Kvkk Açık Rıza Nedir?

Kvkk Açık Rıza Nedir?

Kvkk Açık Rıza Nedir?

Kvkk Açık Rıza, Rıza Unsurları ve İspatı

6698 SSayılı KVKK’nın tanımlar başlıklı 3.maddesinde açık rıza: “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bunun yanında kişisel verileri sadece Kişisel Verilerin Korunması Hakkında Kanun’da düzenlenmemiş olup Anayasa’mızın 20.maddesi ile de kişilere ait kişisel veriler korunma altına alınmıştır.Anılan madde metnine göre: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” denilmiştir.Buna göre asıl olan “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceğidir. Ayrıca kanun ve anayasa hükümleri ile getirilen sınırlamalar doğrultusunda;

“Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”,

“Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”

“Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”

Kişisel verilerin işlenmesinde,aktarılmasında aranan açık rıza hem ulusal düzeyde hem de uluslarası hukuk arenesında bir çok kanun ve direktife konu olmuştur.Bu düzenlemeler ışığında açık rıza:

Kişisel verilerin işlenmesi için kişinin rızası zorunludur ve ayrıca rıza bulunsa bile kişisel verilerin işlenmesinin hak ve özgürlükleri ihlal edici nitelikte olmaması gerekmektedir.Burada rızanın açık aydınlatılmış bir rıza mı olduğunun değerlendirilmesi gerekmektedir. 65/46/EC sayılı direktirfte kişisel verilerin işlenmesinde rıza hukuka uygunluk koşulu olarak kabul edilmiş ve devam eden maddede ilgili kişişnin açık şekilde rıza göstermemesi halinde temel özgürlükleri veya kişisel mahremiyeti ihlal eden yapıdaki verilerin işlenemeyeceği belirtilmiştir.Yani ilgili direktifte kişisel verilerin işelenebilmesi için rıza ifadesi tercih edilmişken; özel nitelikli veriler için açık rıza ifadesi kullanılmıştır. GDPRD de direktifte olduğu gibi açık rıza aranmıştır. Kişi kişisel verilerin işlenilmesi için rıza verdikten sonra yine aynı şekilde ilgili kişinin(veri sorumlusu, veri işleyen) bilgilendirilmesi halinde başkaca hiçbir koşula bağlı olmaksızın rızasını geri çekebilecektir.Uluslararası hukukda rıza bu şekilde ikili bir ayrıma tabi tutulmasına karşılık ülkemizde 6698 sayılı KVKK’da tüm veriler bakımında açık rıza kavramı kullanılmıştır.Kanuni tanıma göre açık rıza:”Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” dır.6698 sayılı kanunun yanında anayasanın özel hayatın gizliliği ve korunmasıbaşlıklı 20.maddesine 2010 tarihli değişiklik ile eklenen 3.fıkrada da kişisel veriler kanununda öngörülen haller dışında ancak ilgili kişinin AÇIK RIZASI ile işlenebileceği düzenlenmiştir.

AÇIK RIZANIN TAŞIMASI GEREKEN UNSURLAR

1-)Belirli Bir Konuya İlişkin Olma

İlgili kişinin veri sorumlusuna “kişisel verilerin işlenmesini onaylıyorum” bütün kişisel verilerimi her türlü konuya ilişkin olarak işlenmesine rıza gösteriyorum” genel ifadeler kanunda aranan açık rızanın karşılığı olmayıp bunlar kişisel verilerin işlenmesi için hukuka uygunluk şartı olan açık rızanın olmaması sebebi ile geçersizdir.Yani veri sorumlusu herbir ayrı amaç için ayrı ve açık bilgilendirmede bulunmalı ve herbir ayrı amaç için ayrı ayrı ilgilikiçinin AÇIK RIZASINI alnalıdır.

2-)Bilgilendirme Dayanma

İlgili kişinin kanunda aranan açık rızasından bahsedilebilmesi için konuya ilişkin bilgi sahibi olması gerekir.

Bu bilgilendirmenin zaman olarak işleme faaliyetinden önce yapılması zorunludur. Peki hangi konularda bilgilendirmenin yapılması gerekmektedir:

3-)Özgür İrade İle Açıklanmış Olma

Kişinin kendi kararlarını kendisinin verebilme ve bunu dışarıya açıklama özgürlüğüne sahip olması ve yaptığı bu davranışın bilincinde olması anlamına gelir.İradenin cebir, tehdit, hile, aldatma veya hata ile sakatlandığı hallerde Açık Rızadan bahsedilmesi mümkün değildir. Bu hususta veri sorumlusunun zorlamaya varacak derece de ikna etmeye çalışmamasına dikkat etmesi gerekir.

Bu hususlar ışığında veri sorumlusu tarafından hazırlanacak olan açık rıza metninde asgari olarak şu hususlara yer verilmesi gerekmektedir:

Veri sorumlusunun kimliği

Rıza istenen her bir veri işleme faaliyetinin amacı

Hangi tür verilerin toplanacağı ve kullanılacağı

Rızayı geri alma hakkının mevcut olduğu

Otomatik karar almaya konu olacaksa buna ilişkin bilgiler

Yurtdışına transfer halinde uygunluk kararı ve gerekli önlemlerin bulunmaması halinde söz konusu olabilecek riskler

Birden Fazla Rızanın alınması Gerektiği Durumlarda Rıza Nasıl Alınmalıdır?

Hangi konulara ilişkin rıza alınacak ise öncelikle bu hususlar maddeler halinde yazıldıktan sonra alt tarafta tüm işlemleri için rızanın verileceğine ya da onaylamaya ilişkin bir kutucuğun işaretlendirilmesi halinde kanuna uygun bir rızanın alındığından bahsedilemez.Zira birden fazla husus için rızanın gerekli olduğu şartlarda paket halinde hepsinin onaylatılması yerine her bir husus için rıza verdiğine ve vermediğine dair seçeneklerin açıkça sunulması bu hususlardan bazılarına rıza verirken bazılarına da rıza vermeme seçeneğinin tanınması gerekmektedir. Paket halinde alınan rızalar geçersizdir. Ayrıca rızanın verilmemesi halinde ilgili kişiye bazı yaptırımların uygulanacağı ya da mazı hak ve imkanlardan yararlanamayacağından bahisle alınan rızalarda kanun kapsamında geçersiz sayılmakta ve ağır idari para cezaları uygulanmaktadır. Çünkü bu hal ve şartlarda veri sorumlusunun hakkın kötüye kullanılması olarak yorumlanmıştır.

Veri Sorumlusuna Ait İnternet Sitesinde Onay Kutucuğunun İşaretlenmesi Rıza İçin Yeterli Olur Mu?

Açıklanan hususlar doğrultusunda birçok internet sitesinde siteyi ziyaret ettiğimizde karşımıza çıkan onay kutucuğunun işaretlenmesinin istenilmesi ya da sayfada gezinmeye devam ettiğiniz takdirde onaylamış sayılacağına dair ibareler kanun kapsamında geçersiz olacak olup bu şartlar altında kişisel verilerin korunmasının ihlal edilmesi halinde veri sorumlusu idari para cezası ile karşı karşıya kalabilecektir.

Rızanın İspatı

6698 sayılı kanunda aranan şartlara ek olarak GDPR’de rızanın ispatı konusunun veri sorumlusuna ait olduğu hükme bağlanmıştır.Ayrıca GDPR’de rızanın alınmasının en az rızanın verilmesi kadar kolay olması gerektiğini özellikle belirtmiştir.Burada şunu da belirtmek gerekir ki veri işleme şartının varlığı halinde açık rızanın alınması gerkli midir? alınırca sonuç ne olacaktır? Veri işleme şartının varlığı halinde ilgilinin açık rızasına ihtiyaç yoktur.Bu şartlar altında yine de açık rıza alınmışsa bunun geçerliliği bir etkisi olmayacaktır.

İlgili kişi rıza beyanını ıslak imzalı olarak almalı ve bu yolla olası tüm şüpheleri ve gelecekte yanabilecek ispata ilişkin sorunları bertaraf etmelidir.İnternet ortamından alınan rızalarda ise muhakkak ki kişinn eyleminin rızaya yönelik olduğu açık olmalı ve mutlaka kimlik doğrulama prosedürü bulunmalıdır.