KVKK

Açık rıza nedir ve nasıl alınır?

Son yıllarda hayatımıza giren açık rıza kavramı internet üzerinde birçok kaynakta açıklanmış olsa da halen tam anlaşılamadığını düşünüyorum. Bunun nedeni; açık rıza anlatılırken hukuki terimlere bağlı kalınması ve mevzuat metinlerinin sıralanması olsa gerek. Bu yazıda, şu soruların cevabını birlikte ve kolayca bulacağız: Açık rıza nedir? Açık rıza nasıl alınır ve neden gereklidir?

Açık rızayı açıklamadan önce bazı kavramlara değinmek önem arz eder. Bu kavramları tam olarak tanımadan ve anlamadan doğrudan açık rızayı anlamaya çalışırsanız, bu çabanız büyük ihtimalle boşa gidecektir. Bu nedenle, gelin öncelikle KVKK ile ilgili temel kavramları görelim ki açık rıza kavramını daha net anlayabilelim.

Yine de bu kadar teferruatın size gerek olmadığını düşünüyorsanız, yazının bu ilk bölümlerini geçerek doğrudan açık rıza ile ilgili kısma da göz atabilirsiniz?

KVKK nedir?

Sorulması gereken ilk ve en temel soru budur. Çünkü açık rıza kavramını hayatımıza sokan KVKK’nın ta kendisidir.

KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır ve 2016 yılında yürürlüğe giren KVKK ile birlikte, kişisel verilerin işlenmesi bazı kurallara bağlanmıştır. O halde şu sorunun sorulması için tam zamanı olduğunu söyleyebiliriz: Kişisel veri nedir?

İlgili Makaleler
kvkk açık rıza

Kişisel veri nedir?

Kişisel verinin tanımını hem mevzuata hem de Kişisel Verileri Koruma Kurumu’na bırakalım. Kişisel veri, 6698 sayılı Kanunun gerekçesinde şöyle tanımlanmıştır:

“Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgidir.”

Kanun metninde de benzer bir tanım tercih edilmiştir:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.”

6698 sayılı Kanun kapsamında vücuda getirilen Kişisel Bilgileri Korumu Kurumu da kişisel bilgiyi şöyle tanımlar:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir”.

Bkz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

Kişisel veri o kadar çeşitlidir ki; bunları tek tek saymak mümkün olmaz. Ancak kişisinin ayakkabı numarasından boyuna, saç renginden kullandığı telefon markasına kadar; onu belirlenebilir kılacak her türlü veri kişisel veridir.

açık rıza nedir

Kişisel verilerin korunması neden gerekiyor?

Kişisel veri, onlarca yıldır üzerinde tartışılan ve bilgi teknolojilerinin hayatımızdaki yerinin artmasıyla, daha sık gündeme gelen bir kavramdır.

Eğitimden sağlığa, turizmden mobil iletişime kadar neredeyse her şeyin dijitalleştiği bir çağda, kişisel verilerimizi üreticilerle paylaşıyoruz ve bunu bazen isteyerek yaparken, çoğu zaman istemesek de bilgilerimiz başkalarının eline geçebiliyor.

İşte kişisel verinin korunması kavramının bu denli önemli olması, kişilere ait olan bilgilerin, onların şahsiyetinden ayrılamamasından ileri gelir. Bir kişi sadece vücudundan ibaret değildir; adıyla, cinsiyetiyle, inancıyla, kullandığı telefon modeliyle, alışkanlıklarıyla, yediği yemekle ya da yaptığı tatille bir bütündür.

Bütün bu verilerin gizli kalmasını isteme hakkı, en az onları paylaşma hakkının olması kadar doğaldır. Son yıllarda tüm dünyada kişisel verilerin elde edilmesi, muhafazası ve dağıtılması konusunda yaşanan tartışmalardan ülkemiz de uzak kalmamış ve kamu otoritesi de buna ilişkin düzenlemeler yapmıştır.

Çünkü kişisel veriler alenileşmiş, elden ele dolaşmaya başlamış ve açıkçası biraz da kontrolden çıkmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile işte tüm bu düzensizliğin kurallara bağlanması amaçlanmıştır.

Veri sorumlusu kimdir?

Biliyorum, tanımlar ve kavramlar birbirine karışmaya başladı; ancak veri sorumlusu kavramını açıklamadan açık rızayı anlamak da mümkün olmayacaktır.

