İçindekiler
KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDA AÇIK RIZA KAVRAMI Nedİr?
Kişisel verilerin korunması hakkı hem uluslararası alanda Avrupa İnsan Hakları Sözleşmesinin 8.maddesi ile hem de ulusal alanda Türkiye Cumhuriyeti Anayasası’nın 20.maddesi ile temel hak ve özgürlük olarak düzenlenmektedir. Kişinin kendi verileri üzerinde serbestçe tasarrufta bulunabilme ve bu verilerin geleceğini tayin edebilme hakları da kaynağını bu temel hak statüsünden almaktadır. Bunun bir yansıması olarak gerek uluslararası ve ulusal düzenlemelerde kişisel verilerin işlenmesi, depolanması, transferi gibi faaliyetlerde ilgili kişinin rızası eylemin hukuka uygunluk nedeni olarak kabul edilmektedir.
Kişisel verilerin korunması hukukunda açık rıza kavramı ile ilgili ülkemizdeki hakim düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda açık rızanın varlığı, kişisel verilerin işlenmesi (m.5), özel nitelikli kişisel verilerin işlenmesi (m.6), kişisel verilerin yurt içine (m.7) ve yurtdışına aktarılması (m.8) için bir hukuka uygunluk hali olarak düzenlenmiştir. (1)
Kanunun 5.maddesinin 2.fıkrasında sayılan ve daha üstün nitelikteki özel veya kamusal yararın söz konusu olduğu veri işleme faaliyetleri istisna tutulmak kaydıyla genel kural veri işleme faaliyetinin hukuka uygun gerçekleştirilmesi için ilgili kişinin açık rızasının alınmasıdır.
Türk hukukunda rıza kavramı çeşitli mevzuatlar içerisinde eylemin hukuka uygunluk sebebi olarak düzenlenmiştir. Bu düzenlemelerden farklı olarak KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDA AÇIK RIZA KAVRAMI düzenlenerek kanunda sayılan istisnai haller dışında ilgili kişinin açık rızası ile eylemin hukuka uygun olacağı kabul edilmektedir. AB hukukunda hakim düzenleme olan GDPR ise kişisel verilerin işlenmesi ve aktarılmasında “rıza” kavramını hukuka uygunluk nedeni olarak düzenlerken yalnızca özel nitelikli kişisel verilerin işlenmesinde “açık rıza” aranacağını belirtmektedir. Bu farklılık başta Avrupa Birliği düzenlemeleri kapsamında daha esnek ve genel bir rıza ile kişisel veri işleme faaliyetinin gerçekleştirilebileceği gibi bir algı yaratsa da aslında özellikle GDPR’da tanımı yapılan rıza, KVKK’da belirtilen açık rızayı da içeren daha kapsamlı bir düzenlemedir.
6698 sayılı kanunda; kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan, özgür irade ile verilmiş olma şartları sayılarak açık rızanın unsurları belirtilmiştir. GDPR kapsamındaki rıza ise veri sahibinin kendisiyle ilgili kişisel verilerin işlenmesini kabul ettiğini, bir beyanla veya açık onaylayıcı eylemle ortaya koyan, ilgili kişinin isteklerinin özgürce verilmiş, konuya özel, bilgilendirilmiş ve kesin bir gösterge olarak tanımlanmıştır. GDPR’ın 32. gerekçesinde de rızanın serbest bir şekilde, belirli, bilgilendirilmiş şekilde ve tereddüde mahal bırakmayacak açıklıkta şekilde yazılı, elektronik yolla veya sözlü olarak verilebileceği düzenlenmiş, aynı madde de rızanın varlığını ispatın veri sorumlusuna ait olduğu belirtilmiştir. GDPR kapsamında rızanın zımni olarak verilemeyeceği, olumlu bir irade beyanı şeklinde ortaya koyulmasının ve ispatının gerektiği düzenlenerek “açık rıza”yı da kapsayan bir tanım yapılmıştır.
Açık Rızanın Şartları Nelerdİr?
Kanun açık rızanın unsurlarını açıkça belirttiğinden kanunda sayılan istisnai haller dışında bir veri işleme faaliyetinin hukuka uygun olması bu unsurlar sağlanarak alınmış bir açık rızanın mevcudiyetine bağlıdır. Bu durumda alınan rızada kanunda sayılan unsurların mevcudiyeti, rızanın ne zaman ve ne şekilde alındığı değerlendirilmelidir.
