Makale

Dijitalleşen dünyada bireylerin kişisel verileri üzerinde kontrol hakkı sağlaması, veri koruma hukukunun en temel amaçlarından biridir. Bu kontrol mekanizmasının merkezinde ise açık rıza kavramı yer almaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay olarak tanımlanmaktadır. Hukukumuzda kişisel verilerin hukuka uygun olarak işlenebilmesinin ana kuralı, ilgili kişinin açık rızasının bulunmasıdır. Zımni veya örtülü rızaya geçerlilik tanımayan bu sistem, bireylerin kendi hakları ve özgürlükleri üzerinde tasarruf yetkilerini kullanmalarını teminat altına alır. Açık rıza, basit bir izin vermenin ötesinde, hukuki sonuçlar doğuran ve veri sorumlusuna veri işleme süreçlerinde meşru bir zemin hazırlayan temel bir hukuka uygunluk sebebidir. Bu makalede, uzman bir hukuki perspektifle, açık rızanın niteliği, geçerlilik koşulları, dijital ve fiziksel ortamlarda alınma şekilleri ile rızanın geri alınmasının hukuki etkileri detaylıca ele alınacaktır.

Açık Rızanın Hukuki Niteliği ve Geçerlilik Şartları

Açık rızanın hukuki niteliği doktrinde çeşitli tartışmalara konu olmakla birlikte, genel kabul gören hukuki görüşe göre bireyin kişiye sıkı sıkıya bağlı hakları çerçevesinde verdiği bir hukuka uygunluk sebebidir. Rızanın geçerli ve hukuka uygun olabilmesi için kanun koyucu üç temel şart öngörmüştür. Bunlardan ilki, rızanın belirli bir konuya ilişkin verilmesi şartıdır. Veri sorumluları tarafından alınan ucu açık, muğlak veya genel nitelikli muvafakat beyanları, hukuken geçersiz kabul edilmektedir. İlgili kişinin, kişisel verilerinin hangi spesifik işleme faaliyeti için kullanılacağını net bir şekilde bilmesi ve onayını yalnızca bu işleme faaliyetiyle sınırlı olarak vermesi zorunludur. Kişisel Verileri Koruma Kurulu kararlarında da genel nitelikli gizlilik bildirimleri ile alınan rızaların açık rıza yerine geçemeyeceği, her bir veri işleme faaliyeti için spesifik ve ayrı onay alınması gerektiği açıkça ifade edilmektedir.

İkinci geçerlilik şartı, açık rızanın aydınlatma yükümlülüğüne uyularak ve mutlaka bilgilendirilmeye dayalı olarak alınmasıdır. Bireylerin açık rıza göstermeden önce; verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, veri toplama yöntemi ve hukuki sebebi hakkında açık, sade ve anlaşılır bir dille bilgilendirilmesi gerekmektedir. Veri sorumlusunun aydınlatma ve açık rıza alma süreçlerini birbirinden ayrı olarak yürütmesi, uygulamanın hukuka uygunluğu açısından kritik bir zorunluluktur. Bireylerin uzun, karmaşık ve teknik terimlerle dolu hukuki metinler içinde kaybolmadan neye onay verdiklerini tam olarak anlamaları sağlanmalıdır. Bu şart yerine getirilmediğinde, şeffaflık ilkesi ihlal edilmiş olacağından alınan rıza hukuken geçersiz sayılacak ve dayandığı veri işleme faaliyeti kanuna aykırı bir nitelik kazanacaktır.

Üçüncü temel hukuki şart ise, alınan rızanın hiçbir şüpheye mahal vermeyecek şekilde özgür iradeyi yansıtması zorunluluğudur. Bireyin herhangi bir baskı, zorlama, tehdit veya hile altında kalmaksızın, tamamen kendi isteğiyle onay vermesi kanuni bir şarttır. Özellikle işçi ve işveren gibi taraflar arasında güç dengesizliğinin bulunduğu hiyerarşik ilişkilerde, çalışanın verdiği rızanın gerçekten özgür iradeye dayanıp dayanmadığı otoritelerce titizlikle incelenmektedir. Ayrıca, bir mal veya hizmetin sunulmasının doğrudan açık rıza verilmesi ön şartına bağlanması, özgür iradeyi sakatlayan ve ölçülülük ilkesiyle bağdaşmayan hukuka aykırı bir dayatma olarak kabul edilmektedir. Bireyin rızasını vermeme veya geri çekme durumunda herhangi bir olumsuz sonuçla karşılaşmaması, rızanın gönüllü ve bilinçli bir tercih olmasının en temel hukuki güvencesidir.

Açık Rızanın Alınma Şekilleri ve İspat Yükümlülüğü

Kanun koyucu, kişisel verilerin işlenmesi sürecinde açık rızanın alınmasına yönelik katı bir şekil şartı öngörmemiştir. Yasalaşma aşamasında yazılı, sözlü veya elektronik ortam gibi ifadeler metinden çıkarılmış, yöntemin belirlenmesi gelişen teknolojiye ve veri sorumlularının takdirine bırakılmıştır. Ancak, rızanın hangi yöntemle alındığından bağımsız olarak, veri işleme süreçlerinde ispat yükümlülüğü tamamen veri sorumlusunun üzerindedir. Veri sorumlusu; rızanın hukuka uygun şekilde, bilgilendirilmiş olarak ve özgür iradeyle alındığını her türlü hukuki süreçte kesin delillerle ispat etmekle mükelleftir. Bu ispat yükümlülüğünün yerine getirilebilmesi için fiziksel evrakların saklanmasının yanı sıra; Kayıtlı Elektronik Posta (KEP), güvenli elektronik imza veya mobil imza gibi inkar edilemez dijital onay yöntemlerinin tercih edilmesi şirketlerin hukuki güvenliğini artıracak stratejiler arasında yer almaktadır.

Dijital platformlarda rızanın hukuka uygun şekilde alınması ve kayıt altına alınması için uygulanan mekanizmaların, kullanıcının aktif irade beyanını yansıtması gerekmektedir. Hukuk sistemimizde ve Avrupa Birliği uygulamalarında pasif rıza (opt-out) veya önceden işaretlenmiş onay kutucukları geçerli bir rıza olarak kabul edilmemektedir. Veri sorumlularının özellikle dijital mecralarda açık rıza alırken dikkat etmesi ve uygulaması gereken temel hukuki yöntemler şunlardır:

• Opt-in Yöntemi: Kullanıcının verilerinin işlenmesine açıkça ve aktif bir eylemle (kutucuk işaretleme, buton tıklama vb.) onay vermesidir ve hukuken geçerli temel rıza mekanizmasıdır.
• E-posta ile Rıza: Aydınlatma yükümlülüğü eksiksiz olarak yerine getirildikten sonra, kimlik teyidi sağlanarak kullanıcının onayının elektronik posta kayıtları üzerinden belgelenmesidir.
• Çerez Yönetim Panelleri: Özellikle reklam ve analitik çerezleri için kullanıcılara "tümünü kabul et" dayatması yapılmaksızın; "kabul et", "reddet" ve "tercihleri düzenle" seçeneklerinin eşit ve adil bir vurguyla sunulmasıdır.

Rızanın Geri Alınabilirliği ve Hukuki Etkileri

Açık rıza, hukuki niteliği gereği tek taraflı olarak her an geri alınabilen bir irade beyanıdır. Veri koruma hukukunun en önemli prensiplerinden biri, açık rızanın geri alınmasının, verilmesi kadar kolay olması gerekliliğidir. Veri sorumluları, rızasını iptal etmek isteyen bireylerin önüne karmaşık prosedürler veya gereksiz bürokratik engeller çıkaramaz. İlgili kişi rızasını geri aldığı andan itibaren veri sorumlusunun söz konusu veri işleme faaliyetini derhal durdurması ve eğer kanuni saklama yükümlülüğü gibi başka bir hukuka uygunluk sebebi bulunmuyorsa kişisel verileri derhal silmesi veya anonim hale getirmesi yasal bir zorunluluktur. Ancak önemle vurgulanmalıdır ki bu geri alma işlemi geçmişe etkili sonuç doğurmaz; bir başka deyişle rızanın geri çekilmesinden önce rızaya dayanarak usulüne uygun gerçekleştirilmiş olan veri işleme faaliyetleri, geçerliliğini ve hukuka uygunluğunu korumaya devam eder.