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

açık rıza nasıl alınır?

İlgili kişi kimdir?

Son olarak kabaca açıklamamız gereken diğer kavram ilgili kişi olup ilgili kişi, kişisel verisi işlenen gerçek kişidir. 6698 sayılı Kanunda, sadece gerçek kişilerin verilerinin korunması öngörülmüştür ve tüzel kişilerin verileri Kanun kapsamı dışında tutulmuştur.

Açık rıza kavramı

Açık rıza kavramını açıklamadan önce, buraya kadar yazılanları kısaca özetlemek yararlı olacaktır. Buna göre elimizde şu kavramlar var:

  • Kişisel veri
  • Veri sorumlusu
  • İlgili kişi

O halde; açık rıza kavramını en temel şekilde şöyle tanımlayabiliriz: Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.

Burada açık rızayı alacak olan VERİ SORUMLUSU, açık rızayı verecek olan İLGİLİ KİŞİ ve açık rızanın konusu ise KİŞİSEİ VERİ olacaktır.

Açık rıza ne içermelidir?

Açık rıza, ilk bakışta basit gibi görünen; ancak ağır şartlara tabi olan husustur. Öyle ki; aşağıdaki üç şartı bir arada içermeyen bir açık rıza kabul edilmiş bile olsa, açık rıza alınmış sayılmayacaktır:

  • Açık rıza belirli bir konuya ilişkin olmalı
  • Açık rıza bilgilendirmeye dayanmalı
  • Açık rıza özgür iradeyle açıklanmalı

Açık rıza metninde sınırlı bir konu olmalı, kişi öncesinde mutlaka bilgilendirilmiş olmalı ve açık rıza özgür irade ile verilmelidir.

Açık rızayı daha ayrıntılı incelemeden önce, şu sorunun yanıtını aramak daha doğru olacaktır: Açık rıza neden gerekir?

Açık rıza neden gerekiyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun, gerçek kişilerin kişisel verilerinin işlenmesini birtakım kurallara bağladığını belirtmiştik. İşte bunlardan belki de ilki açık rızadır.

Bir kimsenin kişisel verilerini işlemek isteyen veri sorumlusu; bunun için ya kanunda açıkça yazan hallerin birine dayanmalı ya da açık rıza aramalıdır. Kanunda yazılı haller şunlardır ve bunlar söz konusu olduğunda açık rıza alınması gerekmez ve dahi alınmaması gerekir:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getire-bilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

İşte yukarıda hallerden birisi dahi söz konusu değilse ve ilgili kişinin kişisel verisi işlenecekse, işlemeden önce açık rızanın alınması gerekir.

Açık rıza alınmazsa ne olur?

Açık rıza alınmadığı anda, sonrasında kişisel verinin işlenmesi, muhafazası ya da paylaşılması hususları da gayrimeşru hale gelecek ve tüm süreç sakat olacaktır.

Üstelik rızası alınmadan kişisel verisi işlenen gerçek kişi şikâyet yoluna gittiğinde, veri sorumlusu ciddi idari para cezalarıyla muhatap olabilecek ve ayrıca ilgili kişinin mahkemeler nezdinde dava açmak hakkı da saklı olacaktır.

açı krıza metni örneği

Açık rıza ne zaman alınmalıdır?

Açık rıza mutlaka, veri işlenmeden önce alınmalıdır. Yani veri sorumlusu öyle bir sistem kurmalıdır ki; kişisel veriyi işlemeden önce, ilgili kişinin açık rızasını almış bulunsun.

Örneğin internet sitesinde alışveriş tamamlamadan hemen önce ziyaretçinin önüne çıkarılacak ve onaylatılacak bir açık rıza metni ya da otele giriş yapan müşteriye imzalatılacak bir açık rıza beyanı bu kabilden olacaktır.

Açık rıza yazılı olmak zorunda mı?

Açık rıza için kanunen öngörülmüş bir şekil şartı yoktur. Açık rızanın alındığının ispat yükümlülüğü, veri sorumlu-suna aittir. Böyle olunca; açık rızanın alındığının yazılı olarak ya da ses kaydıyla veya internette log kaydı tutularak ve benzeri yollarla ispatlanabilmesi önem arz eder.

