KVKK

Açık rıza nedir ve nasıl alınır?

Son yıllarda hayatımıza giren açık rıza kavramı internet üzerinde birçok kaynakta açıklanmış olsa da halen tam anlaşılamadığını düşünüyorum. Bunun nedeni; açık rıza anlatılırken hukuki terimlere bağlı kalınması ve mevzuat metinlerinin sıralanması olsa gerek. Bu yazıda, şu soruların cevabını birlikte ve kolayca bulacağız: Açık rıza nedir? Açık rıza nasıl alınır ve neden gereklidir?

Açık rızayı açıklamadan önce bazı kavramlara değinmek önem arz eder. Bu kavramları tam olarak tanımadan ve anlamadan doğrudan açık rızayı anlamaya çalışırsanız, bu çabanız büyük ihtimalle boşa gidecektir. Bu nedenle, gelin öncelikle KVKK ile ilgili temel kavramları görelim ki açık rıza kavramını daha net anlayabilelim.

Yine de bu kadar teferruatın size gerek olmadığını düşünüyorsanız, yazının bu ilk bölümlerini geçerek doğrudan açık rıza ile ilgili kısma da göz atabilirsiniz?

KVKK nedir?

Sorulması gereken ilk ve en temel soru budur. Çünkü açık rıza kavramını hayatımıza sokan KVKK’nın ta kendisidir.

KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır ve 2016 yılında yürürlüğe giren KVKK ile birlikte, kişisel verilerin işlenmesi bazı kurallara bağlanmıştır. O halde şu sorunun sorulması için tam zamanı olduğunu söyleyebiliriz: Kişisel veri nedir?

Bunlara göz atmadan gidersen, pişman olabilirsin!
kvkk açık rıza

Kişisel veri nedir?

Kişisel verinin tanımını hem mevzuata hem de Kişisel Verileri Koruma Kurumu’na bırakalım. Kişisel veri, 6698 sayılı Kanunun gerekçesinde şöyle tanımlanmıştır:

“Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgidir.”

Kanun metninde de benzer bir tanım tercih edilmiştir:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.”

6698 sayılı Kanun kapsamında vücuda getirilen Kişisel Bilgileri Korumu Kurumu da kişisel bilgiyi şöyle tanımlar:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir”.

Bkz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

Kişisel veri o kadar çeşitlidir ki; bunları tek tek saymak mümkün olmaz. Ancak kişisinin ayakkabı numarasından boyuna, saç renginden kullandığı telefon markasına kadar; onu belirlenebilir kılacak her türlü veri kişisel veridir.

açık rıza nedir

Kişisel verilerin korunması neden gerekiyor?

Kişisel veri, onlarca yıldır üzerinde tartışılan ve bilgi teknolojilerinin hayatımızdaki yerinin artmasıyla, daha sık gündeme gelen bir kavramdır.

Eğitimden sağlığa, turizmden mobil iletişime kadar neredeyse her şeyin dijitalleştiği bir çağda, kişisel verilerimizi üreticilerle paylaşıyoruz ve bunu bazen isteyerek yaparken, çoğu zaman istemesek de bilgilerimiz başkalarının eline geçebiliyor.

İşte kişisel verinin korunması kavramının bu denli önemli olması, kişilere ait olan bilgilerin, onların şahsiyetinden ayrılamamasından ileri gelir. Bir kişi sadece vücudundan ibaret değildir; adıyla, cinsiyetiyle, inancıyla, kullandığı telefon modeliyle, alışkanlıklarıyla, yediği yemekle ya da yaptığı tatille bir bütündür.

Bütün bu verilerin gizli kalmasını isteme hakkı, en az onları paylaşma hakkının olması kadar doğaldır. Son yıllarda tüm dünyada kişisel verilerin elde edilmesi, muhafazası ve dağıtılması konusunda yaşanan tartışmalardan ülkemiz de uzak kalmamış ve kamu otoritesi de buna ilişkin düzenlemeler yapmıştır.

Çünkü kişisel veriler alenileşmiş, elden ele dolaşmaya başlamış ve açıkçası biraz da kontrolden çıkmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile işte tüm bu düzensizliğin kurallara bağlanması amaçlanmıştır.

Veri sorumlusu kimdir?

Biliyorum, tanımlar ve kavramlar birbirine karışmaya başladı; ancak veri sorumlusu kavramını açıklamadan açık rızayı anlamak da mümkün olmayacaktır.

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

açık rıza nasıl alınır?

İlgili kişi kimdir?

Son olarak kabaca açıklamamız gereken diğer kavram ilgili kişi olup ilgili kişi, kişisel verisi işlenen gerçek kişidir. 6698 sayılı Kanunda, sadece gerçek kişilerin verilerinin korunması öngörülmüştür ve tüzel kişilerin verileri Kanun kapsamı dışında tutulmuştur.

Açık rıza kavramı

Açık rıza kavramını açıklamadan önce, buraya kadar yazılanları kısaca özetlemek yararlı olacaktır. Buna göre elimizde şu kavramlar var:

  • Kişisel veri
  • Veri sorumlusu
  • İlgili kişi

O halde; açık rıza kavramını en temel şekilde şöyle tanımlayabiliriz: Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.

Burada açık rızayı alacak olan VERİ SORUMLUSU, açık rızayı verecek olan İLGİLİ KİŞİ ve açık rızanın konusu ise KİŞİSEİ VERİ olacaktır.

Açık rıza ne içermelidir?

Açık rıza, ilk bakışta basit gibi görünen; ancak ağır şartlara tabi olan husustur. Öyle ki; aşağıdaki üç şartı bir arada içermeyen bir açık rıza kabul edilmiş bile olsa, açık rıza alınmış sayılmayacaktır:

  • Açık rıza belirli bir konuya ilişkin olmalı
  • Açık rıza bilgilendirmeye dayanmalı
  • Açık rıza özgür iradeyle açıklanmalı

Açık rıza metninde sınırlı bir konu olmalı, kişi öncesinde mutlaka bilgilendirilmiş olmalı ve açık rıza özgür irade ile verilmelidir.

Açık rızayı daha ayrıntılı incelemeden önce, şu sorunun yanıtını aramak daha doğru olacaktır: Açık rıza neden gerekir?

Açık rıza neden gerekiyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun, gerçek kişilerin kişisel verilerinin işlenmesini birtakım kurallara bağladığını belirtmiştik. İşte bunlardan belki de ilki açık rızadır.

Bir kimsenin kişisel verilerini işlemek isteyen veri sorumlusu; bunun için ya kanunda açıkça yazan hallerin birine dayanmalı ya da açık rıza aramalıdır. Kanunda yazılı haller şunlardır ve bunlar söz konusu olduğunda açık rıza alınması gerekmez ve dahi alınmaması gerekir:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getire-bilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

İşte yukarıda hallerden birisi dahi söz konusu değilse ve ilgili kişinin kişisel verisi işlenecekse, işlemeden önce açık rızanın alınması gerekir.

Açık rıza alınmazsa ne olur?

Açık rıza alınmadığı anda, sonrasında kişisel verinin işlenmesi, muhafazası ya da paylaşılması hususları da gayrimeşru hale gelecek ve tüm süreç sakat olacaktır.

Üstelik rızası alınmadan kişisel verisi işlenen gerçek kişi şikâyet yoluna gittiğinde, veri sorumlusu ciddi idari para cezalarıyla muhatap olabilecek ve ayrıca ilgili kişinin mahkemeler nezdinde dava açmak hakkı da saklı olacaktır.

açı krıza metni örneği

Açık rıza ne zaman alınmalıdır?

Açık rıza mutlaka, veri işlenmeden önce alınmalıdır. Yani veri sorumlusu öyle bir sistem kurmalıdır ki; kişisel veriyi işlemeden önce, ilgili kişinin açık rızasını almış bulunsun.

Örneğin internet sitesinde alışveriş tamamlamadan hemen önce ziyaretçinin önüne çıkarılacak ve onaylatılacak bir açık rıza metni ya da otele giriş yapan müşteriye imzalatılacak bir açık rıza beyanı bu kabilden olacaktır.

Açık rıza yazılı olmak zorunda mı?

Açık rıza için kanunen öngörülmüş bir şekil şartı yoktur. Açık rızanın alındığının ispat yükümlülüğü, veri sorumlu-suna aittir. Böyle olunca; açık rızanın alındığının yazılı olarak ya da ses kaydıyla veya internette log kaydı tutularak ve benzeri yollarla ispatlanabilmesi önem arz eder.

Yine de bu sadece bir ispat şartıdır. Açık rızanın alınması için o kadar şekil serbestisi vardır ki, bazen hiçbir şey yapmamak bile, işlenecek kişisel verinin ne olduğu ne amaçla işleneceği ve kimlerle paylaşılacağı biliniyorsa, rıza vermek anlamına gelebilir.

Açık rıza alınınca kişisel veriler sınırsızca işlenebilir mi?

Açık rıza mutlaka belirli konularda verilmelidir. Bunun anlamı; sadece hangi konularda kişisel verinin işlenmesine rıza gösterilmişse, ancak o konularda açık rızanın geçerli olacağıdır.

Açık rızası alınan bir ilgili kişinin; tüm kişisel verilerinin sınırsızca ve dilediğince işlenmesi elbette mümkün değildir.

Genel açık rıza olmaz

Açık rıza metninin en temel özelliği; belirli bir konuyu içermesidir. Böylece açık rıza adeta hedefe atılan bir ok gibi olmalı ve ne için açık rıza alındığı net şekilde belli olmalıdır.

Genel içerikli ve adeta torba gibi her şey için açık rıza alınırsa, bu açık rıza geçersiz olacaktır. Örneğin “Kişisel verilerimin işlenmesine izin veriyorum” gibi bir ibareyle açık rıza alınması kesinlikle ama kesinlikle yasal olmayacaktır.

Açık rıza nasıl verilir?

Açık rızanın verilmesi de herhangi bir şekil şartına bağlanmamıştır. Hatta sessiz kalınarak bile verilebilir. Burada önemli olan; ilgili kişinin, öncesinde bilgilendirildiği sınırlı bir konu hakkında özgür iradesiyle beyanda bulunmasıdır.

Yine de uygulamada açık rızanın şu yöntemlerle verildiği görülmektedir:

  • Telefona gelen SMS bağlantılarını tıklayarak
  • Yazılı bir evrakı imzalayarak
  • Dijital / E imza kullanarak
  • Bilgisayar / Telefon kullanırken çıkan kutucukları işaretleyerek

Yukarıdaki örnekler çoğaltılabilir; ama açık rıza verecek olan kişinin şu şartların var olup olmadığını açık rıza alınması sırasında kontrol etmesi gerekir:

  • Açık rıza alınmadan önce aydınlatma metnini görmem / okumam mümkün oldu mu?
  • Bu açık rıza metninde, hangi kişisel verilerin işleneceği özel olarak belirtilmiş mi?
  • Bu açık rızayı özgür irademle mi veriyorum?
açık rıza verilmesi

Açık rıza geri alınabilir mi?

Açık rıza tıpkı verilmesinde olduğu gibi, geri alınmasında da özgür iradeye tabidir. Yani herhangi bir kişisel verisinin işlenmesi için açık rıza veren kişi, bu açık rızayı dilediği zaman geri alabilir.

