KVKK Kapsamında Açık Rıza Alınması Zorunluluğu

Açık Rıza Ne Demek?

Açık rıza, KVKK'nın 3. maddesinde tanımlandığı üzere belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu tanım, veri öznesinin kişisel verilerinin işlenmesine yönelik iradesini net bir şekilde ortaya koymasını gerektirir.

Açık rızanın temel unsurları şunlardır:

• Belirlilik: Rıza, hangi veriler için ve hangi amaçla verildiği açık olmalıdır
• Bilinçlilik: Veri öznesi, verilerinin nasıl işleneceğini bilmelidir
• Özgür irade: Herhangi bir baskı, aldatma veya zorlama olmadan verilmelidir
• Açıklık: Belirsizlik içermemeli, net ve anlaşılır olmalıdır

Veri Koruma Kurulu'nun 2019/04 sayılı kararına göre, açık rıza kavramı dar yorumlanmalı ve şüphe halinde rıza yokmuş gibi değerlendirilmelidir. Bu nedenle işletmeler rıza alma süreçlerini özellikle dikkatli tasarlamalıdır.

Açık Rıza Nasıl Alınmalı?

KVKK kapsamında açık rıza alma süreci belirli kuralları içerir ve bu kuralların ihlaline yönelik cezai yaptırımlar bulunmaktadır. Veri işleyicisi, rıza alma sürecini KVKK'nın 11. maddesi doğrultusunda düzenlemelidir.

Açık rıza alma yöntemleri:

1. Yazılı Rıza: İmzalı belge veya elektronik imzalı doküman
2. Elektronik Rıza: Web sitesinde onay kutusu, mobil uygulamada buton
3. Sözlü Rıza: Telefon görüşmesinde kayda geçirilmiş onay
4. Davranışsal Rıza: Belirli koşullarda yapılan eylemler

Rıza alma sürecinde veri öznesine aydınlatma metni sunulması zorunludur. Bu metin, hangi verilerin hangi amaçlarla işleneceğini, kimlere aktarılabileceğini ve hangi haklara sahip olduğunu açıkça belirtmelidir.

Özellikle dijital platformlarda rıza alırken, önceden işaretli kutular (pre-ticked boxes) kullanılmamalıdır. Veri öznesi aktif bir eylemle rızasını beyan etmelidir. Ayrıca genel hüküm ve koşullar içerisine gizlenen rıza metinleri de geçersiz sayılmaktadır.

Açık Rıza Olmadan Veri İşlenir Mi?

KVKK'nın 5. maddesine göre kişisel veriler, açık rıza alınmadan da belirli koşullarda işlenebilir. Bu istisna halleri, veri işlemenin temel haklara zarar vermeyecek şekilde sınırlı tutulmuştur.

Açık rıza olmadan kişisel veri işleme yapılabilecek haller:

• Kanunlarda açıkça öngörülmesi: Vergi kanunları, SGK kayıtları gibi yasal yükümlülükler
• Fiili imkansızlık: Veri öznesinin rızasını açıklayamadığı durumlar
• Sözleşme kurulması: İş sözleşmesi, satış sözleşmesi gibi durumlar
• Hukuki yükümlülük: Yasal zorunlulukları yerine getirme
• Hayati çıkar: Yaşam tehlikesi gibi acil durumlar
• Kamu görevi: Kamu kurum ve kuruluşlarının görevleri

Ancak bu istisna halleri dar yorumlanmalıdır. Örneğin, pazarlama faaliyetleri için müşteri verilerinin işlenmesi genellikle açık rıza gerektirir. İşletmeler, hangi veriler için istisna hükümlerini uygulayabileceğini dikkatli değerlendirmelidir.

Özel nitelikli kişisel veriler (sağlık, cinsel hayat, etnik köken vb.) için ise daha sıkı kurallar geçerlidir. Bu veriler ancak kanunda sayılan çok sınırlı istisnalar dışında açık rıza ile işlenebilir.

Açık Rıza Metni Nasıl Hazırlanır?