Yine de bu sadece bir ispat şartıdır. Açık rızanın alınması için o kadar şekil serbestisi vardır ki, bazen hiçbir şey yapmamak bile, işlenecek kişisel verinin ne olduğu ne amaçla işleneceği ve kimlerle paylaşılacağı biliniyorsa, rıza vermek anlamına gelebilir.

Açık rıza alınınca kişisel veriler sınırsızca işlenebilir mi?

Açık rıza mutlaka belirli konularda verilmelidir. Bunun anlamı; sadece hangi konularda kişisel verinin işlenmesine rıza gösterilmişse, ancak o konularda açık rızanın geçerli olacağıdır.

Açık rızası alınan bir ilgili kişinin; tüm kişisel verilerinin sınırsızca ve dilediğince işlenmesi elbette mümkün değildir.

Genel açık rıza olmaz

Açık rıza metninin en temel özelliği; belirli bir konuyu içermesidir. Böylece açık rıza adeta hedefe atılan bir ok gibi olmalı ve ne için açık rıza alındığı net şekilde belli olmalıdır.

Genel içerikli ve adeta torba gibi her şey için açık rıza alınırsa, bu açık rıza geçersiz olacaktır. Örneğin “Kişisel verilerimin işlenmesine izin veriyorum” gibi bir ibareyle açık rıza alınması kesinlikle ama kesinlikle yasal olmayacaktır.

Açık rıza nasıl verilir?

Açık rızanın verilmesi de herhangi bir şekil şartına bağlanmamıştır. Hatta sessiz kalınarak bile verilebilir. Burada önemli olan; ilgili kişinin, öncesinde bilgilendirildiği sınırlı bir konu hakkında özgür iradesiyle beyanda bulunmasıdır.

Yine de uygulamada açık rızanın şu yöntemlerle verildiği görülmektedir:

  • Telefona gelen SMS bağlantılarını tıklayarak
  • Yazılı bir evrakı imzalayarak
  • Dijital / E imza kullanarak
  • Bilgisayar / Telefon kullanırken çıkan kutucukları işaretleyerek

Yukarıdaki örnekler çoğaltılabilir; ama açık rıza verecek olan kişinin şu şartların var olup olmadığını açık rıza alınması sırasında kontrol etmesi gerekir:

  • Açık rıza alınmadan önce aydınlatma metnini görmem / okumam mümkün oldu mu?
  • Bu açık rıza metninde, hangi kişisel verilerin işleneceği özel olarak belirtilmiş mi?
  • Bu açık rızayı özgür irademle mi veriyorum?
açık rıza verilmesi

Açık rıza geri alınabilir mi?

Açık rıza tıpkı verilmesinde olduğu gibi, geri alınmasında da özgür iradeye tabidir. Yani herhangi bir kişisel verisinin işlenmesi için açık rıza veren kişi, bu açık rızayı dilediği zaman geri alabilir.

Bu geri alma işleminin, açık rızanın verildiği usulde yapılması doğru olacaktır. Örneğin kişi açık rızayı yazılı olarak vermişse, geri alma işlemini de yazılı olarak yapmalıdır.

SMS kodu ya da dijital onay şeklinde açık rıza verenlerin yapması gereken ise, elektronik ya da fiziksel yollarla veri sorumlusuna başvurarak açık rızasını geri almak olmalıdır.

Açık rıza ön şart olamaz

Açık rıza ile ilgili bir başka konu ise açık rızanın, bir şeyin kullanımı öncesi şart olarak sunulamamasıdır. Örneğin bir internet sitesine girmek isteyen ziyaretçiye, açık rıza metnine onay vermeden siteye girilemeyeceğini söylemek yanlış olacaktır.

Ya da bir spor salonuna kayıt olmadan önce açık rıza metninin imzalanmasının zorunlu olması da mümkün değildir.

Açık rıza, herhangi bir hizmetten faydalanmanın ön şartı olarak belirlenemez ve belirlenirse bütün süre. Kendiliğinden sakat hale gelir.

Açık rıza örneği

Eğer internette maktu bir açık rıza metni arıyorsanız ve size bunu sunacağını iddia eden bir web sitesiyle karşılaştıysanız, orayı hemen terk etmenizi öneririm.

Çünkü KESİNLİKLE ama kesinlikle maktu ve herkesin kullanabileceği bir açık rıza metni örneği yoktur. İşlenecek kişisel verinin niteliğine, ilgili kişinin kimliğine ve diğer şartlara göre özel bir açık rıza metni hazırlanması gerekir.

