01 Şub Geçerli Açık Rıza Beyanı Nasıl Alınır?
6698 sayılı Kişisel Verilerin Korunması Kanunu ( ‘’KVKK’’) ’nun yürürlüğe girmesiyle, ‘’Açık Rıza’’ kavramı da veri sorumluları için büyük önem kazanmıştır.
Her ne kadar veri sorumluları ‘Açık Rıza’ alarak kendilerini hukuki güvence altında hissetseler dahi, ileride çıkacak bir uyuşmazlık durumunda yetkili merciler tarafından işbu açık rızaların geçersiz olduğuna karar verilmesi halinde, açık rızaya dayalı yapılan tüm işlemler de hukuka aykırı hale gelecektir.
Açık rıza beyanlarının hazırlanması, açık rıza alma koşulları, açık rızanın ne zaman alınması gerektiği, geçerlilik süresi ve geri alınması halleri son derece önemlidir. Bu yazımızda; açık rıza hususunda dikkat edilmesi gereken noktalara genel hatlarıyla değineceğiz;
ALINAN HER RIZA, KVKK KAPSAMINDA ‘AÇIK RIZA’ MIDIR?
Kanun, veri sahiplerinden alınacak rızalar için ‘’Açık Rıza’’ kavramını kullanmıştır. Bunun nedeni; rızanın güçlendirilmesi, alınmasının belli şartlara bağlanması ve her hangi bir rızadan farklı olmasıdır. Kanun, kişisel veri işleme faaliyetleri için gereken rızayı ayrık tutmuş ve ‘’Açık Rıza’’ kavramı altında belli şartlara bağlamıştır.
KVKK uyarınca ‘’Açık Rıza’’ şöyle tanımlanmıştır;
‘’Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.’’
Bu tanımlamaya göre;
- RIZA VERİLECEK KONUNUN BELİRLİ OLMASI GEREKİR;
Açık rıza alınacak konu belirsiz olmamalıdır. Özellikle şirketler tarafından alınan açık rıza metinleri, pek çok hususu barındırması nedeniyle muğlak ve genel nitelikle hazırlanabilmektedir. Bu da açık rızanın geçersizliği sonucunu doğuracaktır. Veri sahibi yani KVKK uyarınca ‘’ilgili kişi’’lerin hangi konuda rıza gösterdiğini anlaması ve o konuyla sınırlı şekilde açık rıza vermesi gerekir.
Örneğin; ‘’Şirket bünyesinde yapılacak tüm kişisel veri işleme faaliyetlerine rıza gösteriyorum.’’ şeklinde alınan açık rıza beyanları geçersiz olacaktır. Bu şekilde alınan rızalar Kurul tarafından ‘’battaniye rıza’’ olarak değerlendirilmektedir.
Özellikle; şirket bünyesinde işlenen sağlık verisi gibi özel nitelikli kişisel veriler varsa, kişisel veriler yurt dışına aktarılıyorsa, bu hususların mutlaka ayrıca belirtilmesi, hangi konuda rıza istendiği tereddüte yer vermeyecek şekilde belirli olmalı, açıklamaya muhtaç olmamalıdır.
Gelecekte ortaya çıkabilecek faaliyetler için, önceden rıza alınamaz. Örneğin; şirket bünyesinde adli sicil kayıtları toplanmıyor diyelim, ileride iş yapacağımız ortaklarımız çalışanlarımızın adli sicil kayıtlarını da isteyebilir diye kimle paylaşılacağı belli olmayan, ne amaçla kullanılacağı net olmayan konularda açık rıza alınmamalıdır.
- VERİ SAHİBİ AYDINLATILMIŞ OLMALIDIR;
Veri sahipleri, kişisel verisinin hangi hukuki nedenlere dayalı olarak alındığı, hangi amaçlarla kullanılacağı, yurt içi ve yurt dışında aktarım yapılıp yapılmayacağı, yapılacaksa kimlere hangi amaçlarla aktarım yapılacağı, KVKK uyarınca sahip olduğu hakları ve sair hususlarda bilgilendirilmelidir.
Yapılacak aydınlatmalar okunabilir ve anlaşılabilir olmalı; çok küçük puntolar kullanılmamalı ve çok fazla hukuki terim içermemelidir.
- AÇIK RIZADA GÖNÜLLÜLÜK ESASTIR;
Açık rıza alınması müessesesi, formalite gibi işletilmemelidir. Veri sahibine rıza vermeme hakkı da sağlanmalıdır.
Örneğin; ‘’ Bu siteye girmekle kişisel verilerinizin işlenmesine rıza göstermiş sayılırsınız.’’ şeklinde alınan bir rıza, açık rıza vasfını taşımaz.
Yine, açık rıza verilmesi işlemi şarta bağlı olarak yapılamayacaktır. Açık rıza verilmemesi hali, veri sahibinin bir hizmetten yararlanamaması gibi aleyhine bir sonuç doğurmamalıdır.
Açık rızanın özgür iradeyle verilip verilmediği hususu, özellikle işveren- işçi ilişkisi bakımından önem arz etmektedir. Rızanın gönüllü olarak verilip verilmediği hususunda şirketler riski en aza indirmek amacıyla, çalışanlarını rızanın geri alınması ve sonuçları hususunda detaylı şekilde bilgilendirmelidir.
Rızanın özgür iradeye dayalı olup olmadığı hususu, veri sahiplerinin ne kadar baskı altında bu rızayı verdikleriyle de ilgilidir. Örneğin; internet sitesinden alışveriş yapan kullanıcıların verdiği rıza ile , bir işyerinde çalışan kişinin işverenine verdiği rıza arasında baskı seviyesi farklı olacaktır. Bu nedenle şirketler, gerekli bilgilendirmeleri yaparak, rıza verilmemesi halinde bu iş/işlemleri yürütecek alternatif çözümler üreterek ve bunları veri sahiplerine sunarak risklerini azaltabilirler.
AÇIK RIZA NE ZAMAN ALINMALI?
Gerektiği takdirde açık rızalar, mutlaka veri işleme faaliyetinden önce alınmalıdır. Çünkü yapılacak işlemler, veri sahibinin açık rızasını vermesine bağlı olarak hukuka uygun olacaktır.
Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayalı olarak açık rıza alınsa ve aynı veri sahibinin, aynı kişisel verisi, aynı veri işleme faaliyetinde kullanılacak olsa bile eğer amaç değişmişse; değişen amaçla kişisel verinin işlenmesi için yine açık rıza alınması gerekecektir.
Örneğin; çalışanın kişisel verilerinin yurt dışına aktarımı için usulüne uygun şekilde bir açık rıza alınmış olsun, bu defa aynı verilerin yurt dışında istatistiki çalışmalar için kullanılmasına işveren tarafından karar verilmişse, bu amaçla işlenmesi ve yurt dışına aktarım için ayrıca açık rıza alınmalıdır.
Veri işleme faaliyetinden önce, ilgili kişiden açık rıza alınmalıdır. İlişkinin devamında gerekmesi halinde yine ilgili kişiden gereken açık rızalar alınmadan işlem yapılmamalıdır. Unutulmamalıdır ki; açık rızanın konusu spesifiktir.
HER DURUMDA AÇIK RIZA’YA BAŞVURMALI MIYIZ?
Her ne kadar KVKK uyarınca kural; ilgili kişinin açık rızası olmaksızın kişisel verilerinin işlenememesi olsa dahi; kanunda açık rıza alınmasına gerek olmayan haller sayılmıştır.
Buna göre; önce somut olayın tespiti gerekir. KVKK gereğince açık rıza alınmasına gerek olmayan istisnai hallerden biri mevcutsa, buna göre ilgili kişiye yapılacak aydınlatma yeterli olacaktır. Eğer istisnai haller mevcut değilse, açık rıza alınmalıdır. Kurul tarafından benimsenen görüş de Avrupa Birliği hukukunda kabul edilen GDPR’a ( Genel Veri Koruma Tüzüğü)’ne paralel olarak; açık rıza alınmasına gerek olmayan hallerde dahi açık rıza alınmasının dürüstlük kuralına aykırı olacağı yönündedir.
Örneğin; 1774 s. Kimlik Bildirme Kanunu 6. madde işyeri sorumlusu işletmecilerin çalışan kimliklerini 3 gün içinde bildirmesini zorunlu kılıyor. Kanunda açıkça öngörülmesi hukuki nedeni, açık rıza alınmasına gerek olmayan hallerdendir. Bu durumda işletmecinin çalışan kimliklerini alması ve bildirim yükümlülüğünü yerine getirmesi için açık rıza alınmasına gerek yoktur. Çalışanların kişisel verilerinin işlenmesine yönelik aydınlatılması yeterlidir.
VERİLEN AÇIK RIZALAR GERİ ALINABİLİR Mİ?
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir haktır. Veri sahipleri tarafından her zaman geri alınabilir.
Açık rızanın geriye alınması işlemi; geleceğe etkili bir işlemdir. Açık rızanın geri alınmasına dair beyan, veri sorumlusuna ulaşmasından itibaren sonuç doğuracaktır.
Örneğin; veri sahibi müşteri tarafından, veri sorumlusu şirkete kampanya mesajları atılması/ mail gönderilmesi hususunda açık rıza verilmiş olsun. Müşteri artık kendisine kampanyalara ilişkin mesaj veya mail atılmasını istemediğini ve rızasını geri aldığını şirkete iletirse; şirket, geri alma beyanının kendisine ulaşmasından itibaren mesaj/ mail atma faaliyetini gerçekleştirmemelidir. Şirketin bundan önce atmış olduğu mesaj/ mailler hukuka uygun olacak, ancak rızanın geri alınmasından sonra bu faaliyete devam edilirse bu tarihten sonraki kişisel veri işleme faaliyeti hukuka aykırı olacaktır.
SONUÇ;
Yukarıda KVKK kapsamında ‘Açık Rıza’ müessesinde dikkat edilmesi gereken hususlara genel olarak değinilmiştir. Her somut olay özel olarak değerlendirilmeli ve açık rıza beyanları kanuni şartları taşıyacak şekilde, somut olaya uygun hazırlanmalıdır. Veri sorumlularının ileride yüksek para cezaları ile karşılaşmamaları için, hukuki adımlarını doğru atmaları, kişisel verilerin korunması ve işlenmesine dair yükümlülüklerinin bilincinde olması gerekmektedir.
Av. Aybike BERBER
No Comments