Kişisel Verilerin Korunması Kanunu Kapsamında Açık Rıza

1. Açık rıza nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bu tanımdan yola çıkarak açık rıza, usulüne uygun olarak bilgilendirilmiş gerçek kişinin, sahip olduğu kişisel verilerin işlenmesine özgür iradesiyle açık bir şekilde onay vermesi olarak anlaşılabilir.

Açık rıza ile verilerinin işlenmesine izin veren kişi, işlenecek kişisel verilerinin neler olduğunu, hangi kapsamda kullanılabileceklerini, veri işlemenin hangi yollarla gerçekleştirileceğini ve ne zamana kadar verilerin işlenebileceğini de belirlemiş olacaktır.

2. Açık rızanın unsurları nelerdir?
Kanun’un 3. maddesinde yer alan açık rıza tanımı incelendiğinde açık rızanın üç temel unsurunun bulunduğu söylenebilir:

i. Açık rıza belirli bir konuya ilişkin olarak verilmelidir.
Kişisel verilerin işlenmesi için veri sorumlusuna yöneltilen açık rıza, ancak belirli bir konu özelinde ve o konu ile sınırlı olarak verildiği takdirde geçerli olur. Bu bakımdan, örneğin “Kişisel verilerimin işlenmesini kabul ediyorum.” veya “Her türlü ticari işlem, her türlü konuya ilişkin olarak verilerimin işlenmesine rıza gösteriyorum.” gibi geniş, belirsiz ve her yöne çekilebilir irade beyanları açık rıza olarak kabul edilemez. Dolayısıyla hangi kişisel verilerin hangi amaçlarla işlendiğinin açık bir şekilde belirlenmesi gerekmektedir. Kişisel veriler, alınan açık rızanın kapsamı dışında başka bir amaçla işlenecekse, veri sorumlusu bu kapsam için ayrıca rıza almak zorundadır. Kısacası kişisel veriler işlenirken “sınırlı amaç” ilkesi ve “açık rızanın belirli bir konuya ilişkin” olması aranır.

ii. Açık rıza, veri sorumlusu tarafından yapılacak bir bilgilendirme neticesinde verilmelidir.
Veri sorumlusu, açık rıza talebinde bulunmadan önce ilgili kişiyi; veri sorumlusunun kim olduğu, hangi verilerin hangi amaçla işleneceği, açık rızayı geri alma hakkı olduğu gibi hususlarda açık, kapsamlı ve anlaşılır bir şekilde bilgilendirilmelidir bilgilendirme yapılmalıdır. Bu, veri sorumlusunun aydınlatma yükümlülüğünün bir gereğidir.

İlgili kişinin özgür bir irade beyanı ortaya koyabilmesi için veri işleme öncesinde yapılacak bu bilgilendirme (aydınlatma) hayati önem taşır. İlgili kişinin anlamadığı noktalarda bilgilendirme açıklığa kavuşturulmalıdır. Bilgilendirme yazılı veya sözlü olarak yapılabilir, ancak veri sorumlusu bilgilendirmenin yapıldığını ispatla yükümlüdür.

iii. Açık rızanın verildiğine dair irade beyanı, ilgili kişinin özgür iradesi ile açıklanmalıdır.
Açık rızanın özgür iradeye dayanması, kişinin kendi kararını kendisinin vererek bu kararı diğer kişilere özgürce açıklayabilme ve bu davranışlarının bilincine sahip olması demektir. Bu durum özellikle tarafların eşit statüde olmadıkları durumlarda önem kazanır. Örneğin işçi-işveren ilişkisinde işçilerin açık rızalarını özgür iradeleri ile verip vermedikleri hususu tartışılabilir. Bu hususta açık rızanın varlığından bahsedebilmek için işverenin, işçiye açık rıza göstermeme imkânını sağlaması gerekir.

3. Açık rıza nasıl verilir?
Kural olarak açık rızanın verildiğini olumlu irade beyanı ile karşı tarafa bildirmek, rızanın verildiğini kabul etmek için yeterlidir. Bu anlamda, diğer mevzuattaki düzenlemeler saklı kalmak kaydıyla, açık rızanın yazılı bir biçimde alınması gerekmemektedir. Veri sorumlusu farklı yollarla da (örneğin internet sitesi üzerinden veya telefon yolu ile) ilgili kişinin açık rızasını alabilir. Fakat bu husustaki ispat yükü veri sorumlusunun üzerindedir.

4. Açık rıza geri alınabilir mi?
Kişisel verilerin işlenmesi için açık rıza vermek kişiye sıkı sıkıya bağlı bir haktır. Dolayısıyla ilgili kişi istediği zaman vermiş olduğu açık rızayı geri alabilir. Veri sorumlusu, açık rıza beyanının geri alınmasına ilişkin beyanın kendisine ulaştığı andan itibaren veri işlemeye ilişkin faaliyetleri durdurmakla yükümlüdür.

5. Bir hizmet sunmak için ön şart olarak açık rıza şart koşulabilir mi?
Hayır. İlgili kişinin almak istediği bir hizmet veya ürün için ön şart olarak açık rızanın istenmesi, açık rıza verilmemesi halinde hizmetin de verilmemesi durumunda kişinin özgür iradesiyle verdiği bir açık rızadan bahsedilemez. Bu şekilde açık rızayı hizmet şartı olarak ileri sürüp temin edilen açık rızalar, geçerli kabul edilmemektedir.

6. Kanunda var olan işleme şartlarına rağmen açık rıza alınabilir mi?
Hayır. Kanunda açık rıza alınmaksızın kişisel veri işlenebilecek haller şöyle belirlenmiştir:

(i) Kanunlarda açıkça öngörülmesi,
(ii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
(iii) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
(iv) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
(v) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
(vi) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
(vii) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri sorumluları bazı hallerde, Kanunda yer alan ve açık rıza gerekmeksizin veri işlenmesine müsaade edilen hallerde dahi ilgili kişilerin açık rızasına başvurmaktadır. Dikkat etmek gerekir ki, yukarıda sayılan şartların var olmasına rağmen açık rıza alınması halinde ilgili kişide, kişisel verilerinin açık rızasına dayalı olarak işlendiği ve bu rızasını istediği zaman geri çekebileceği izlenimi yaratılmaktadır. Ancak söz konusu veriler ilgili kişinin açık rızasına değil, Kanunda yer alan işleme şartlarına dayalı olarak işlenmektedir. Haliyle açık rızanın geri alınması halinde dahi veriler işlenmeye devam edilecektir. Bu nedenle, Kanun’da yer alan işleme şartlarının varlığı halinde kişiyi yanıltan ve yanlış yönlendiren bu şekildeki açık rıza alma faaliyetleri hukuka aykırıdır.