3.1. Açık Rızanın Unsurları Nelerdir?
3.1.1. Rızanın Belİrlİ Bİr Konuya İlİşkİn Olması
KVKK’nın 3.maddesi ve GDPR’ın 5/1-b maddesi ortak bir şekilde açık rızanın belirli bir konuya ilişkin olarak alınması gerektiğini düzenlemektedir. İki düzenlemenin de “sınırlı amaç” ilkesini benimseyerek rıza verilen amacın zamanla aşamalı olarak genişletilmesine karşı bir güvence oluşturmayı amaçlamaktadır. (2)
Açık rızanın rıza gösterilen belirli bir konuya ilişkin ve o konuyla sınırlı olarak verilmesi gerekmektedir.
Veri sorumlusu/veri işleyen, hangi kişisel verilerin, ne amaçlarla, ne kadar süre işleneceği, veri sahibinin haklarının neler olduğu gibi her unsur için bilgilendirmeye dayalı ve verinin kullanılacağı konuya ilişkin olarak açık rıza almalıdır. Bu durum özellikle kişisel verileri birden fazla amaç için işleyen veri sorumluları açısından önem arz etmektedir. Bir mal veya hizmet sunulmasında birden fazla amaç için birden fazla işleme faaliyeti gerçekleştirilebilir. Bu gibi durumlarda, veri sahipleri bir dizi işleme amacına onay vermek zorunda kalmak yerine hangi amacı kabul edeceklerini seçmekte özgür olmalıdır. Bu durumda veri sahibine ilgili hizmeti alması için gerekli olan asgari veri işleme faaliyetleri dışındaki işlemeler için rıza göstermesini zorunlu tutan rıza alma eylemleri hukuka aykırı olacaktır.
Verilen rızanın konusu veya amaçları değiştiği takdirde hukuka uygun bir veri işleme faaliyetinin mevcut olabilmesi için ilgili kişiye yeni mevcut duruma ilişkin bir bilgilendirme yapılarak tekrar açık rıza alınması gerekecektir.
Belirli bir konu ve amaç belirtilmeksizin kişinin her türlü veri işleme faaliyetine rıza gösterdiğine ilişkin “şemsiye rıza” veya “battaniye rıza” denilen sınırlandırılmamış, ucu açık, geleceğe yönelik çok kapsayıcı ve genel nitelikte rızalara, belirlilik unsurunu karşılamayacağı için geçerlilik tanımak mümkün görünmemektedir.
Örneğin, “Kampanyalarımızdan haberdar olabilmeniz için ürün ve hizmetlerimizin reklamı ve tanıtımı amacıyla tarafınıza SMS gönderilebilmesini teminen telefon numaranız ve ürün ve hizmetlerin tedariki amacıyla yurtdışında mukim iş ortaklarımıza ad, soyad, telefon numarası ve e-posta bilgileriniz açık rızanız kapsamında aktarılacaktır.” gibi bir ifadenin altında yer alan “Onaylıyorum.” seçeneğinin işaretlenmesi açık rızanın Kanuna uygun bir biçimde alındığı anlamına gelmeyecektir. (3)
Veri sorumluları, özellikle veri sahibinin rızasının işleme faaliyeti için hukuki dayanak oluşturduğu durumlarda, mümkün olduğunca veri sahibinin taleplerine uygun hareket etmelidir.
3.1.2.Rızanın Bİlgİlendirmeye Dayalı Olarak Alınması
Rızanın bilinçli olabilmesi için rıza veren kişinin hangi kişisel verilerinin işleneceği, hangi amaçlarla işleneceği, hangi süreyle işleneceği, kanuni hakları, veri işleyenin sorumlulukları ve verilerin nasıl korunacağı konularında aydınlatılmış olması gerekmektedir. Öncelikle birey, verilerin nasıl işleneceği hakkında bilgilendirilir, ardından veri işlemeyi kabul edip etmemek konusunda bir seçim imkanıyla donatılır. (4)
Veri öznesinin aydınlatıldığından söz edilebilmesi için şu hususlar ölçüt alınabilir;
(a) Veri öznesi, neye rıza göstereceğini anlama noktasında yetkinliğe sahip bir yetişkin mi, değilse yasal temsilcisi mevcut mu?
(b) Rıza, yazılı olarak alınmış mı?
(c) Rıza, akla uygun ve inandırıcı mı?
(ç) Rıza, bağımsız bir karar verme sürecinin ürünü mü?
(d) Rıza, güncel mi?
(e) Hangi verilerin toplanacağı, kullanılacağı ve paylaşılacağı açıkça belirtilmiş mi?
(f) Veriler belirli bir amacı gerçekleştirmek üzere toplanmış mı?
(g) Verileri korumaya yönelik hangi önlemlerin alınacağı açıkça belirtilmiş mi?
(h) Verileri işleyen ve verilerin işlenmesinden sorumlu olan kişiler belirli mi?
(ı) Veri öznesine tanınan hakların nasıl kullandırılacağı belirli mi?
(j)Veri öznesine konuya özel ve detaylı bilgi verilmiş mi?
(k) Veri öznesine sağlanan bilgi, anlaşılabilir, erişilebilir ve doğru mu? (5)
Uygulamada genellikle “Aydınlatma Metni”, ”Gizlilik Politikası” şeklinde veri sahibine yukarıda sayılan unsurları içeren metinler sunularak bilgilendirme yükümlülüğü gerçekleştirilmektedir. Bu metinler açık, net, ortalama bir kişinin okuyup anlayabileceği şekilde hazırlanmış, karmaşık terimler içermeyen şekilde oluşturulmuş ve veri sahibinin kolayca görebileceği ve ulaşabileceği bir yere yerleştirilmiş olmalıdır. (6)
Aynı zamanda rızanın kişiye sıkı sıkıya bağlı ve kişinin kendine ait verileri üzerinde tasarruf etme imkanı tanıyan bir hak olması sebebiyle ilgili kişi bunu hangi şartlar altında ve hangi yöntemlerle geri alabileceği hususunda bilgilendirilmelidir.
3.1.3.Rızanın Özgür İradeye Dayanması
Kişisel verilerin korunması hakkı bir temel hak olduğundan veri sahibi bu hakkını özgürce kullanabilmeli, verilerin işlenmesini veya işlenmemesini seçebilme özgürlüğüne sahip olması gerekmektedir. Veri sahibinin rıza vermediği durumlarda ayrımcılığa maruz kalması, kötü muamele veya bir zarar görmesi vb. sonuçlarla karşılaşması söz konusuysa özgür iradeye dayanan bir rızadan söz edilemeyecektir. KVKK içerisinde rızanın “özgür iradeye dayanan” şekilde verilmesinin belirtilmesiyle yetinilmişken GDPR’da bu konu Resital 42 ile “veri öznesinin gerçek veya özgür seçimi yoksa veya zarar görmeden rızayı reddedemez veya geri çekemezse, rıza özgürce verilmiş olarak kabul edilmemelidir” şeklinde düzenlenmektedir.
Kurum ve Adalet Divanı kararlarında taraflar arasında hiyerarşi örneğin işçi işveren ilişkisi bulunan hallerde işçinin kişisel verilerinin işlenmesine rıza göstermemesi halinde işini kaybetme riskiyle karşı karşıya kalması rızanın özgürce verilmediği anlamına geldiğine ve veri işleme faaliyetinin hukuka aykırı olarak değerlendirilmesi gerektiğine hükmetmektedir.
Aynı zamanda kurum kararlarında temel mal veya hizmetin sağlanmasında açık rıza verilmesinin şart olduğu haller de hukuka aykırı olarak değerlendirileceği ortaya konmuştur. Örneğin bir hizmet sağlayıcısının sunduğu üyelik sözleşmesinde kişisel verilerin işlenmesinin kişiye dayatılması halinde, temel hizmetin açık rıza şartına bağlanmasının açık rızayı sakatlayacağını, bunun veri sorumlusunca hakkın kötüye kullanılması olarak değerlendirileceğini ve kanunun 18.maddesi uyarınca idari yaptırım uygulanması gerektiği kurum kararı ile ortaya koyulmuştur. GDPR ile ise bu husus çok daha açık ve kesinlik gerektiren şekilde düzenlenmiştir. Buna göre sözleşmenin hüküm ve koşulları içerisinde müzakere edilemez şekilde yerleştirilmiş olan (bundled) rızalar kabul edilemeyeceği düzenlenmiştir. (7) Adalet Divanı önüne gelen uyuşmazlıkta, kullanıcı çekilişe katılmak için kutucuğu işaretlemek zorunda bırakılmıştır. Bu işaretleme ile de, kullanıcı çerez (cookies) kullanımına izin vermektedir. GDPR’ın 7/4. maddesiyle kullanıcıyı asıl hizmetten yararlanmak için bu tür aceleye getiren rıza alma şekilleri yasaklanmıştır.
3.2. Açık Rıza Ne Zaman Alınmalıdır?
KVKK’da ve genel hükümlerde, rızanın ne zaman alınacağı hususunda açık bir hüküm olmamasına karşın genel hukuka uygunluk nedeni olan rızanın müdahaleden önce var olması gerektiğinden yola çıkarak veri işleme faaliyetinden önce açık rızanın alınmış olması gerektiği ifade edilmektedir.
Aynı şekilde, kişisel veri işleme faaliyeti başladıktan sonra alınan rıza, teknik anlamda bir icazet niteliğinde olmakla birlikte, veri işleme faaliyetini baştan itibaren hukuka uygun hale getirmeye yetmeyecek, ancak rızanın verilmesi anından itibaren hukuka uygun hale getirecektir. Bu durumda kişisel verilerin rıza alınmadan işlenmeye başlanması ile rızanın verilmesi anına kadar olan süreçte hukuka aykırı bir veri işleme faaliyeti söz konusu olacaktır. (8)
Kişisel Verilerin Korunması Kurumu tarafından Amazon Türkiye Perakende Hizmetleri Limited Şirketi hakkındaki verilen 27/02/2020 tarihli kararda kullanıcıların sadece siteye giriş yapmasıyla birlikte çerezlerin toplandığı bu durumda kişisel verilerin işlenmesinden sonra rıza alınmasının hukuka uygun olmayacağı ve bu durumun hukuka aykırı bir veri işleme faaliyeti olarak kabul edildiği ortaya koyulmuştur.
3.3.Açık Rıza Hangi Şekilde Alınmalıdır?
Açık rızanın ne şekilde alınacağına ilişkin olarak hem KVKK hem GDPR içerisinde bir düzenleme yer almaktadır. Bu durumda genel kural olarak TBK.12 gereği taraflar arasında şekil serbestisi olduğu kabul edilebilir. Ancak hem Kişisel Verileri Koruma Kurumu hem de GDPR rızanın ispatının veri sorumlusuna ait olduğunu düzenlemektedir. Bu durumda her ne kadar sözlü olarak rıza verilmesinde kanunen bir engel olmasa da veri sorumlusu tarafından bu rızanın varlığını ve unsulara uygunluğunun ispatı noktasında zorluklar çıkabilecektir. Bu nedenle veri sorumluların yazılı olarak veya sonradan ispat edilebilecek şekilde kayıt altına alınmış başkaca yöntemlerle rıza almaları gerekmektedir. SMS, e-posta, açık rıza metni, onay formunun doldurulması gibi sonradan ispat edilebilen ve veri sahibinin olumlu irade beyanını içeren açık rızalar hukuka uygun olacaktır.
Açık rızanın veriliş şekli ile ilgili KVKK’da net bir düzenleme bulunmamasının yanında GDPR’da bu husus “beyan ya da aktif eylem” şeklinde belirtilmesi gerektiği şeklinde ortaya koyulmaktadır. Bu durumda kişinin zımni ya da varsayılan rızasına dayanarak veri işleme faaliyeti yapılamayacaktır.
Uygulamada genellikle mal ve hizmet sağlayıcılarının veri sahibine kişisel verilerinizin işlenmesini kabul ediyorsanız aşağıdaki kutucuğu tıklayın şeklinde seçenek sunduğu ve veri sahibinin bu şekilde rızasını gösterdiği görülmektedir. Bu hallerde dikkat edilmesi gereken rızanın yokluğu varsayılarak kişiye seçme şansı sunulmasıdır. Kişinin rızasının yokluğu esas alınarak, eğer rızası var ise bunu olumlu bir irade beyanına yönelik aktif bir eyleme dökmesinin sağlanması; rıza verdiğini belirtir kutucuğu işaretlemesi gerekmektedir. Bu şekilde alınan rızalar “opt-in” rıza olarak hukuka uygun değerlendirilmektedir. Ancak önceden işaretlenmiş kutucuklarla kişinin rızasının varlığı kabul edilip rızanın yokluğunun belirtilmesi için bir eylem gerçekleştirilmesi gerekiyorsa “opt-out” rıza söz konusu olacaktır. Bu hallerde olumlu iradeyi göstermek için değil olumsuz iradeyi göstermek için bir eylemde bulunulacağından hukuka uygun bir rızadan bahsedilemeyecektir.
