• EN

Teknolojinin gün geçtikçe inanılmaz boyutlarda ilerleme göstermesi, günlük hayatımızı önemli ölçüde kolaylaştırmasının yanı sıra, aynı zamanda ciddi sorunları da beraberinde getirmiştir. Örneğin, milyarlarca insan internet aracılığıyla birbirine bağlanabilirken, internete yüklediğimiz veya internete girdiğimiz site ve cihazlardan toplanan veya toplanabilecek formatta olan kişisel verilerimizin korunmasının hangi esaslar çerçevesinde olacağı ve bizim hangi verilerimizin hangi işlemlere tabi tutulabileceğine ne ölçüde müdahale edebileceğimiz hususları akılları kurcalamaktadır. Bu makalenin konusu, bu konuya kısmen açıklık getiren önemli iki hukuki düzenlemenin kişisel verilerimize ilişkin gösterebileceğimiz rızayı nasıl hüküm altına aldığıdır.

 Kişisel verilerin korunmasına ilişkin ulusal düzenlememiz KVKK da, Avrupa Birliği tarafından hazırlanan GDPR da kişisel verilerin işlenmesini yasaklamış, istisnai olarak hukuka uygunluk sebepleri göstermiştir. Bunlardan bir tanesi de açık rızadır.

KVKK’nın tanım maddesi olan 3. Maddenin (a) fıkrasında açık rıza, "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı" ifade etmektedir. GDPR‘ın 4. maddesi uyarınca ise, rıza, veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren, özgür iradeye dayanan, spesifik, açık, ve bilinçli göstergedir. Görüldüğü üzere, rızanın taşıması gereken temel unsurlar hususunda KVKK ve GDPR hükümleri benzerlik göstermektedir.

Öncelikle şunu belirtmek gerekir ki, KVKK’da açık rızanın diğer hukuka uygunluk sebeplerinden üstün göstermiştir. Rıza kural, diğer hukuka uygunluk sebepleri istisnadır. Eğer herhangi bir sebepten dolayı açık rıza geri alınır veya geçersiz sayılırsa, diğer hukuka uygunluk sebeplerine dayanarak veri işlenmesine devam edilemez ve veri işleme faaliyeti hukuka aykırı hale gelir. GDPR’da ise açık rıza veya diğer hukuka uygunluk sebeplerinden birinin bile varlığı, işleme faaliyetinin hukuka uygun olması için yeterli olacaktır. Açık rızanın bir sebepten dolayı ortaya kalkması, GDPR’da KVKK’daki gibi hukuka aykırılığı işaret etmeyecektir.

GDPR’ın gerekçesinde, açık rızanın yazılı, sözlü veya elektronik ortamda verilebileceği belirtilmektedir. Yani rıza kapsamına elektronik ortamdaki kutucuğa tıklayarak izin verme işlemi de girmektedir. (Kullanıcı tıklamadan önce tıklanmış kutular rıza beyanı olarak kabul edilmemektedir.) Ancak elektronik rıza göstermede, rıza alma amaçlarının mutlaka açık ve öz bir şekilde belirtilmesi gerekmektedir. Ayrıca susmak, rıza göstermek anlamına gelmez. Rızanın diğer hususlar ile birlikte alındığı durumlarda, rıza diğer hususlardan rahatça ayırt edilebilir, kolayca erişilebilir ve anlaşılır bir biçimde, açık ve sade bir dil kullanılarak sunulmalıdır. İşlenmesi gerekli olmayan verilerin rıza kapsamına sokulmasından sakınılmalıdır. Rıza beyanı, GDPR’a riayet ettiği müddetçe geçerli olur. GDPR’ı ihlal eden hiçbir ifade veri sahibini bağlamaz.

Açık rıza, ne zaman istenirse geri alınabilir. Rızanın geri çekilmesi geçmişe yönelik değildir. Yani, rızanın geri alınmasından önceki dönemdeki veri işleme faaliyetini hukuka aykırı yapmaz. İlgili kişinin/veri sahibinin bu hususlar hakkında rıza alınmadan önce bilgilendirilmesi gerekir. Rıza için Tüzük’te herhangi bir şekil şartı öngörülmemiş olsa da, rızayı geri çekmenin en az rızayı vermek kadar kolay olması gerekir.

KVKK’da bu hususlara ilişkin düzenlemeler bulunmasa da, doktrin ve Kişisel Verilerin Korunması Kurulu kararları, GDPR düzenlemeleriyle uyumluluk göstermektedir.

Av. Dr. Mert VAN - Stj. Av. Benay ÇAYLAK