Etkili bir rıza metni hazırlamak, KVKK uyumluluğunun temel taşlarından biridir. Veri Koruma Kurulu'nun rehberlerine göre rıza metni belirli unsurları içermek zorundadır.

Rıza metninde bulunması gereken unsurlar:

1. Veri sorumlusu kimliği: Şirket unvanı ve iletişim bilgileri
2. İşlenecek veri türleri: Hangi kişisel verilerin toplandığı
3. İşleme amaçları: Veriler neden kullanılacak
4. Aktarım bilgileri: Veriler kimlere aktarılabilir
5. Saklama süresi: Veriler ne kadar süre saklanacak
6. Veri öznesi hakları: Erişim, düzeltme, silme hakları

Rıza metni hazırlanırken dikkat edilmesi gereken hususlar:

• Anlaşılır ve sade dil kullanılmalıdır
• Belirsiz ifadeler ("gerektiğinde", "uygun görüldüğünde") kullanılmamalıdır
• Her amaç için ayrı rıza alınmalıdır
• Genel ve kapsamlı rıza ifadeleri geçersizdir

Örnek etkili rıza metni başlangıcı: "ABC Şirketi olarak, size daha iyi hizmet sunabilmek amacıyla ad, soyad, telefon ve e-posta adresinizi işlemek için açık rızanızı talep ediyoruz. Verileriniz sadece müşteri hizmetleri ve ürün bilgilendirme amacıyla kullanılacaktır."

Çalışan Verisi İçin Açık Rıza Gerekir Mi?

Çalışan verilerinin işlenmesi KVKK'nın özel düzenleme alanlarından biridir ve genellikle açık rıza gerektirmez. KVKK'nın 5/2-c maddesi uyarınca iş sözleşmesinin kurulması için gerekli olan veriler rıza alınmadan işlenebilir.

Açık rıza gerektirmeyen çalışan veri işleme durumları:

• İşe alım süreçleri (özgeçmiş, diploma, referans)
• Bordro ve SGK işlemleri
• İş sağlığı ve güvenliği uygulamaları
• Disiplin ve performans değerlendirmeleri
• Yasal raporlama yükümlülükleri

Ancak açık rıza gerektiren durumlar da vardır:

1. Özel nitelikli veriler: Sağlık raporu, sendika üyeliği
2. İş ilişkisi dışı amaçlar: Pazarlama, sosyal etkinlik fotoğrafları
3. Teknolojik izleme: E-posta izleme, kamera kayıtları (belirli koşullarda)
4. Referans verme: Eski çalışan hakkında bilgi paylaşımı

İşveren, çalışanlarından rıza alırken güç dengesizliğini göz önünde bulundurmalıdır. Çalışanın işini kaybetme endişesi nedeniyle verdiği rıza özgür irade ile verilmiş sayılmayabilir. Bu durumda alternatif yasal dayanaklar (yasal yükümlülük, meşru menfaat) tercih edilmelidir.

Açık Rıza Geri Alınabilir Mi?

KVKK'nın 11/3 maddesi açıkça belirtir ki veri öznesi vermiş olduğu rızayı her zaman geri alabilir. Bu hak, veri öznesinin temel haklarından biri olup herhangi bir koşula bağlanamaz.

Rıza geri alma sürecinin özellikleri:

• Gerekçe gösterme zorunluluğu yoktur
• Rıza verme kadar kolay olmalıdır
• Herhangi bir ücret talep edilemez
• Geçmişe etkili değildir (o ana kadar yapılan işlemler geçerli kalır)

Veri sorumlusu, rıza geri alındıktan sonra yapması gerekenler:

1. Veri işleme durdurma: Rıza kapsamındaki işlemler durdurulmalıdır
2. Bilgilendirme: İlgili birimler ve üçüncü kişiler bilgilendirilmelidir
3. Silme işlemi: Saklama gerekçesi yoksa veriler silinmelidir
4. Kayıt tutma: Rıza geri alma talebi kayıt altına alınmalıdır

Rıza geri alındıktan sonra bile veri işlemeye devam edilebilecek durumlar:

• Yasal yükümlülüklerin yerine getirilmesi
• Sözleşme yükümlülüklerinin ifası
• Meşru menfaatlerin korunması
• Hukuki taleplerin savunulması

İşletmeler, rıza geri alma taleplerini işleme koyacak sistemler kurmalı ve bu süreci mümkün olduğunca otomatik hale getirmelidir.

Örtülü Rıza Geçerli Mi?

Örtülü rıza, veri öznesinin açık bir beyanı olmaksızın davranışlarından çıkarılan rıza türüdür ve KVKK kapsamında geçerli değildir. Türk hukuku, Avrupa Birliği'nin GDPR yaklaşımını benimser ve sadece açık rızayı kabul eder.

Örtülü rıza sayılan ve geçersiz olan durumlar:

• Web sitesine giriş yapma
• Mobil uygulamayı indirme
• Hizmet almaya devam etme
• E-posta açma veya okuma
• Sosyal medya etkileşimi

Veri Koruma Kurulu'nun 2020/10 sayılı kararında belirtildiği üzere, sessizlik, önceden işaretlenmiş kutular veya hareketsizlik rıza olarak değerlendirilemez. Veri öznesi aktif bir eylemle rızasını beyan etmelidir.

Geçerli rıza beyanı örnekleri:

1. Onay kutusunu işaretleme: Önceden işaretli olmayan kutu
2. "Kabul ediyorum" butonuna tıklama: Net bir eylem
3. İmzalı form: Yazılı rıza beyanı
4. Sözlü onay: Kayda alınmış açık beyan

İşletmeler örtülü rıza yanılgısına düşmemelidir. Müşteri ilişkisinin devamı, rıza verildiği anlamına gelmez. Her veri işleme faaliyeti için ayrı ve açık rıza alınması gerekebilir.

Açık Rıza İstisnası Hangi Durumlarda Var?

KVKK'nın 5. maddesi, belirli durumlarda açık rıza istisnası tanır. Bu istisnalar, veri işlemenin toplumsal ihtiyaç ve kamu yararı dengesini korumayı amaçlar.

Temel istisna kategorileri:

1. Kanuni Yükümlülük İstisnası

Vergi Usul Kanunu, SGK mevzuatı, Bankacılık Kanunu gibi özel kanunların öngördüğü veri işleme yükümlülükleri rıza gerektirmez. Örneğin, işverenin çalışan bilgilerini SGK'ya bildirmesi yasal zorunluluktur.

2. Sözleşme İstisnası

Sözleşmenin kurulması, ifası veya sözleşme öncesi işlemler için gerekli veriler açık rıza olmadan işlenebilir. Kredi başvurusunda gelir belgesi istenmesi bu kapsamdadır.

3. Hayati Çıkar İstisnası

Veri öznesinin veya başkasının yaşamsal tehlike altında olduğu acil durumlarda rıza aranmaz. Hastane acil servisinde bilinçsiz hastanın bilgilerinin işlenmesi bu kapsamda değerlendirilir.

4. Meşru Menfaat İstisnası

Veri sorumlusunun veya üçüncü kişinin meşru menfaatleri için gerekli olan ve veri öznesinin temel haklarını zedelemeyen işlemler rıza gerektirmez. Ancak bu istisnanın uygulanması için menfaat testi yapılmalıdır.

Meşru menfaat testi kriterleri:

• Menfaat meşru ve spesifik olmalı
• Veri işleme bu menfaat için gerekli olmalı
• Veri öznesinin hakları ile denge kurulmalı
• Veri öznesi rızasını geri çekme hakkına sahip olmalı

Kamu kurum ve kuruluşları için ayrı istisna kuralları bulunur. Bu kuruluşlar, görevlerini yerine getirmek için gerekli olan kişisel verileri rıza almadan işleyebilir.

Yasal Dayanaklar

Bu makalede atıfta bulunulan mevzuat:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (m. 3, 5, 10, 11) - Kişisel veri işleme şartları ve açık rıza tanımı
• 2019/04, 2020/10 sayılı Kişisel Verileri Koruma Kurulu Kararları (m. -) - Açık rıza uygulamalarına ilişkin detaylandırıcı kararlar