img-01

Haber & Etkinlikler

Bilgi Arama

Kişisel Verilerin İşlenmesinde Açık Rıza Alınması Şartı

2022-06-16

SAYI : ÖZDERİN 2022/19

 

Kişiler, gündelik hayatları esnasında ister istemez kendilerine ait bilgileri üçüncü taraflarla paylaşabilmektedir. Bilişim sistemlerinin gün geçtikçe gelişmesi ise kişilere ait bu bilgilerin depolanmasını ve aktarılmasını kolaylaştırmaktadır. Bu durum, veri sahibi ilgili kişiler aleyhine sonuç doğması ve bazı gerçek ve tüzel kişilerin haksız kazanç sağlama ihtimalini artırdığından veri toplama, depolama ve aktarma faaliyetleri müstakil bir kanun ile bazı kurallara tabi tutulmuştur. Söz konusu kanun, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olup 3. maddesi ile kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi kişisel veri olarak tanımlamaktadır.

ÖZDERİN 2022/13 sayı Kişisel Verilerin İşlenmesi hakkındaki bültenimizde; kişisel verilerin neler olduğundan, kişisel veri işleme faaliyetinin ne olduğundan, bu faaliyetin sınırlarından, kurallarından ve genel ilkelerinden detaylıca bahsedilmişti. Bu bülten yazımızda ise kişisel veri işleme faaliyetlerinde açık rıza alınması şartından, ilgili kişisinden açık rıza alınmadan yapılabilecek veri işleme faaliyetlerinin neler olduğundan ve geçerli bir açık rıza metninin nasıl olması gerektiğinden bahsedilecektir.

T.C. Anayasası md. 20/3[1] ve KVKK md. 5/1[2]; kişisel verilerin işlenmesi faaliyetini kural olarak ilgili kişisinden açık rıza alınması şartına bağlamış ve hukuken geçerli bir açık rıza alınmaksızın yapılacak her türlü kişisel veri işleme faaliyetinin ise idari para cezası yaptırımına tabi tutmuştur. İlgili kişiden alınacak gerekli niteliklere sahip olmayan bir metin ise açık rıza sayılmayacağından hukuki ve cezai yaptırımlarla karşılaşılması ihtimalini bertaraf edemeyecektir. Ancak bazı istisnai hallerde ilgili kişinin açık rızası olmadan da hukuki şekilde kişisel veri işleme faaliyeti yapılabilir. Bu istisnalar KVKK md. 5/2’de sınırlı sayıda sayılmış olup aşağıdaki gibidir;

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Eğer yukarıdaki hallerden herhangi birisi söz konusu değilse ilgili kişinin kişisel verisinin işlenebilmesi mevzuata uygun surette açık rızasının alınması şarttır.

Açık rıza; KVKK md. 3-a’da “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde KVKK gerekçesinde ise “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde tanımlanmıştır. Yani bir metnin geçerli bir açık rıza metni olabilmesi için aşağıda sıralanmış unsurları içermesi gerekmektedir.

  1. Belirli bir konuya ilişkin olması,

Kişisel veri işlemek üzere ilgili kişiden alınacak açık rıza metninde, veri işleme faaliyetinin hangi konuya ilişkin yapılacağı açıkça yazılmalı ve sadece bu konu ile ilgili sınırlı şekilde veri işleneceği özel olarak belirtilmelidir. Aksi takdirde metin, geçerli bir açık rıza metni sayılmayacak ve ilgili kişinin açık rızası olmaksızın veri işlendiği kabul edilecektir.

Belirli bir konuya ilişkin olmayan açık rıza metinleri, literatürde “battaniye rıza” olarak adlandırılmaktadır. Örnek vermek gerekirse, “her türlü ticari işlem/her türlü bankacılık işlemi/her türlü veri işleme faaliyeti için verilerimin işlenmesine açık rıza gösteriyorum” gibi kapsamı geniş, açık uçlu rıza beyanları “battaniye rıza” olarak nitelendirilmekte ve geçersiz kabul edilmektedir.

  1. Rızanın bilgilendirmeye dayanması,

İlgili kişinin açık rızasını geçerli şekilde verebilmesi; neye rıza gösterdiğini, rızasının hukuki sonuçlarını ve rızasından kaynaklanan haklarını etraflıca bilmesine bağlıdır. Bu sebeple, ilgili kişiden açık rıza alırken, açık rıza muhakkak veri işleme faaliyetinden önce alınmalı ve metin içeriğinde, kişinin rızasının hukuki sonuçları ve mevzuattan kaynaklanan hakları açıkça yazılmalıdır. Yani ilgili kişinin verilerinin işlenmesine sonradan icazet vermesi KVKK mevzuatı açısından geçerli değildir.

