsa olmazıdır. İspat edilemeyen rıza beyanları, idari ve cezai yaptırımlarla karşılaşmanıza yol açabilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir