Kişisel Verisi İşlenecek Kişinin Açık Rızasının Alınması

KVK uygulamaları açısından karşımıza çıkan en önemli konulardan birisi açık rıza alınmasıdır. Açık rıza kavramı KVK Kanunun 3. maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.

Kanun çerçevesinde açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Benzer düzenleme Anayasamızda da yer almaktadır. Bu çerçevede kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi ve aktarılması yasaktır.

Açık rıza açıklamasının veri işleyen açısından önemi ise gerçekleştireceği fiil konusunda ona yol göstermesidir. Açık rıza açıklaması, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlayacaktır.

Olumlu İrade Beyanı Gerekli, Ama Yazılı Olması Şart Değil
Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Dolayısıyla ilgili kişiye “verilerinizin işlenmesini istemiyorsanız belirtiniz” gibi istekte bulunulmamalıdır.
Ancak diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

1) Belirli Bir Konuya İlişkin Olması

Veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre, ilgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.

Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir.

Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.

2) Bilgilendirmeye Dayanması

Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir. Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de açık ve anlaşılır bir biçimde tam bilgi sahibi olması gerekir. Dolayısıyla verilerin hangi amaçlarla kullanılacağı açıkça belirtilmelidir. Kişinin anlamayacağı terimler kullanılması ya da okumakta güçlük çekilecek boyutta olan küçük puntolar ile yazılı belge sunulması yeterli olmayacaktır.

3) Özgür İradeyle Açıklanması

Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermediği kabul edilir.

İşçi-işveren ilişkisinde olduğu gibi tarafların eşit olmadığı konumda rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye verilmediği sonucuna varılacaktır.

Yine aynı şekilde, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olması durumunda da özgür iradeden bahsedilemez.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir