Kişisel Verilerin İşlenmesinde Açık Rıza Şartı

Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun, (“KVKK”) ‘’Kişisel verilerin işlenme şartları’’ başlıklı 5/1 maddesinde, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, emredici hüküm olarak düzenlenmiş olup maddenin 2. fıkrasında ise bu kuralın istisnaları düzenlenmiştir:

“Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”

KVKK’nın 6. maddesinde ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veriler olduğu sınırlı sayı ile belirlenmiştir. Maddenin devamında, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaklanmakta olup bu kuralın istisnaları aşağıdaki gibidir:

1. Sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde açık rıza olmaksızın işlenebileceği
2. Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza olmaksızın işlenebileceği

Buradan yola çıkarak özel nitelikli kişisel verilerin KVKK’nın 5/2 maddesinde düzenlenmiş istisnalardan birinin varlığı halinde bile bu veriler için uygulanmayacağı anlaşılmaktadır. Bir başka deyişle özel nitelikli kişisel verilerin işlenmesinde, KVKK 5/2 maddedeki istisnalar uygulanmamaktadır.

Açık Rızanın Unsurları

KVKK m. 3/1-a bendinde açık rıza, ‘’Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’’ şeklinde düzenlenmiştir. Buna göre açık rızanın üç unsuru bulunmaktadır:

I. Belirli bir konuya ilişkin olması (Belirli bir konuyla sınırlı olmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar hukuken geçersiz sayılmaktadır.)

II. Rızanın bilgilendirmeye dayanması (Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Ayrıca rızanın sonuçları hakkında da tam bir bilgiye sahip olması gerekmektedir.)

III. Özgür iradeyle açıklanması (Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir bu durumda verilen rıza da geçerli olmayacaktır)[1]

Açık rıza kişisel verilerin işlenmesini meşru, bir başka deyişle hukuka uygun hale getirmektedir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır.

Açık rızanın geri alınabilmesi mümkündür. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır.

Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı kararında KVKK m. 5 açık rıza işleme şartına uyulmadığından idari para cezasıyla sonuçlanan karar şu şekildedir:

‘’Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına^[2]’’

Sonuç olarak, açık rıza işleme şartının varlığının arandığı durumda, bu şart yerine getirilmeksizin kişisel verilerin işlenmesi hukuka aykırılık meydana getirecek olup ceza soruşturmaları, idari para cezası ve manevi tazminat davalarının gündeme gelebileceği unutulmamalıdır.

[1] Kişisel Verilerin Koruma Kılavuzu, Erişim Tarihi: 05.08.2021 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/66b2e9c4-223a-4230-b745-568f096fd7de.pdf

[2] https://kvkk.gov.tr/Icerik/6873/2020-66 Erişim Tarihi: 05.08.2021