Yine de size ÖRNEK olması açısından bir açık rıza metni paylaşacağım. Bu açık rıza metni, şirketin çalışanlarına yönelik olacaktır. Unutmayın ki; şirketteki çalışanlar için ayrı, çalışan adayları için ayrı veya tedarikçiler için ayrı açık rıza alınması gerekir. Her bir muhatap için benzersiz ve kanunun aradığı şartları taşıyan bir açık rıza metni hazırlanmalıdır.

Çalışan açık rıza örneğini Word dosyası olarak aşağıdaki bağlantıdan indirebilir ve böylece konu hakkında daha net fikir sahibi olabilirsiniz:

https://drive.google.com/file/d/1udvhVOHE6OVfTgZrkuNeyM3hwFbf8LWZ/view?usp=sharing

SONUÇ

Açık rıza ile ilgili bilmeniz gereken ilk husus, kişisel veri işlenmeden önce alınması gerektiğidir. Yukarıda ilgili bölümde açıkladığımız üzere; kanunun öngördüğü özel şartlar varsa açık rıza alınması gerekmez.

Ancak bu şartlar çok istisnaidir ve genel anlamda, bir kişisel veri işlenmeden önce ilgili kişiden açık rıza alınması gerekir.

Açık rıza konusu o kadar önemlidir ki; kişisel veri işleme sürecinin adeta başlangıcı olan bu adımda hata yapılırsa, tüm süreç kendiliğinden sakat hale gelecektir.

Örneğin bir veri sorumlusu elindeki kişisel verileri doğru şekilde işlese, muhafaza etse veya paylaşsa bile; eğer açık rızayı almamış ya da yanlış almışsa, bundan sonra yaptıklarının bir anlamı kalmayacaktır.

Açık rıza hakkında sormak istediğini tüm soruları, yazının altındaki yorum bölümünden bana iletebilirsiniz.

VERBİS kaydının nasıl yapılması gerektiğini açıkladığım yazıma da şu bağlantıdan ulaşabilirsiniz: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

12 adımda kvkk kitabı mustafa baysal

Mustafa BAYSAL

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK. Nasıl mı? Hemen üste bakın :)

İlgili Makaleler

2 Yorum

  1. Bu KVKK konusunda bir şey anladıysam arabın önde gideni olayım.
    Hiç bir yerde Nasıl hazırlandığı ile ilgili anlaşılır Kapsamlı, Tam Detaylı Nasıl hazırlanacağı ile ilgili dişe dokunur adam gibi Örnek bulamadım. Bulunan örnekleri hepsi yokuşa sürülmüş şekilde
    Sonuç: Sanırım birilerine rant açılmış, Veri hazırlama prosedürlerinin oluşturabilmek amacıyla Rant işine benziyor.

    Personellerin bütün verilerini ****** şeklinde gizleyerek sadece ad soyad tc kimlik bilgileri ile işlem yapma kararı alıp
    2 satırlık envanter çıkarma ile sıyrılma kararı aldık.
    veya çok zorlarsa, Bu nedenle bu envanter işini yapmama kararı aldım, boş beleş işler bunlar.

    1. Merhaba, bu konuda duyduğum en açık sözlü yorum oldu 🙂 Ama sizi çok iyi anlıyorum. Ancak sizin de şunu anlamanız gerekiyor ki; bir işverenin her şeyi kendi yapması da zaten mümkün olmaz ve olmamalı. Örneğin bir işveren işçisiyle yaşadığı sorun olduğunda iş davasını bizzat mı takip ediyor? Ya da icra ile ilgili bir işi olduğunda süreci bizzat mı yürütüyor? İşveren muhasebeyi bilmek zorunda mı?
      Demem o ki; evet KVKK uyum süreci gerçekten de çok teknik ve anlaşılması güç. Daha da önemlisi, uzmanlık ve yetkinlik gerektiriyor. Böyle olunca, bir başkasının uzmanlığına ve yetkinliğine ihtiyaç duyulması neden kötü olsun?
      Dediğiniz yöntemle ilerlerseniz, hiç ummadığınız bir anda astarı yüzünden pahalıya gelebilir ve hem tahmin edemeyeceğiniz kadar yüksek idari para cezalarıyla hem de cezai sorumluluklarla karşılaşabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu