6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay” olarak tanımlanmıştır. Bu tanım, bireyin hangi kişisel verilerinin hangi amaçlarla ve nasıl işleneceği konusunda açıkça bilgilendirildikten sonra verdiği net ve özgür bir onay anlamına gelir.

Açık rıza, veri işlemenin hukuka uygun bir şekilde yapılabilmesi için temel dayanaklardan biridir. Kişisel verilerin işlenmesine onay veren kişi, işlenecek verilerin türünü, işleme sürecinin kapsamını ve amacını bilme hakkına sahiptir. Bu sayede birey, veri işleme sürecini kontrol etme olanağı bulur.

1. Açık Rızanın Unsurları

KVKK’nın 3. maddesinde tanımlanan açık rıza, üç temel unsurdan oluşmaktadır:

• Belirli Bir Konuya İlişkin Olma: Açık rıza, sadece belirli bir amaç doğrultusunda ve açıkça tanımlanmış bir veri işleme faaliyeti için verilebilir. Genel ve kapsamı belirsiz ifadelerle alınan rızalar geçerli değildir. Örneğin, “Tüm kişisel verilerimin işlenmesine onay veriyorum.” gibi geniş kapsamlı bir rıza, KVKK’ya uygun kabul edilmez. Kişisel verilerin işlenme amacı açıkça belirtilmeli ve yalnızca bu kapsamda veri işlenmelidir. Eğer veri işleme faaliyetleri belirtilen kapsamı aşacaksa, veri sorumlusunun yeniden açık rıza alması gerekir.
• Bilgilendirmeye Dayalı Olma: Açık rıza verilmeden önce, veri sorumlusunun bireyi bilgilendirmesi gerekir. Bu bilgilendirme, veri sorumlusunun kimliğini, işlenecek verilerin türünü, işleme amacını, sürecin detaylarını ve açık rızanın geri alınabileceğini açıklayacak şekilde olmalıdır. Aydınlatma yükümlülüğü kapsamında yapılan bilgilendirme, açık, anlaşılır ve kapsamlı olmalıdır. Veri sorumlusu bu bilgilendirmenin gerçekleştiğini ispat etmekle yükümlüdür.
• Özgür İrade ile Verilme: Açık rızanın geçerli olabilmesi için bireyin özgür iradesiyle karar vermiş olması gerekir. Baskı, tehdit veya herhangi bir koşul dayatılması durumunda verilen rızalar, KVKK’ya aykırıdır. Özellikle işçi-işveren ilişkisi gibi güç dengesinin eşit olmadığı durumlarda, işçinin özgür iradesiyle rıza verdiğini kanıtlamak önemlidir.

2. Açık Rıza Nasıl Alınır?

KVKK’ya göre açık rıza, yazılı ya da sözlü olarak alınabilir. Ayrıca teknolojik yöntemlerle, örneğin bir internet sitesinde onay kutusunun işaretlenmesi yoluyla da açık rıza alınabilir. Ancak hangi yöntem kullanılırsa kullanılsın, veri sorumlusu açık rızanın usulüne uygun şekilde alındığını ispat etmekle yükümlüdür.

Açık rızanın alınmasında, bireyin aydınlatıldığı ve özgür iradesiyle karar verdiği net bir şekilde ortaya konmalıdır. Yazılı formlar, dijital platformlar veya telefonla yapılan bilgilendirme sonrasında alınan açık rızalar bu kapsama girer.

3. Açık Rıza Geri Alınabilir mi?

Evet, bireyler verdikleri açık rızayı her zaman geri alabilirler. Açık rıza, kişisel bir hak olduğundan, kişinin dilediği zaman bu rızayı geri çekme hakkı vardır. Veri sorumlusu, açık rızanın geri alındığını öğrendiği anda, ilgili veri işleme faaliyetlerini durdurmakla yükümlüdür. Bu, bireylerin kişisel veriler üzerindeki kontrol haklarının korunmasını sağlar.

4. Hizmet İçin Açık Rıza Şartı Koşulabilir mi?

KVKK’ya göre bir hizmetin verilmesi açık rıza şartına bağlanamaz. Örneğin, bir bankanın kredi başvurusunda bulunan bir müşteriden pazarlama amaçlı veri işleme izni talep etmesi, KVKK’ya aykırıdır. Hizmetin, açık rıza verilmesine bağlı hale getirilmesi durumunda, kişinin özgür iradesiyle karar verdiğinden söz edilemez.

Eğer kişisel veri işleme, hizmetin sunulması için gerçekten zorunluysa, açık rıza şartı koşulmadan başka hukuki dayanaklara dayanarak veri işlenebilir (örneğin, sözleşmenin ifası veya hukuki yükümlülük). Ancak, hizmetin sunulması için zorunlu olmayan bir veri işleniyorsa, bu durumda açık rıza gerekir ve hizmete erişimi açık rızaya bağlamak hukuka aykırı olur.

5. Açık Rıza Gerekmeyen Durumlar

KVKK’da belirli şartlar altında açık rıza alınmaksızın veri işlenmesine izin verilmiştir. Bu durumlar şunlardır:

• Kanunlarda Açıkça Öngörülmesi: Kanunlarda açıkça öngörülen durumlarda kişisel veriler, ilgili kişinin rızası olmaksızın işlenebilir.
• Fiili İmkânsızlık: Rızasını açıklayamayacak durumda bulunan kişilerin hayati veya bedensel bütünlüklerinin korunması için veri işlenmesi gerekebilir.
• Sözleşmenin Kurulması veya İfası: Bir sözleşmenin kurulması veya ifası için kişisel veri işlenmesi zorunlu olabilir.
• Hukuki Yükümlülüklerin Yerine Getirilmesi: Veri sorumlusunun hukuki yükümlülüklerini yerine getirmek amacıyla veri işlemesi gerekebilir.
• İlgili Kişinin Alenileştirdiği Veriler: İlgili kişinin kendisi tarafından kamuya açık hale getirilen veriler işlenebilir.
• Hukuki Hakların Korunması: Hukuki hakların tesisi, kullanılması veya korunması için kişisel veri işlenmesi gerekebilir.
• Meşru Menfaat: Veri sorumlusunun meşru menfaatleri doğrultusunda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri işlenebilir.

Bu durumların mevcut olduğu hallerde açık rıza aranmaz. Ancak, veri sorumluları bazen bu durumlarda bile açık rıza talep ederek, bireylerde yanlış bir izlenim yaratabilmektedir. Örneğin, kanunda belirtilen şartlara dayanarak işlenen bir veri için açık rıza alınırsa, birey rızasını geri çektiğinde veri işleme faaliyetinin duracağı yanılgısına düşebilir. Ancak, yasal dayanağı bulunan bir veri işleme faaliyeti, açık rıza geri çekilmiş olsa bile devam eder.

6. Sonuç

KVKK, kişisel verilerin korunması ve işlenmesinde bireylerin haklarını güvence altına alan önemli bir düzenlemedir. Açık rıza, bu düzenlemenin temel taşlarından biri olup, bireyin verileri üzerindeki kontrol hakkını sağlamak için gereklidir. Ancak açık rıza, sadece gerekli olduğu durumlarda alınmalı ve suiistimal edilmemelidir.

Güncel hukuki gelişmeler, veri güvenliği ve açık rıza süreçlerine yönelik denetimlerin sıkılaştığını göstermektedir. Kişisel Verileri Koruma Kurulu, açık rıza süreçlerinde usulsüzlük tespit ettiği durumlarda ciddi yaptırımlar uygulamaktadır. Bu nedenle veri sorumluları, açık rıza alma süreçlerini KVKK'ya uygun şekilde yürütmeli, bireylerin haklarını gözeterek şeffaf ve etik bir yaklaşım benimsemelidir.

Ayrıca, dijitalleşmenin hız kazandığı günümüzde açık rızanın elektronik ortamda alınması ve saklanması süreçlerinde güvenliği sağlamak için yeni teknolojiler ve protokoller geliştirilmelidir. Veri sahipleri de haklarının bilincinde olmalı ve açık rıza süreçlerini dikkatle değerlendirmelidir.