Türkiye Cumhuriyeti Anayasası‘nın özel hayatın gizliliği başlıklı 20’nci maddesinin 3’üncü fıkrasında herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu belirtilmiş ve kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği düzenlenmiştir. Bununla birlikte, Anayasa kapsamında açık rıza kavramının ne olduğu tanımlanmamış ve kişisel verilerin korunması ile ilgili esas ve usullerde olduğu gibi açık rıza kavramının tanımına 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer verilmiştir. Bu yazımızda, kişisel verilerin korunması açısından büyük öneme sahip olan açık rıza kavramını açıklayacak, açık rızanın özelliklerine değinecek ve battaniye rıza kavramından bahsedeceğiz.
Kişisel Verilerin Korunması Kanunu ve Açık Rıza
Açık rıza, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Kişisel Verilerin Korunması Kanunu kapsamında açık rıza, ilgili kişi tarafından kişisel verilerinin işlenmesine, kendi isteği ile ya da veri sorumlusunun talebi üzerine, onay verilmesi anlamına gelmektedir. Dolayısıyla, açık rızada ilgili kişinin olumlu irade beyanının bulunması gerekmektedir.
Kişisel Verilerin Korunması Kanunu kapsamında yapılan açık rıza tanımı incelendiğinde, açık rıza kavramının üç unsurdan oluştuğu çıkarımı yapılabilir. Buna göre, öncelikle açık rıza belirli bir konuya ilişkin, örneğin özel nitelikli kişisel verilerin belirli bir veri sorumlusu tarafından işlenmesine dair olmalıdır. İkinci olarak, rızanın bilgilendirmeye dayalı olması, yani veri sorumlusu tarafından ilgili kişiye açık rıza istenen konu ile ilgili yeterince bilgi verilmiş olması gerekmektedir. Son olarak, açık rızanın özgür iradeyle açıklanmış olması, dolayısıyla cebir, tehdit, hata, hile veya şantaj ile verilmemiş olması gerekmektedir.
Uluslararası Metinlerde Açık Rıza
Açık rıza kavramına kişisel verilerin korunması ile ilgili uluslararası metinlerde de yer verilmiştir. Örneğin, 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi kapsamında açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine; özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olarak tanımlanmıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında ise; açık rıza, veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren, özgür bir şekilde verilmiş; spesifik, bilinçli ve açık gösterge olarak ifade edilmiştir. 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi uyarınca, yalnızca özel nitelikli kişisel veriler için açık rıza aranırken, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu uyarınca hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler için ilgili kişinin açık rızasının alınması gerekmektedir.
Açık Rızanın Özellikleri
Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 1’inci fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.“, 6’ncı maddesinin 2’nci fıkrasında “Özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.“, 8’inci maddesinin 1’inci fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.” ve 9’uncu maddesinin 1’inci fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” hükümleri yer almaktadır. Bu hükümlere göre, açık rıza hem özel nitelikli kişisel verilerin hem de özel nitelikli olmayan kişisel verilerin işlenmesi ve aktarılması için hukuka uygunluk sebebidir.
İlgili kişi, işlenmesine izin verdiği kişisel verilerinin sınırlarını, kapsamını, işlenme biçimini ve süresini açık rıza ile belirlemektedir. Bu noktada açık rıza hem veri sorumlusuna hem de veri işleyene kişisel verilerin işlenmesi konusunda yol göstermektedir.
Açık rızanın yazılı olarak alınması gerekmemektedir. Dolayısıyla, elektronik ortamda ya da sesli görüşme ile ilgili kişinin açık rızasının alınması mümkündür. Yazılı, elektronik ya da sesli olarak alınıp alınmadığına bakılmaksızın, açık rızanın alındığına dair ispat yükü veri sorumlusuna aittir.
İlgili kişi tarafından birden çok veri kategorisi için kişisel verilerin işlenmesine ve/veya aktarılmasına açık rıza verilecekse, hangi verilerin ne amaçlarla işleneceği veya aktarılacağı gözetilerek açık rıza alınması gerekmektedir. Veri işleme amaçlarının veya işlenecek veri kategorilerinin değişmesi ya da verilerin işlenmesi için açık rıza alındıktan sonra verilerin aktarılmasının gerekmesi durumunda, ayrıca açık rıza alınması gerekecektir.
İlgili kişiye, açık rızası alınmadan önce, işlenecek ve/veya aktarılacak kişisel verileri, verilerin işlenme ve/veya aktarılma amaçları, verilerin kimler tarafından işleneceği ve kimlere aktarılacağı, verilerin toplama yöntemi ve hukuki sebebi hakkında bilgilendirme yapılması gerekmektedir. Ayrıca, ilgili kişiye açık rıza vermesi durumunda ortaya çıkacak sonuçlar hakkında bilgilendirme yapılmalıdır. Bilgilendirme yapılırken açık bir dil kullanılmalı, ilgili kişilerin anlamayacağı terimler kullanılmamalı ve bilgilendirme ilgili kişinin durumu gözetilerek hazırlanmalıdır. Örneğin, görme engelli bir kişiye bilgilendirme yapılırken ilgili kişinin engeli göz önünde bulundurularak aydınlatma yükümlülüğü yerine getirilmelidir. Bilgilendirme yabancı dillerde yapılmamalı, Türkçe yapılmalıdır.
İlgili kişi, açık rızayı özgür iradesiyle vermelidir. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan durumlarda açık rıza ile ilgili özgür iradeden bahsetmek mümkün olmayacaktır. Veri sorumlusu ile ilgili kişinin eşit konumda olmadığı ve veri sorumlusunun ilgili kişi üzerinde etkili olduğu durumlarda, açık rızanın özgür iradeyle verilip verilmediğinin dikkatli bir şekilde değerlendirilmesi gerekmektedir. Örneğin, işçinin ilgili kişi ve işverenin veri sorumlusu olduğu durumlarda, işçi tarafından açık rıza verilmemesine imkân tanınmaması veya açık rıza verilmemesi durumunda işçinin yaptırımlarla karşı karşıya kalacak olması durumunda, açık rızanın özgür iradeye bağlı olarak verildiği sonucu çıkarılamayacaktır.
Benzer bir şekilde, tüketici ile satıcı veya sağlayıcı arasındaki ilişki kapsamında, bir malın veya hizmetin sağlanması için tüketiciden açık rıza alınmasının bir ön şart olarak sunulmaması gerekmektedir. Örneğin, bir internet hizmetinden yararlanmak için, internet hizmetinin sunulması için gerekli olmayan parmak izi veya etnik köken gibi kişisel verilerin işlenmesi ve aktarılması için açık rızanın talep edilmesi ve aksi durumda internet hizmetinin sağlanmayacağının belirtilmesi hem özgür irade ile açık rıza verilmesi ilkesine hem de ölçülülük ilkesine aykırılık teşkil edecektir. Nitekim Kişisel Verileri Koruma Kurulu tarafından verilen bir kararda, açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmiştir. Ayrıca, bu durumun hukuk ile dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği tespit edilmiştir.
Çocuklardan Açık Rızanın Alınması
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) uyarınca çocukların kişisel verilerinin işlenmesi ve aktarılabilmesi için açık rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi ya da çocuk tarafından verilen açık rızanın veli tarafından onaylanması gerekmektedir. Bununla birlikte, çocuğun 16 yaşından büyük olması durumunda çocuktan açık rıza alınabilecek ve çocuk üzerinde velayet hakkı bulunan kişinin açık rızası ya da onayı gerekmeyecektir. Avrupa Birliği’ne üye devletler, Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca, kişisel verilerin korunması ile ilgili ulusal mevzuatlarında, 13 yaştan küçük olmamak kaydıyla, çocuktan açık rıza alınabilmesi için daha küçük bir yaş belirleyebilmektedir. Nitekim, Birleşik Krallık Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumluları 13 yaşından büyük çocuklardan kişisel verilerin işlenmesi ve aktarılması ile ilgili olarak açık rıza alabilmektedir.
Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında, çocukların kişisel verilerinin işlenmesi ve çocuklardan açık rıza alınması ile ilgili hüküm bulunmasına rağmen, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, çocukların kişisel verilerinin işlenmesi ve çocuklardan açık rıza alınması ile ilgili özel bir hüküm bulunmamaktadır. 4271 sayılı Türk Medeni Kanunu uyarınca ergin olmayan, yani 18 yaşından küçük çocuklar, anne ve babalarının velayeti altındadır. Dolayısıyla, çocukların kişisel verilerinin işlenmesi için velilerinden açık rıza alınması ya da çocuk tarafından verilen açık rızanın velileri tarafından onaylanması gerekmektedir. Bununla birlikte, 18 yaşından küçük çocuklar, ayırt etme gücüne sahip olmaları durumunda, sınırlı ehliyetsiz olarak nitelendirilebilecek ve kendilerinden kişisel verilerinin işlenebilmesi ve/veya aktarılabilmesi için açık rıza alınabilecektir.
Battaniye Rıza
Belirli bir konu ile sınırlandırılmayan ve ilgili kişi tarafından genel nitelikteki olarak verilen rıza “battaniye rıza” olarak kabul edilmektedir. Battaniye rızada açık rızanın ilk unsuru olan “belirli bir konuya ilişkin olma” unsuru bulunmadığı için battaniye rızalar hukuken geçersiz sayılmaktadır. Örneğin, her türlü veri işleme faaliyeti ya da her türlü kişisel verinin işlenmesi için verilen rızalar belirli bir konuya ilişkin olmadığı için battaniye rıza olarak değerlendirilecek ve bu şekilde alının rızalar Kişisel Verilerin Korunması Kanunu kapsamında açık rıza olarak kabul edilmeyecektir. Bu nedenle, ilgili kişinin kendisi hakkında hâlihazırda işlenen ve/veya işlenecek olan verileri için önceden battaniye rıza olarak değerlendirilebilecek bir rıza beyanında bulunmuş olmasına itibar edilmemeli ve bu battaniye rızaya dayanarak işlem tesis edilmemelidir.
Açık Rızanın Geri Alınması
Açık rıza vermenin kişiye sıkı sıkıya bağlı bir hak olması ve kişisel verileri ile ilgili tasarrufta bulunma hakkının ilgili kişiye ait olması sebebiyle, ilgili kişi tarafından verilen açık rıza istenildiği zaman geri alınabilir. Bununla birlikte, açık rızanın geri alınması ileriye yönelik sonuç doğuran bir işlemdir. Dolayısıyla, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğuracak ve açık rızanın geri alınması öncesinde yapılan veri işleme faaliyeti hukuka uygun olmaya devam edecektir. Açık rızaya bağlı olarak gerçekleştirilen tüm işlemler, geri alma beyanının veri sorumlusuna ulaşması ile derhâl durdurulacaktır.
Açık Rıza Olmaksızın Veri İşleme Şartları
Kişisel Verileri Koruma Kanunu’nun 5’inci maddesi kapsamında kişisel verilerin işlenme şartları düzenlenmiştir. Açık rıza, kişisel verileri işleme şartlarından birisidir ve diğer kişisel veri işleme şartlarına göre bir üstünlüğü bulunmamaktadır. Aşağıdaki şartlardan birinin varlığı hâlinde, açık rızası olmaksızın kişisel verilerinin işlenmesi mümkün olacaktır:
- Kanunlarda açıkça öngörülme
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olma
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olma
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