Bu geri alma işleminin, açık rızanın verildiği usulde yapılması doğru olacaktır. Örneğin kişi açık rızayı yazılı olarak vermişse, geri alma işlemini de yazılı olarak yapmalıdır.

SMS kodu ya da dijital onay şeklinde açık rıza verenlerin yapması gereken ise, elektronik ya da fiziksel yollarla veri sorumlusuna başvurarak açık rızasını geri almak olmalıdır.

Açık rıza ön şart olamaz

Açık rıza ile ilgili bir başka konu ise açık rızanın, bir şeyin kullanımı öncesi şart olarak sunulamamasıdır. Örneğin bir internet sitesine girmek isteyen ziyaretçiye, açık rıza metnine onay vermeden siteye girilemeyeceğini söylemek yanlış olacaktır.

Ya da bir spor salonuna kayıt olmadan önce açık rıza metninin imzalanmasının zorunlu olması da mümkün değildir.

Açık rıza, herhangi bir hizmetten faydalanmanın ön şartı olarak belirlenemez ve belirlenirse bütün süre. Kendiliğinden sakat hale gelir.

Açık rıza örneği

Eğer internette maktu bir açık rıza metni arıyorsanız ve size bunu sunacağını iddia eden bir web sitesiyle karşılaştıysanız, orayı hemen terk etmenizi öneririm.

Çünkü KESİNLİKLE ama kesinlikle maktu ve herkesin kullanabileceği bir açık rıza metni örneği yoktur. İşlenecek kişisel verinin niteliğine, ilgili kişinin kimliğine ve diğer şartlara göre özel bir açık rıza metni hazırlanması gerekir.

Yine de size ÖRNEK olması açısından bir açık rıza metni paylaşacağım. Bu açık rıza metni, şirketin çalışanlarına yönelik olacaktır. Unutmayın ki; şirketteki çalışanlar için ayrı, çalışan adayları için ayrı veya tedarikçiler için ayrı açık rıza alınması gerekir. Her bir muhatap için benzersiz ve kanunun aradığı şartları taşıyan bir açık rıza metni hazırlanmalıdır.

Çalışan açık rıza örneğini Word dosyası olarak aşağıdaki bağlantıdan indirebilir ve böylece konu hakkında daha net fikir sahibi olabilirsiniz:

https://drive.google.com/file/d/1udvhVOHE6OVfTgZrkuNeyM3hwFbf8LWZ/view?usp=sharing

SONUÇ

Açık rıza ile ilgili bilmeniz gereken ilk husus, kişisel veri işlenmeden önce alınması gerektiğidir. Yukarıda ilgili bölümde açıkladığımız üzere; kanunun öngördüğü özel şartlar varsa açık rıza alınması gerekmez.

Ancak bu şartlar çok istisnaidir ve genel anlamda, bir kişisel veri işlenmeden önce ilgili kişiden açık rıza alınması gerekir.

Açık rıza konusu o kadar önemlidir ki; kişisel veri işleme sürecinin adeta başlangıcı olan bu adımda hata yapılırsa, tüm süreç kendiliğinden sakat hale gelecektir.

Örneğin bir veri sorumlusu elindeki kişisel verileri doğru şekilde işlese, muhafaza etse veya paylaşsa bile; eğer açık rızayı almamış ya da yanlış almışsa, bundan sonra yaptıklarının bir anlamı kalmayacaktır.

Açık rıza hakkında sormak istediğini tüm soruları, yazının altındaki yorum bölümünden bana iletebilirsiniz.

VERBİS kaydının nasıl yapılması gerektiğini açıkladığım yazıma da şu bağlantıdan ulaşabilirsiniz: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

12 adımda kvkk kitabı mustafa baysal

Mustafa Baysal

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

18 Yorum

  1. Merhaba,

    Bilgi Teknolojileri ve İletişim Kurumu nun pek çok bilişim tabanlı eğitimi barındıran BTK Akademi diye bir sitesi var. (https://www.btkakademi.gov.tr/) Bu sitedeki eğitimleri e-devlet üzerinden ya da 1 milyon istihdam proje sitesi üzerinden erişebiliyorsunuz. Ben 1 milyon istihdam sitesi üzerinden erişmeye çalıştığımda Açık Rıza Onayı altında pek çok şeyin talep edildiğini gördüm. Dahası bu onayı vermeden siteye giremiyorsunuz bile. Bahsettiğim onay metnini şuradan inceleyebilirsiniz: https://drive.google.com/file/d/1yJPF92x7Rsu2Cl50QMGYA5_gRYzco65F/view?usp=sharing

    Devletin sunduğu ve zaten ücretsiz olan eğitimleri izlemek için bu kadar bilgiyi teslim etmek zorunda oluşumuzun manasını anlayamadım. Üstelik bu eğitimlerin bazısı eğitimi veren hocaların youtube kanallarında herkese açık olarak zaten sunulmakta. Her eğitim BTK ya özel çekilmiş de değil. Bu durumun hukuki olduğunu söyleyebilir miyiz ? Devlet 3. taraflara verilerimizi paylaşmak için bahane arıyor olabilir mi? Bu konuyu nasıl değerlendirmeliyiz…

    İyi çalışmalar dilerim.

    1. Merhaba, Kişisel Verileri Koruma Kurulu’nun hizmetin açık rıza şartına bağlanamayacağına dair pek çok kararı mevcut. Ancak bazı durumlarda, açık rızanız alınmadan ilerlemek gerçekten de mümkün olmayabilir. Verdiğiniz örnek dokümanda fazla sayıda kişisel veri içim açık rıza talep edilmiş. Buradaki esas soru şu olmalı: Bütün bu kişisel veriler için açık rıza gerçekten de gerekiyor mu yoksa kanundan kaynaklanan işleme sebepleri mevcut mu? Bu soruların cevabını merak ediyorsanız, KVKK’ya şikayet oluşturabilir ve sonucu öğrenebilirsiniz.

      1. Tekrar merhaba, ilginiz için teşekkür ederim. KVKK şikayeti ile ilgili kendi sitesinde şöyle bir bilgi var: “İlgili kişinin şikayet yoluna başvurulabilmesi için ilk olarak veri sorumlusuna Kanunun 13. maddesi uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin veri sorumlusuna başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.” (https://www.kvkk.gov.tr/Icerik/2063/Sikayet-Hakki) Bu durumda öncelikle BTK ile konuyu görüşmek gerekiyor sanırım. BTK yı nereye şikayet edebileceğimi ise anlayamadım. Tüketici şikayet sistemleri var ama bu bilişim konuları/firmaları ile ilgili şikayetler hakkında sanırım. Buradan kendileri ile ilgili şikayet oluşturduğumda ilgilenilir mi? Sizin bu konuda tecrübeleriniz varsa ve paylaşırsanız sevinirim. Bir eğitim videosu izlemek için çocuk sayısı bilgisini vermenin ve 3. taraflarca da paylaşılmasının rızası pek normal gelmiyor bana.

        1. Rica ederim, sitemde kvkk şikayetinin nasıl yapılacağını izah ettiğim bir makalem mevcut, gayet yeterli olacaktır. Orada da belirttiğim üzere, unutmamalısınız ki; şikayetten önce veri sorumlusuna başvurmuş olmanız gerekiyor.

  2. Merhabalar, bir vakıf tüzel kişisinin toplantı yapması sonucunda bu yapılan toplantı ses ve görüntüye alınarak ilgili sosyal mecralarda paylaşılmak isteniyor. bu hususta kişisel verilerin işlenmesi adına herhangi aykırı bir tutum oluşmaması adına size birkaç sorum olacaktı. ilk sorum, bu toplantıya katılan kişilerin bazıları dışarıdan gelerek toplantı konusuna yönelik bilgi vermek istemiştir, katkıda bulunmuşlar ve ilgili kişilerin görüntüleri ve sesleri söz konusu, bunlardan ayrı ayrı açık rıza ve aydınlatma metni ayarlayarak bir izin mi almamız gerekiyor. ikinci sorum bu kişilere whatsapp üzerinden yazılı bir şekilde açık rıza metni yazsak ve bunu sadece kabul ediyorum onaylıyorum gibi diye ifade etseler açık rıza metni geçerlş olur mu? ek olarak bu soruyla bağlantılı olarak aydınlatma metin belirtmeden sadece açık rıza metni ile açık rıza beyanı alabilir miyim? son sorum diğer konuşmacı kişiler vakıf tüzel kişiliği adı altında görevli ve yetkili olan kişilerdir, bu kişilerden teker teker açık rıza almak gerekiyor mu? aynı tüzel kişi altında oldukları için ve üye oldukları için gerekiyor mu?

    değerli zamanınız ve cevabınız için çok teşekkür ederim.

    1. Mert bey, size cevap vermek isterdim; fakat böylesine önemli bir konuda vakfın avukatına danışmanız doğru olacaktır. Buradan birkaç cümle ile cevap verilecek bir konu ne yazık ki değil.

  3. MERHABA MUSTAFA BEY, BİLGİLENDİRMENİZ İÇİN ÇOK TEŞEKKÜRLER.
    İNSAN KAYNAKLARIYIM, DOLAYISIYLA TÜM OLAYIMIZ ÇALIŞANLARIN ÖZLÜK DOSYASI.SANIRIM EN RİSKLİ BİRİMLER ARASINDA YER ALIYORUZ:/ BUNUN İÇİN NASIL BİR AYDINLATMA METNİ VE AÇIK RIZA BEYANI SUNMALIYIM?( İÇERİĞİ NASIL DÜZENLENMELİ?) BİRDE BU KANUN MADDELERİNİN BULUNDUĞU BİR SÖZLEŞMEDE HAZIRLAMAK GEREKİR DEĞİL Mİ? YARDIMCI OLURSANIZ ÇOK SEVİNİRİM

    1. Filiz hanım, sanırım hem KVKK hem de özel olarak açık rıza/aydınlatma konularını iyi anlamanız gerekiyor. Çünkü sorduğunuz sorunun cevabını hiçbir yerde bulamazsınız. İşyerinizde KVKK uyum süreci yürütülmeli ve oluşturulan envanter sonucunda dokümantasyon yapılmalı. İşin mantığını anlamak için, sitemdeki diğer KVKK makalelerine göz atmanızı öneririm.

  4. Merhabalar Mustafa Bey,öncelikle bu hassas konudaki bilgilendirmeleriniz ve sürece olan katkılarınız için teşekkürler.KVKK kapsamına yeni adapte olmaya çalışan bir adi şirket (klinik) olarak ,uyum sürecinde ,daha önceden kişisel verileri elde edilmiş ya da halihazırda tedavisi devam eden hastalarımız için açık rıza formu ve bilgilendirmesi hakkındaki tavsiyelerinizi rica ediyorum.Hastaların dosyalarına sonradan açık rıza formlarını eklemek mümkün olacak mıdır ,ne gibi bir yol izlenmeli

    1. Merhaba, teşekkür ederim. Kanun’un yürürlüğe girdiği tarihten itibaren 2 sene içinde eski kişisel verileri de kanuna uygun hale getirmeniz gerekirdi. Bu kapsamda önceden elde ettiğiniz ve açık rıza alınması icap eden kişisel verilerinizden açık rıza almadıklarınızı imha etmeli ya da bunlar için usulüne uygun şekilde açık rıza almalısınız. Sonradan ekleyebilirsiniz; ama tabi pratikte bunun yapılmasını çok zor olduğunu kabul etmek gerekir.

  5. Mustafa bey merhaba ;

    900 personelimiz var,matbu evrak değilde bütün çalışanların kep adresine açık rıza metin onayı göndersem,yasal olarak yeterlimidir.
    teşekkürler iyi çalışmalar.

    1. Merhaba, elbette olur. Ancak burada açık rızanın hangi şekilde alındığından daha önemli olan, içeriğinin doğru olmasıdır. İçeriği doğru olan bir açık rıza metni ıslak imzalı ya da KEP adresine vb. yöntemlerle gönderilebilir.

  6. Bu KVKK konusunda bir şey anladıysam arabın önde gideni olayım.
    Hiç bir yerde Nasıl hazırlandığı ile ilgili anlaşılır Kapsamlı, Tam Detaylı Nasıl hazırlanacağı ile ilgili dişe dokunur adam gibi Örnek bulamadım. Bulunan örnekleri hepsi yokuşa sürülmüş şekilde
    Sonuç: Sanırım birilerine rant açılmış, Veri hazırlama prosedürlerinin oluşturabilmek amacıyla Rant işine benziyor.

    Personellerin bütün verilerini ****** şeklinde gizleyerek sadece ad soyad tc kimlik bilgileri ile işlem yapma kararı alıp
    2 satırlık envanter çıkarma ile sıyrılma kararı aldık.
    veya çok zorlarsa, Bu nedenle bu envanter işini yapmama kararı aldım, boş beleş işler bunlar.

    1. Merhaba, bu konuda duyduğum en açık sözlü yorum oldu 🙂 Ama sizi çok iyi anlıyorum. Ancak sizin de şunu anlamanız gerekiyor ki; bir işverenin her şeyi kendi yapması da zaten mümkün olmaz ve olmamalı. Örneğin bir işveren işçisiyle yaşadığı sorun olduğunda iş davasını bizzat mı takip ediyor? Ya da icra ile ilgili bir işi olduğunda süreci bizzat mı yürütüyor? İşveren muhasebeyi bilmek zorunda mı?
      Demem o ki; evet KVKK uyum süreci gerçekten de çok teknik ve anlaşılması güç. Daha da önemlisi, uzmanlık ve yetkinlik gerektiriyor. Böyle olunca, bir başkasının uzmanlığına ve yetkinliğine ihtiyaç duyulması neden kötü olsun?
      Dediğiniz yöntemle ilerlerseniz, hiç ummadığınız bir anda astarı yüzünden pahalıya gelebilir ve hem tahmin edemeyeceğiniz kadar yüksek idari para cezalarıyla hem de cezai sorumluluklarla karşılaşabilirsiniz.

      1. Mustafa Bey merhaba,
        Öncelikle bir vatandaş olarak KVKK ile ilgili yapmış olduğunuz bilgilendirmeler için teşekkür ediyorum. Gerçekten KVKK süreçlerini gayet güzel bir şekilde anlatmışsınız.
        Açık Rıza ile ilgili matbu bir açık rızanın olamayacağını, her şirketin, veri sorumlusunun kendine özgü bir açık rıza metni/metinleri hazırlaması gerektiğini belirttikten sonra örnek bir açık rıza metni linki paylaşmışsınız. Metne baktığımda sanki genel/battaniye bir açık rıza metni şeklinde olmuş. Yani tek bir açık rıza metni içerisinde birden fazla kişisel ve özel nitelikli kişisel veri ile ilgili açık rıza istenmiş. Örneğin; sağlık verileri, ceza mahkumiyeti ve güvenlik tedbirleri, din, mezhep ve diğer inanç bilg. vb.
        Burda bana göre şöyle bir sıkıntı var. İlgili kişinin bütün bu verileriyle ilgili ayrı ayrı onay vermesi gerekmektedir. Zira ilgili kişi sağlık verilerinin işlenmesine onay verirken, ceza mahk. verisinin işlenmesine izin vermeyebilir. Dolayısıyla ilgili kişiye açık rızası ile ilgili her bir özel nit. verisi ile ilgili tercih hakkı verilmesi gerekirdi. Şu haliyle ya bütün bu verilerimin işlenmesine izin veriyrm, ya da vermiyorum şeklinde olmuş. Sizce de sakıncalı değil mi?

        1. Merhaba, çok değerli bir katkı vermişsiniz. Önce şunu söylemeliyim ki örnek açık rıza metni kesinlikle battaniye tarzında değildir ve özel bir çalışmanın ürünü olup örnek bir veri sorumlusu nezdinde gerçek kişisel verileri içerir.
          Fakat diğer eleştirinize katılabilirim, evet her bir kişisel veri için tek tek onay alma yoluna gidilebilir. Yine de aksi de mümkündür; çünkü benim örneğimdeki açık rıza metni örneğinde, açık rıza veren kişinin, ihtirazi kayıt koyması her zaman mümkündür.
          Her şeye rağmen, önerinizin kabul edilebilir olduğunu söylemeliyim, bundan sonraki çalışmalarımda dikkate alabilirim. Sadece, yeri geldiğinde kişinin doldurması gereken onlarca kutucuk olduğunda, bunun ne gibi sakıncasının olabileceği de düşünülmeli.

          1. Mustafa Bey cevabınız için teşekkürler,
            Cevabınızda bahsettiğiniz; “ilgili kişinin ihtirazi kayıt koyması her zaman mümkün” kısmı gayet mantıklı, ayrıca açık rıza metninin başında ki bilgilendirmeniz de bu açıdan destekleyici nitelikte ancak sanki şöyle bir metin eklense daha da isabetli olabilir, yani ilgili kişiyi bilgilendirme babında söylüyorum; onayınızın istendiği kişisel verilerinizle ilgili metne bir şerh düşerek dileliğinize onay verebilir, dilediğinize vermeyebilirsiniz. Böyle bir hakkının olduğunu ilgili kişiye en azından sunmak lazım. İnsanların kişisel veriler konusundaki bilgi durumu ve farkındalığı ortada malum.
            Onlarca kutucuğu doldurma ile ilgili sıkıntıya geldiğimizde aslında ben de size katılıyorum ancak ben bunu açık rıza metninin mevzuata tam olarak uygun olması adına söylemiştim. Yine çerez politikalarında ki durum da buna benzer. Yani çerezlerin alınmasını kabul ediyorum, etmiyorum yeterli değil. Şu an bir çok çerez hazırlama firması detaya inip zorunlu çerezler dışındaki çerezlerle ilgili kişiye tercih hakkı sunuyor. Hatta mevzuat bu noktada ilgili çerezin kabulünü kişiye sunarken de kapalı(yani onay vermiyorum) durumunda olmasını söylüyor. İlgili kişiyi durumla ilgili aksiyon almaya zorluyor yani. Diyeceğim o ki mevzuat bu şekilde kişisel verilerin işlenmesinde hassas olunmasını isterken ve beklerken açık rıza alımında da daha hassas davranmakta fayda görüyorum. Yani bence bir şekilde o kutucukları doldurmalı veya yanına imza kısmı açıp her veri için imza almalı . Kvkk konusunda biz işimizi kış tutalım artık yaz çıkarsa bahtımıza 🙂

          2. Söylediklerinize katılıyorum. Yaklaşımınız bu konuda ne kadar profesyonel olduğunuzu gösteriyor. KVKK söz konusu olduğunda, her türlü ayrıntıyı dikkate almak ve ilgili kişiyi en üst seviyede bilgilendirmek esas olmalı. Önerinizin kesinlikle dikkate alınacak bir öneri olduğuna inanıyorum. Tekrar katkınız için teşekkür ederim.

Aşağıdaki yazılara bakmadan gitme!
Kapalı
Başa dön tuşu