Kişisel Verileri Koruma Kurumu’nun 27/02/2020 tarihli Amazon Perakende Hizmetleri Limited Şirketi kararında mal ve hizmet sağlayıcısının üyelik formunda promosyon e-postalarına dair herhangi bir açık rıza almamış olduğu, üyelik ayarları içerisinde promosyon e-postaları olarak 10 kutucuğun otomatik işaretli olduğu, kişilerin açık rızasının alınmadığı ama varsayıldığı ve böyle bir işleme faaliyetinin hukuka aykırı olduğu belirtilmiş, bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekliliği üzerinde durulmuştur.
3.3.1.Açık Rıza Metnİ Nedİr?
Uygulamada sıklıkla karşılaşılan bir rıza alma yöntemi ise “Açık Rıza Metni”dir. Bu metinle gizlilik politikası veya aydınlatma metni ile bilgilendirilen kişinin kişisel verilerinin işlenmesine ilişkin rızası kayıt altına alınmaktadır. Bir açık rıza metninde veri sahibinin istediğinde rızasını geri alabileceği konusunda bilgilendirildiğinin, hangi verilerinin, hangi amaçlarla ve ne şekilde işleneceği veya yurtdışına transfer edileceği konusunda aydınlatıldığının ve bu bilgilendirmeye dayanarak özgür iradesiyle veri işleme faaliyetine rıza gösterdiği beyanın bulunması gerekmektedir.
Av.İrem MUTLU
Antalya Barosu
Kaynakça
1. Anı, Nevzat Ali. Kişisel Verilerin İşlenmesi ve Açık Rıza. İstanbul Üniversites iSosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı Yüksek Lisans Tezi. İstanbul : s.n., 2018. s. 128.
2. Article 29 Working Party Guidelines on consent under Regulation 2016/679. [Çevrimiçi] [Alıntı Tarihi: 19 01 2023.] syf.12. https://ec.europa.eu/newsroom/article29/items/623051/en.
3. Kis¸isel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı. Kişisel Verileri Koruma Kurumu. [Çevrimiçi] [Alıntı Tarihi: 19 01 2023.] https://kvkk.gov.tr/Icerik/5420/2018-90.
4. GENEL VERİ KORUMA TÜZÜĞÜ IŞIĞINDA KİŞİSEL VERİLERİN İŞLENMESİNDE RIZA AÇIKLAMASI. SELEK, Arş. Gör. Ozan. 2, s.l. : Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2019, Cilt 21, s. 924.
5. Custers, Bart, et al., et al. Informed Consent in Social Media Use The Gap between User Expectations and EU Personal Data Protection Law. Script-ed: A Journal of Law and Technology. 2013, Cilt 10, 4, s. 438.
6. ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 15/2011 on the definition of consent. [Çevrimiçi] [Alıntı Tarihi: 19 01 2023.] syf.20. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf.
7. Article 29 Working Party Guidelines on consent under Regulation 2016/679. ARTICLE 29 DATA PROTECTION WORKING PARTY. [Çevrimiçi] 28 11 2017. [Alıntı Tarihi: 25 12 2022.] syf.5. http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936.
8. KİŞİSEL VERİLERİN İŞLENMESİNDE, AÇIK RIZA HUKUKA UYGUNLUK NEDENİNİN, 95/46 SAYILI DİREKTİF VE GDPR’LA KARŞILAŞTIRMALI OLARAK İNCELENMESİ. ÇELİKEL, Serdar. 17, s.l. : Uyuşmazlık Mahkemesi Dergisi, Haziran 2021, Uyuşmazlık Mahkemesi Dergisi, Cilt 9, s. 172,173.
9. ARTICLE 29 DATA PROTECTION WORKING PARTY. Justice and Consumers Article 29 Newsroom. [Çevrimiçi] [Alıntı Tarihi: 19 1 2023.] https://ec.europa.eu/newsroom/article29/items/623051/en.
Comments