A. GİRİŞ
07.04.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile hayatımıza giren kavramlardan bir tanesi kişisel verilerimizin işlenmesi için verdiğimiz açık rıza kavramıdır. KVKK’nın “Tanımlar” başlıklı 3. maddesinde, açık rıza: “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.
Bu yazıda KVKK kapsamında açık rızanın unsurları ve kişisel verilerin işlenmesi için açık rıza aramayan haller incelenecektir.
B. KİŞİSEL VERİLERİN İŞLENMESİ VE AÇIK RIZA
Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilerin ancak ilgili kişinin açık rızası ile işlenebileceği Anayasa’da ve KVKK’nın çeşitli maddelerinde belirtilmiştir.
Anayasa’nın 20. maddesinin 3. fıkrası: “…Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir…” ve KVKK‘nın 4. maddesinin 1. fıkrası: “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.”, 5. maddesinin 1. fıkrası: “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.”, 6. maddesinin 2. fıkrası: “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”, 8. maddesinin 1. fıkrası: “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.”, 9. maddesinin 1. fıkrası: “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” şeklindedir.
KVKK, açık rızanın alınmasını herhangi bir şekil şartına bağlamamıştır. Açık rıza, yazılı şekilde alınabileceği gibi sözlü şekilde ya da elektronik ortamda alınabilir. Ancak; açık rızanın alındığına dair ispat yükümlülüğü veri sorumlusuna[1] ait olduğundan yazılı şekilde alınması daha doğru olacaktır.
Açık rızanın verilmesi, kişiye sıkı sıkıya bağlı bir haktır. Bu nedenle verilen rıza, geri alınabilir. Rızanın geri alınması ileriye yönelik sonuç doğurur, beyanın veri sorumlusuna ulaştığı andan itibaren hüküm doğuracaktır. Veri sorumlusu, kural olarak verileri işlemeyi durdurur.
Açık Rızanın Unsurları
KVKK’nın 3. maddesinde yer alan açık rıza tanımından çıkarılabileceği üzere, açık rızanın 3 ana unsuru bulunmaktadır. Bunlar:
Belirli bir konuya ilişkin olması,
Bilgilendirilmeye dayanması, ve
Özgür iradeyle açıklanmasıdır.
a. Belirli bir konuya ilişkin olması
Battaniye rıza olarak tanımlanan; belirli bir konuyla sınırlandırılmayan ve genel nitelikte olan açık rızalar hukukumuzda geçersiz sayılmaktadır. Veri işleme işlemleri için kişilerin verdikleri açık rızanın geçerli olabilmesi, açık rızanın belirli bir konuya ilişkin ve yalnız o konuyla sınırlı olmasına bağlıdır. Yapılacak ikincil işlemler için ayrı rıza alınması gerekmektedir.
b. Bilgilendirmeye dayanması
Kişinin hangi konu/konulara rıza gösterdiğini bilmesinin yanı sıra neye rıza gösterdiği ve bunun sonuçları hakkında da bilgi sahibi olması gerekmektedir. Bu nedenle, verilerin işlenmesinden önce, kişisel verilerin hangi amaçla kullanılacağı hakkında bilgi veren, veri işlemeye dair bütün konularda açık ve kişi tarafından anlaşılabilecek bir bilgilendirme yapılmalıdır. Kişinin anlayamayacağı terimler; eğer yazılı bir metin varsa, okumakta güçlük çekeceği küçük puntolar kullanılmamalıdır.
c. Özgür iradeyle açıklanması
Açık rıza, özgür bir irade beyanıdır. Rızanın geçerlilik kazanabilmesi için kişinin kendi kararı ile bu rızayı vermesi gerekmektedir. İradeyi sakatlayan hallerin varlığında; tarafların eşit olmadığı/birbirini etkilediği veya açık rıza verilmesinin bir ürün veya hizmet sağlamak için ön şart olarak ileri sürülmesi durumlarında açık rıza özgür iradeye dayanmayacaktır.
C. KİŞİSEL VERİLERİN İŞLENMESİ İÇİN AÇIK RIZA ARANMAYAN HALLER
KVKK’nın “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinin 2. fıkrasında, aşağıda sayılan şartların varlığı halinde, istisnai olarak, ilgili kişinin açık rızası aranmadan kişisel verilerin işlenmesi mümkün kılınmıştır. Bu şartlar:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ve
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Diğer yandan KVKK’nın 6. maddesinde belirtildiği üzere özel nitelikli kişisel veri olan veriler de kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Bu veriler: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Yine özel nitelikli kişisel veri olan sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
D. SONUÇ
Verilen bilgiler ışığında; ilgili kişilerin başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerinin yükümlülükleri ile uyulacak usul ve esasları düzenlemeyi amaç edinen KVKK, açık rıza kavramı ile ilgili kişilere istisnai durumlar haricinde kendi kişisel verileri üzerinde hakimiyet kurma hakkı tanımaktadır.
İlgili kişiler, açık rızalarını nasıl vereceklerini, rıza verebilmek için ne tür bilgilere ihtiyaç duyduklarını ve sahip oldukları hakları bilmeli; buna uygun hareket etmelidir.
[1] Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
29.01.2021