Açık rızanın yeterli bilgilendirmeye dayanması gerekir. Yeterli bir bilgilendirme yapıldığının kabulü için ise bilgilendirme/aydınlatma metninde;

  • Kişisel verilerin kim tarafından işleneceği,
  • Kişisel verilerin toplanma şekli,
  • Kişisel verilerin depolanma şekli, depolanma süresi,
  • Kişisel verilerin toplanma ve depolanma amaçları,
  • KVKK md. 11’de[3] sıralanmış ilgili kişinin haklarının ve bu haklarını kullanma yollarının neler olduğu gibi belli başlı unsurlar açıkça yazılmalıdır.
  1. Özgür iradeyle açıklanması,

İlgili kişiden alınacak açık rızanın geçerli olabilmesi, kişinin bu rızayı hiçbir etki altında kalmadan özgür iradesiyle vermesine bağlıdır. Bu bağlamda, ilgili kişinin iradesini sakatlayacak her türlü etken rızanın geçersizliği sonucunu doğurabilir. Diğer bir deyişle kişiye bu rızayı geçerli bir sebeple göstermemesi hakkı özgürce tanınmalı ve geçerli bir sebebi varken rıza göstermemesi hali, kişi aleyhine herhangi bir sonuç doğurmamalıdır. Diğer bir deyişle ilgili kişiye hizmet verilmesinin/ilgili kişinin işe alımının ön şartı olarak rıza göstermesi gerektiği dayatılmamalıdır. Bunu sağlayabilmek için ise açık rıza metni içeriğinde kişiye rıza göstermemesi seçeneği de açıkça sunulmalıdır.

Kişisel veri işleme faaliyetinde bulunulacaksa KVKK md. 5/2’de sınırlı sayıda sayılmış hallerden herhangi birisi mevcut değilse muhakkak ilgili kişiden açık rıza alınmalıdır. Burada en önemli husus KVKK md. 5/2’de sayılı istisnalar mevcut olsa dahi eğer ilgili kişinin özel nitelikli bir kişisel verisi işlenecekse bu durum istisna kapsamında değerlendirilmediğinden ilgili kişinin yukarıdaki unsurları ihtiva eden açık rızası alınmalıdır.

İlgili kişiden açık rıza alınması mevzuatta herhangi bir şekil şartına tabi kılınmamıştır. Ancak ilerleyen dönemlerde açık rızanın varlığını ispat edebilmek için yazılı bir metne ilgili kişinin ıslak imzasını alarak açık rıza alınması en güvenilir ve risksiz yol olacaktır.

Açıklandığı üzere,

  • Kişisel veri işleme faaliyeti süreçlerinde KVKK md. 4’te sıralanmış genel ilkelere uyulmalı,
  • Her türlü veri işleme faaliyetinde açık rıza alınması yükümlülüğü olup olmadığı fark etmeksizin KVKK md. 10 ve md.11’de sıralanan şartları içeren bir aydınlatma metni sunulmalı,
  • KVKK md. 5/2’de sayılmış 7 istisnadan birisi mevcut değilse veyahut KVKK md. 6’da açıklanmış özel nitelikli kişisel veri işleme faaliyeti varsa veri işleme faaliyetine başlamadan önce ilgili kişinin geçerli şekilde açık rızası alınmalıdır.
  • Açık rıza alınırken sunulacak bilgilendirme/aydınlatma metninde;
    • Veri işleme faaliyetinin kim tarafından yapılacağı, konusu, amacı,
    • Kişisel verilerin hangi yolla toplanacağı, depolanacağı ve saklama süresi,
    • İlgili kişinin hakları, bu hakları kullanma yollarının neler olduğu açıkça yazılmalıdır,
  • Tek tip rıza metinleri kullanılmamalı, her veri işleme faaliyeti ile ilgili somut, anlaşılır, konu özelinde hazırlanmış ve genel geçer olmayan ayrı bir rıza metni hazırlanmalıdır,

Veri işleme faaliyeti süresince mevzuatın ön gördüğü kriterle uymamak hem hukuki hem cezai sorumluluğa sebep olmakta ayrıca Kişisel Verilerin Korunması Kurulu tarafından re’sen veya ilgili kişinin talebi üzerine yüksek meblağlara varacak idari para cezalarına hükmedilmektedir. Bu sebeple veri işleme faaliyetleri öncesinde ilgili kişileri geçerli bir şekilde aydınlatmak ve açık rıza alınması gereken durumlarda ispata elverişli şekilde açık rızalarını almak gerektiği unutulmamalıdır. Genel geçer rıza metinleri “battaniye rıza” olarak değerlendirilebileceğinden mümkünse dışarıdan ayrıca hukuki destek alınmasını tavsiye ederiz.

Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz.

Saygılarımızla,

Av. Senem Nimet ÇETİN                     Av. İrem Can TANIŞ

Danışmanlık Departmanı                     Danışmanlık Departmanı

 

[1] MADDE 20/3- Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

[2] MADDE 5/1- Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

[3] MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.