Anasayfa/ Makale/ KVKK Kapsamında Açık Rıza ve Geçerlilik Şartları

Makale

Kişisel verilerin işlenmesinde temel hukuka uygunluk nedeni olan açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanan onay beyanıdır. Bu makale, açık rızanın geçerlilik unsurlarını, hukuki niteliğini, ispat yükünü ve uygulamadaki opt-in ile geri alma süreçlerini hukuki bir perspektifle incelemektedir.

KVKK Kapsamında Açık Rıza ve Geçerlilik Şartları

İSPAT YÜKÜ AÇIK RIZA KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ TEHDİT

6698 sayılı Kişisel Verilerin Korunması Kanunu sistematiğinde, kişisel verilerin işlenmesi kural olarak yasaktır ve bu yasağın istisnası hukuka uygunluk nedenlerinin varlığıdır. Bu nedenlerin en temelinde yer alan açık rıza, kanunda belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay beyanı olarak tanımlanmıştır. Her ne kadar temel hukuka uygunluk nedeni olarak konumlandırılsa da, açık rızanın kanunda yer alan diğer veri işleme şartlarına karşı hiyerarşik bir üstünlüğü bulunmamaktadır. Veri sorumlularının, kanunda yer alan diğer hukuka uygunluk sebeplerinin varlığına rağmen ilgili kişilerden açık rıza alması, dürüstlük kuralına aykırılık oluşturacak ve ilgili kişiyi yanıltıcı nitelikte sayılacaktır. Uygulamada, açık rızanın sadece kanuni bir zorunluluğu yerine getirmekten ibaret basit bir prosedür olarak algılanması, kurumlar açısından ciddi hukuki yaptırımlara zemin hazırlamaktadır. Hukuken geçerli bir açık rızanın varlığından söz edebilmek için, kanunun emredici nitelikteki geçerlilik şartlarının her somut olayda titizlikle yerine getirilmesi esastır.

Açık Rızanın Hukuki Niteliği ve Beyan Ehliyeti

Açık rıza hukuki niteliği itibarıyla, verisi işlenen ilgili kişinin kişisel verisinin işlenmesini hukuka uygun hale getirmek üzere veri sorumlusuna yönelttiği tek taraflı bir hukuki işlem olarak kabul edilmektedir. İrade beyanına dayanan bu hukuki işlemin geçerliliği, kişinin hak ve fiil ehliyetine sahip olmasına sıkı sıkıya bağlıdır. Kişisel verilerin geleceğini belirleme ve yönlendirme hakkı, kişiye sıkı sıkıya bağlı bir hak olduğundan, kural olarak ayırt etme gücüne sahip küçüklerin ve kısıtlıların bizzat rıza beyanında bulunabilmesi mümkündür. Ancak zarar görme ihtimalinin yüksek olduğu veya küçüklerin veri işlemenin sonuçlarını anlayabilecek olgunlukta olmadığı durumlarda, hukuki güvenliğin tesisi adına yasal temsilcinin rızası aranmaktadır. Açık rıza beyanı, ilgili kişinin verileri üzerindeki hâkimiyetinin en somut göstergesi olup, eksik veya geçersiz bir irade beyanı üzerine inşa edilen tüm veri işleme faaliyetleri doğrudan hukuka aykırı kabul edilmektedir.

Açık Rızanın Geçerlilik Şartları

Belirli Bir Konuya İlişkin Olma

Hukuka uygun bir açık rızanın ilk ve en önemli unsuru, veri işleme faaliyetinin amacının ve sınırlarının son derece belirgin olmasıdır. Uygulamada veri sorumluları tarafından, gelecekte ortaya çıkabilecek muhtemel ihtiyaçlar düşünülerek peşinen alınan ve sınırları net çizilmeyen torba rıza (battaniye rıza) uygulamaları hukuken tamamen geçersizdir. İlgili kişi, rızasını tam olarak hangi spesifik veri işleme faaliyeti için verdiğini bilebilmelidir. Bir sözleşme kapsamında veya hizmet sürecinde birden fazla veri işleme amacının bulunması halinde, her bir amaca yönelik olarak ilgili kişinin rızasının ayrı ayrı onay mekanizmalarıyla alınması gerekir. İşleme amacında sonradan bir değişiklik meydana gelmesi durumunda ise, veri sorumlusunun değişen amaca uygun olarak ilgili kişiyi yeniden bilgilendirmesi ve yeni amaca yönelik açık rıza temin etmesi yasal bir zorunluluktur.

Bilgilendirmeye Dayanma (Aydınlatma)

Açık rızanın yasal olarak geçerli sayılabilmesi için ilgili kişinin neye rıza gösterdiğini net bir şekilde bilecek ve sonuçlarını öngörebilecek düzeyde bilgilendirilmiş olması, yani işlemin aydınlatılmış rıza niteliği taşıması şarttır. Veri sorumlusunun aydınlatma yükümlülüğü, açık rıza beyanı alınmadan hemen önce, herkesin kolayca anlayabileceği sade bir dille yerine getirilmelidir. Ancak uygulamada dikkat edilmesi gereken en kritik hukuki kural, aydınlatma metni ile açık rıza metninin birbirinden kesin sınırlarla ayrılması zorunluluğudur. Kişisel Verileri Koruma Kurulu kararlarında da istikrarlı bir şekilde vurgulandığı üzere, aydınlatma yükümlülüğünün yerine getirilmesi ile açık rızanın alınması işlemleri tek bir metin altında birleştirilemez. İlgili kişi, sunulan aydınlatma metnini okuyarak süreç hakkında bilgi sahibi olmalı, ancak metin içeriğindeki veri işleme faaliyetlerine peşinen rıza göstermek zorunda bırakılmamalıdır.

Özgür İrade ile Açıklanma

İlgili kişinin kişisel verilerinin işlenmesine yönelik onay beyanının son derece bilinçli olması ve cebir, tehdit, hile veya hata gibi iradeyi sakatlayan hallerden tamamen uzak bir şekilde açıklanması zorunludur. Hukuk uygulamasında özgür iradenin tespiti, özellikle işçi ve işveren ilişkisi gibi taraflar arasında belirgin bir hiyerarşik güç dengesizliğinin bulunduğu durumlarda büyük bir hassasiyet taşır. İşini kaybetme veya mobbinge maruz kalma endişesiyle çalışanın verdiği rızanın özgür iradeyle açıklandığı varsayımı her zaman hukuki tartışmaya açıktır. Bunun yanı sıra, veri sorumlusu tarafından sunulan herhangi bir temel ürün veya hizmetin verilmesinin, kişisel verilerin işlenmesine yönelik açık rıza verilmesi ön şartına bağlanması hukuka açıkça aykırıdır. Ancak, rıza karşılığında sunulan hizmette asıl hizmete erişim doğrudan engellenmiyorsa ve yalnızca sadakat programları kapsamında ek menfaatler sunuluyorsa, bu durum özgür iradeyi zedeleyen bir dayatma olarak kabul edilmemektedir.

Açık Rızanın Şekli, İspat Yükü ve Geri Alınması

Kanun kapsamında açık rızanın alınmasına yönelik yasal bir zorunluluk getirilmemiş, genel bir şekil serbestisi benimsenerek rızanın yazılı, sözlü veya elektronik ortamda alınabilmesinin önü açılmıştır. Ancak, gerçekleşen veri işleme faaliyetinin hukuka uygun geçerli bir rızaya dayandığını kanıtlama noktasında ispat yükü veri sorumlusuna aittir. Bu nedenle hukuki ihtilafları önlemek amacıyla genellikle yazılı onay veya log kayıtlarını tutan güvenli elektronik yöntemler tercih edilmektedir.

İrade beyanının şekli, kayıt altına alınması ve geri alınması süreçlerinde hukuk pratiği açısından şu hususlar oldukça belirleyicidir:

  • İlgili kişinin önceden işaretlenmiş kutucuklardaki işareti kaldırmaması esasına dayanan, varsayımsal nitelikteki opt-out yöntemi geçersizdir; rıza ancak bireyin aktif eylemine dayanan opt-in yöntemi ile hukuka uygun şekilde alınabilir.
  • İlgili kişi, kişisel verilerinin işlenmesi için vermiş olduğu açık rızayı, hiçbir gerekçe göstermeksizin ve dilediği an tek taraflı irade beyanıyla geri alabilir.
  • Açık rızanın geri alınması, ileriye etkili olarak (ex nunc) hüküm doğurur; dolayısıyla geri alma tarihinden önceki veri işleme faaliyetlerinin hukuka uygunluğunu ortadan kaldırmaz.
  • Açık rızanın geri alınması sürecinde veri sorumlusu, rızanın ilk verildiği yöntemden daha ağır veya zorlayıcı bir usul (örneğin dijital alınan rızanın iptali için fiziki dilekçe talep edilmesi) şart koşamaz.
5 dk okuma Yayınlanma: Güncelleme: