Açık Rıza Kavramı Ve Açık Rızanın Geri Alınması Halinde Verilerin Akıbeti
Açık Rıza Kavramı
Rıza, kişisel verileri koruma hukukunun meşruiyetini sağlayan en temel kavramlardan biri olarak karşımıza çıkmaktadır. Kişisel verilerin hukuka uygunluk nedeni olmadan işlenmesi yasaktır. Bu açıdan bakıldığında kişisel verilerin işlenmesi istisna, işlenmemesi ise kuraldır. Rıza kavramı KVKK’da daima ‘açık rıza’ söylemiyle yer almıştır. Yani tek başına rıza kavramına yer verilmemiştir[1].
Kanunda yapılan açık rıza tanımına bakıldığı zaman konuyu bütünlemesine açıklamaya yeterli olmayan ve açık rızayı, yine rıza kavramı üzerinden açıklayan bir tanım olarak karşımıza çıkmaktadır ‘Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,’. Ayrıca Anayasa’nın 20. Maddesinin üçüncü fıkrasında da kişisel verilerin Kanun’da öngörülen haller dışında ancak ilgili kişinin açık rızasıyla işlenebileceği düzenlenmiştir.
Doktrinde Rıza Avcu Braun; kanunda yapılan tanımın aslında ‘açık rızanın’ değil sadece ‘rızanın’ tanımı olduğunu belirtmektedir. Bu iddianın sebebini ise ilgili madde gerekçesine dayandırmaktadır: ‘“Açık rıza, 95/46/EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmaktadır’. Gerekçeye bakıldığı zaman 95/46/EC sayılı Direktifin ‘açık rıza’ tanımını yaparken yer verdiği ‘ tereddüde yer bırakmayacak açıklıkta’ ifadesinin KVKK’da açık rıza tanımı yapılırken yer verilmediğinin altına çizmektedir[2].
Açık rıza tanımına bakıldığında üç tane şartı olduğu gözümüze çarpmaktadır:
- Belirli bir konuya ilişkin olma
- Bilgilendirmeye dayanma
- Özgür iradeyle açıklanma
Açık rızanın geçerli olması için ilk şart bu rızanın belirli bir konuya ilişkin olmasıdır. Bu açıdan veri sorumlusu, işlemenin hangi konu ve amaç için istediğini açık bir şekilde belirtmelidir. Örneğin veri sahibinin bir siteye kayıt olurken ‘Bütün kişisel verilerimin işlenmesini kabul ediyorum.’ gibi bir kutuyu doldurması diğer şartları sağlasa bile geçerli değildir. Çünkü; açık rızanın işlemenin yapılacağı konuya özgülenmiş olması ve bu konunun dışına çıkmadan yapılacağına dair alınmış olması gerekir. Bu bağlamda veri sorumlusu her bir farklı amaç ve konu için veri sahibini bilgilendirerek ayrıca açık rızasını almalıdır. Kişisel verinin işleme amacının değiştiği noktada yeniden açık rıza alınması gerekecektir.
İkinci şarta bakacak olursak açık rızanın bir bilgilendirmeye dayanması gerekir. Veri sahibi verdiği rızanın nerede, hangi amaçla kullanıldığını bilmezse bu rızanın açık ve özgür bir rıza olduğu kabul edilemez. Veri sorumlusunun yapacağı bilgilendirme açık, basit ve anlaşılır bir dil içermelidir. Hitap ettiği kesimin algılayamayacağı karmaşık kavramları tercih etmemesi gerekir. Bilgilendirme yazılı veya sözlü olarak gerçekleştirilebilir. Burada dikkat edilmesi gereken hususlardan biri de bilgilendirmenin veri işlenmesinden önce ya da en geç kişisel verilerin işlendiği sırada yapılması gerektiğidir.
Son olarak açık rıza veren kişi bu rızayı hür iradesiyle vermiş olmalıdır. Cebir, tehdit, hile, aldatma veya hata gibi hukuka aykırılıkların meydana gelmesi durumunda verilen rıza geçerli değildir. Bir ürün veya hizmet sunulmasında rızanın ön şart olduğu veya tarafların eşit olmadığı (işveren-işçi) durumlarda verilen rızanın özgür iradeye dayanmadığı kabul edilir. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır[3].
Açık Rızanın Geri Alınması
Kişisel verilerin açık rıza ile işlenmesi halinde ilgili kişi açık rızasını istediği zaman geri alabilecektir. İlgili kişinin kendi verileri üzerinde hâkimiyetinin bulunması KVKK’nın temel amaçları arasında yer almaktadır. Ve ilgili kişi bu hakimiyet sayesinde verilerinin işlenmesini istediği zaman durdurma hakkına sahiptir. Bu sebeple ilgili kişi verdiği açık rızayı her zaman geri alabilir. Açık rızanın geri alınabilmesi hakkından TMK m.23 gereğince önceden feragat edilmesi mümkün değildir.
Kişinin verdiği açık rızayı geri alması; açık rızanın verilmesi kadar kolay olmalıdır. Burada orantılılık ölçütü devreye girmektedir. Örneğin açık rıza online sistemler vasıtası ile bir kutunun doldurulması şeklinde sağlandıysa aynı kolaylıkla yani belki bir başka kutunun doldurulmasıyla geri alınabilmelidir.
Ancak açık rızanın geri alınması eylemi veri sorumlusuna ulaştıktan sonra ileriye etki edecektir. Yani açık rıza geri alınana kadar işlenen veriler hukuka uygun şekilde işlenmiş kabul edilecektir. Keza verilerin işlendiği sırada ilgili kişinin açık rızası mevcut olacaktır. Veri sorumlusu açık rızanın geri çekildiği bilgisinin kendisine ulaştığı andan itibaren veri işlemeye son vermelidir.
Açık rızanın geri alınmasını ileriye etkili olduğu yukarıda belirtilmiştir. Ancak bazı durumlarda KVKK’da yer alan bazı sebeplere dayanarak geçmişte işlenmiş verilerin anonimleştirilmesi silinmesi ya da yok edilmesi talep edilebilir.
Hangi Hallerde Açık Rızaya Dayanılarak İşlenen Verilerin Anonimleştirilmesi Silinmesi Ya Da Yok Edilmesi Talep Edilebilir?
KVKK m.11’de ilgili kişinin hakları düzenlenmiştir. Bu maddeye göre yedinci maddede öngörülen şartların oluşması halinde ilgili kişi kişisel verilerinin silinmesini veya yok edilmesini isteme hakkına sahiptir. Madde yediye geldiğimizde ise kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalması halinde hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir düzenlemesi yer almaktadır.
Eğer kişisel veriler yalnızca ilgili kişinin açık rızası temelinde işleniyorsa ve açık rıza geri alındığında, verilerin işlenmesini gerektiren başka bir hukuki sebep bulunmuyorsa, bu durumda verilerin işlenmesine dair temel ortadan kalkar. Böylece, KVKK’nın 7. maddesi gereğince kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.
Yani ilgili kişinin veri işleme için açık rızası bulurken veri sorumlusunun işlediği veri hukuka uygun şekilde işlenmiştir. Ancak açık rızanın geri alındığı andan itibaren verilerin işlenmesi için başka bir hukuki dayanak yoksa veri sorumlusu artık veriyi işleyemez. Ve ilgili kişi rızasını geri aldığı için ve başka bir hukuki dayanak bulunmadığı için verilerin işlenmesi herhangi bir sebepten yoksun olacağı için ilgili kişi madde yedide yer alan haklarını kullanabilecektir.
Örneğin bir kişinin ticari iletişim onayı (e-posta ile pazarlama mesajları almak için açık rıza vermesi) üzerine kişisel veriler işleniyorsa ve kişi bu rızayı geri alırsa, veri sorumlusu bu verileri işleme sebebini yitirir ve verileri silmelidir.
Bir diğer gerekçe ise veri işleme amacının gerçekleşmesi ya da imkansızlaşması halidir. Eğer kişisel veriler belirli bir amaca hizmet etmek için açık rıza alınarak işlenmişse ve bu amaç gerçekleşmiş veya ortadan kalkmışsa, açık rıza geri alınmasa bile veri sorumlusu verilerin silinmesi ya da anonim hale getirilmesi için yükümlüdür. Bu durum, verilerin artık işlenmesine gerek kalmadığını gösterir.
Örneğin bir iş başvurusu sırasında alınan kişisel veriler, yalnızca iş başvurusunun değerlendirilmesi için işlenmişse ve bu süreç tamamlandıysa, açık rıza geri alınmasa bile bu veriler artık işlenmemelidir. Bir başka örnekte ise bir e-ticaret sitesine üye olurken verilen kişisel veriler, üyeliğin iptal edilmesiyle birlikte artık işlenmesi gerekmeyen veriler haline gelebilir.
İlgili Kişinin Talebi KVKK M.5/2-f Düzenlemesi İle Çatışırsa
KVKK Madde 5/2, kişisel verilerin açık rıza olmadan işlenebileceği durumları sıralar. Bu fıkrada, “kişisel verilerin açık rıza olmadan işlenebilmesi” için çeşitli hukuki gerekçeler belirtilmiştir. 5/2-f bendinde, kişisel verilerin işlenmesi şu durumda mümkündür:
“Veri sorumlusunun meşru menfaatleri için kişisel veri işlenmesi zorunluysa ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla işlenebilir.”
Örneğin bir işyeri, çalışanlarının ve ziyaretçilerinin güvenliğini sağlamak amacıyla bina içinde ve çevresinde güvenlik kameraları kullanabilir. Burada meşru menfaat, işyerinin güvenliği ve işyerinde çalışanların can ve mal güvenliğidir. Kamera kayıtlarının alınması, çalışanların veya ziyaretçilerin açık rızasına gerek kalmaksızın, işverenin meşru menfaatleri çerçevesinde yapılabilir. Ancak, bu işlemde mahrem alanlar izlenmemelidir ve izleme faaliyetleri kişilerin özel hayatına müdahale edecek şekilde olmamalıdır. Ve aynı zamanda görüntüler, sadece güvenlik amacıyla saklanmalı ve yetkisiz kişilerin erişimine kapatılmalıdır.
Peki ilgili kişinin başta açık rızası ile veriler işlenmeye başladıktan sonra açık rızanın geri alınmasına müteakip KVKK m.5/2-f’ e dayanılarak veri işleme faaliyetine devam edilebilir mi? Kanaatimizce ilgili kişinin başta açık rızası ile veriler işlenmeye başlandıktan sonra açık rızanın geri alınması müteakip KVKK m. 5/2-f’e dayanılarak veri işleme faaliyetine devam edilemez. Zira ilgili kişinin açık rızasının alınarak veri işleme faaliyeti gerçekleştirilmesi kanunda yer alan başka bir hal ile verinin işlenemediği durumlarda geçerli kabul edilmektedir. KVKK m.5/2-f ise açık rıza olmadan istisnai olarak verilerin işlenebileceği bir haldir.
Bu kapsamda açık rıza veri işleme için temel bir şarttır. İlgili kişi, açık rızasını istediği zaman geri çekebilir. Rıza geri alındığında veri işleme faaliyeti durdurulmalıdır. KVKK m.5/2-f, baştan itibaren rıza alınmamış durumlar için geçerlidir. Aksi halde akıllara; zaten KVKK m.5/2-f kapsamında veri işleme faaliyeti gerçekleştirilebiliyorsa veri sorumlusu başta niçin açık rıza talebinde bulundu sorusu gelmektedir.
Eğer açık rızanın alındığı sırada mevcut olmayan bir durum sonradan meydana gelmişse ve bu durum KVKK m.5/2-f kapsamında değerlendirilebilir bir durum ise veri işleme faaliyetine KVKK m.5/2-f’ dayanılarak devam edilebileceğinin kabulünün gerekeceği kanaatindeyiz. Ancak bu durumda veri sorumlusunun meşru menfaatine dayalı veri işleme faaliyeti, ilgili kişinin hak ve özgürlüklerini ihlal etmemelidir. Veri sorumlusu, bu işleme faaliyeti ile ilgili kişinin hak ve özgürlüklerini tartmalı ve işlemenin zaruri olup olmadığını değerlendirerek denge testi yapmalıdır. Meşru menfaat kapsamında işleme faaliyetine devam ediliyorsa, veri sorumlusunun, verilerin hangi amaçla işlendiğini net bir şekilde belirlemesi gerekir. İşleme faaliyetinin amaçla uyumlu ve orantılı olması, gereksiz veri işleme faaliyetlerinin yapılmaması önemlidir.
Zeynep Ebrar KAYA’nın Dünya’nın İlk Robot Avukatı isimli yazısını okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin 13. Sayı’sındaki “Metaverse’te Kişisel Verilerin Korunması” isimli yazıyı bağlantıdan okuyabilirsiniz.
[1] Dülger, Murat Volkan; Kişisel Verilerin Korunması Hukuku 3.Baskı,Sfy.222
[2] Braun,Cihan Avcı; Kişisel Verilerin İşlenmesinde Rıza (2018) 15(1) Yeditepe ;Üniversitesi Hukuk Fakültesi Dergisi 13, Sfy.19
[3] Kişisel Verileri Koruma Kurumu, Açık Rıza Rehberi, Sfy.6