Açık Rıza ve Battaniye Rıza Kavramları
Kişisel verilerin işlenme şartları, Türk Hukuku'nda çeşitli alanlarda düzenlenmiştir. Bunlardan ilki, Anayasa'nın "Özel Hayatın Gizliliği" başlıklı 20'nci maddesinde "Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir." ifadesi yer almaktadır.
Anayasa'nın yanında, 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") "Kişisel Verilerin İşlenme Şartları" başlıklı 5'inci maddesinde ve "Özel Nitelikli Kişisel Verilerin İşlenme Şartları" başlıklı 6'ncı maddesinde düzenlenmiştir. Bununla birlikte, kişisel veri işleme faaliyetinin hukuka uygunluğu denetlenirken KVKK'nın "Genel İlkeler" başlıklı 4'üncü maddesinin de dikkate alınması gerekmektedir.
KVKK'nın 5/1. maddesinde "Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez." ve 6/2. maddesinde "Özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır." ifadeleri yer almaktadır.
Kişisel Verilerin Korunması Hukuku ve Türk Hukuku'ndaki diğer düzenlemeler birlikte değerlendirildiğinde, kişisel verilerin işlenmesi kural olarak yasak olup ancak KVKK'da öngörülen istisnai hâllerde ve ilgili kişinin açık rızasının bulunduğu durumlarda hukuka uygun hâle gelecektir.
Açık Rıza Nedir?
Açık rıza kavramı KVKK'nın 3/a maddesinde "Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza." olarak tanımlanmıştır. KVKK'nın ifadesinden anlaşılacağı üzere, açık rıza kavramının üç ana unsuru bulunmaktadır.
Belirli bir konuya ilişkin olma
İlgili kişi tarafından açıklanan rızanın geçerli olabilmesi için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekmektedir. Veri sorumlusu ve veri işleyen tarafından açık rıza beyanının hangi konuya ilişkin olarak alındığının açıkça ortaya konulması gerekmektedir. Buna göre, genel bir irade beyanı ile "Kişisel verilerimin işlenmesini kabul ediyorum." şeklinde beyan edilen açık uçlu ve belirsiz bir açık rıza tek başına KVKK kapsamında geçerli bir "açık rıza" olarak kabul edilmemektedir.Bilgilendirmeye dayalı olma
Açık rıza, ilgili kişi tarafından açıklanan bir irade beyanı olmakla birlikte, kişinin özgür bir şekilde açık rıza gösterebilmesi için, neye açık rıza gösterdiğini bilmesi gerekmektedir. Bu durum KVKK'nın 10'uncu maddesinde düzenlenen "aydınlatma yükümlülüğü" kavramı ile de ilişkilidir. İlgili kişinin sadece açık rızasına ilişkin konu üzerinde değil, aynı zamanda açık rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir.Özgür iradeyle açıklanma
Kişinin irade beyanı olarak ifade edilen açık rıza kavramı, kişinin davranışının bilincinde olması ve kendi kararı olması hâlinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her tür fiil, kişisel verilerin işlenmesi için verdiği rızayı da sakatlayacaktır. Özgür iradeden bahsedebilmek için kişinin bir "seçim hakkı" olduğundan emin olmak gerekmektedir. İlgili kişi, rızasını açıklamadığı hâllerde olumsuz sonuçlara maruz bırakılmamalıdır.
Battaniye Rıza Nedir?
KVKK kapsamında açık rıza, ilgili kişinin sahip olduğu kişisel verisinin işlenmesine, kendi isteği ile ya da veri sorumlusundan gelen talep üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarının, kapsamının ve süresinin de belirlenmesini sağlamaktadır.
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar ise "battaniye rızalar" olarak tanımlanmakta ve hukuken geçersiz sayılmaktadır. Örnek olarak "Her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti" gibi belirli bir konu ve faaliyetle sınırlandırılmayan açık rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.
Örneğin, "Kampanyalarımızdan haberdar olabilmeniz için, ürün ve hizmetlerimizin reklamı ve tanıtımı amacıyla tarafınıza SMS gönderilebilmesini teminen, ürün ve hizmetlerin tedariki amacıyla yurtdışında mukim iş ortaklarımıza ad, soyad, telefon numarası ve e-posta bilgileriniz açık rızanız kapsamında aktarılacaktır." gibi bir ifadenin altında yer alan "Onaylıyorum." seçeneğinin işaretlenmesi açık rızanın KVKK'ya uygun bir biçimde alındığı anlamına gelmeyecektir. Söz konusu örnekte amaçları birbirinden farklı, birden fazla kişisel veri işleme faaliyeti bulunduğundan her faaliyet için ayrı ayrı seçenek sunulması gerekmektedir.
Konu ile ilgili olarak Kişisel Verileri Koruma Kurumu'nun 20.05.2020 tarihli ve 2020/404 sayılı Karar'ında, "veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın "battaniye rıza" olduğu, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği," ifadelerine yer vermiştir. Kurum, veri sorumlusu hakkında, aydınlatma yükümlülüğünün yerine getirilmemesi sebebiyle 50.000 TL ve veri sorumlusunun KVKK kapsamında alması gereken idari ve teknik tedbirleri almaması sebebiyle 200.000 TL idari para cezası verilmesine karar vermiştir.
Açık Rızanın Geri Çekilmesi Mümkün Müdür?
KVKK'da bu konuda bir hüküm bulunmamasına rağmen, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik"in ("Yönetmelik") 6/2. maddesine göre, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştirildiği hâllerde ilgili kişinin açık rızasını geri alması hâlinde, kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir. Dolayısıyla Yönetmelik maddesinin yorumlanmasıyla birlikte ilgili kişinin açık rızasını geri alma hakkına sahip olduğu Doktrin'de kabul edilmektedir.
Açık rızanın geri alınması o ana kadar gerçekleştirilen veri işleme faaliyetlerini geçersiz kılmamaktadır. Ancak açık rızanın geri çekildiği andan itibaren veri işleme faaliyetinin hukuki dayanağı ortadan kalkmış olacağından veri işleme faaliyetine son verilmesi ve bununla birlikte verilerin muhafazası için ayrıca bir hukuki dayanak yok ise açık rızaya dayalı olarak elde edilen verilerin imhası gerekmektedir.
Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Hâller Nelerdir?
Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası olmasa da KVKK'da sayılan şartlar altında, kişisel veri işleme faaliyeti, hukuka uygun bir kişisel veri işleme faaliyeti olmaktadır. Hukuka uygunluk sebebi olarak nitelendirilen bu sebepler KVKK'nın 5/2. maddesinde sayılmaktadır. Bunlar;
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bununla birlikte KVKK'nın "özel nitelikli kişisel verilerin işlenme şartları" başlığı altında düzenlenen 6/2. maddesinde özel nitelikli kişisel verilerin açık rızaya ihtiyaç duyulmaksızın işlenebilmesini sağlayan hukuka uygunluk sebebi açıklanmaktadır. Buna göre, özel nitelikli kişisel veriler arasından sağlık ve cinsel hayat dışındaki özel nitelikteki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir.
Sonuç olarak, KVKK'nın Genel İlkeler ve Kişisel Verilerin İşlenme Şartları kapsamındaki düzenlemeler doğrultusunda veri işleme faaliyetleri gerçekleştirilmelidir. Bu kapsamda; verilerin amaç ve kapsam ile konu bakımından sınırlandırılmaksızın alınan "battaniye rıza" KVKK açısından aydınlatma yükümlülüğüne aykırı niteliktedir.
Kişisel Verilerin Korunması Kurumu tarafından yayınlanan Açık Rıza başlıklı bilgilendirme yazısına buradan ulaşabilirsiniz.
Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.
-
-
Bilgilendirme Metni!