Özet

Bireyin özel hayatının ve kişilik haklarının korunmasını amaçlayan çağdaş hukuk alanlarından birisi de kişisel verilerin korunması hukukudur. Bu alanda kişisel verilerin işlenmesi kural olarak yasaklanmış, ancak belirli hukuka uygunluk hallerinin varlığı hâlinde mümkün kılınmıştır. Bu hukuka uygunluk hallerinden biri de ilgili kişinin hukuka uygun şartlarda alınmış açık rızasıdır. Çalışmamız, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde açık rıza kavramını irdelemekte; rızanın tanımı, unsurları, hukuki niteliği ve uygulanmasında ortaya çıkan sorunlar akademik ve karşılaştırmalı bir bakış açısıyla ele almaktadır.

1- Giriş

Teknolojik gelişmeler ve dijitalleşme, yapay zekânın aşama kaydetmesi kişisel verilerin işlenmesini hem yaygınlaştırmış, hem de bireylerin temel hak ve özgürlükleri açısından ciddi riskler doğurmuştur. Bu risklerin bertaraf edilmesi amacıyla kişisel verilerin işlenmesi, modern hukuk sistemlerinde sıkı kurallara bağlanmıştır. Her açıdan rizk taşıyan ve genişleyerek gündemi hareketlendiren bu alan Türk hukukunda bu alan 07.04.2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlayarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanzim edilmiş, buna mukabil Avrupa Birliği hukukunda ise GDPR ile kapsamlı bir koruma rejimi oluşturulmuştur.

Kişisel verilerin işlenmesi kural olarak hukuka aykırı kabul edilmekle birlikte, ancak kanunda sınırlı sayıda belirtilen hukuka uygunluk hallerinin varlığı durumunda mümkün kılınmıştır. Nihayet kişisel verilerin işlenmesinde açık rıza, bu hukuka uygunluk hallerinin en çok başvurulan ve aynı zamanda en tartışmalı olanıdır.[1]

2- Hukuka Uygunluk Kavramı ve Açık Rızanın Yeri

2.1- Hukuka uygunluk hallerinin genel çerçevesi

KVKK’nin 5 inci maddesinde kişisel verilerin işlenmesine ilişkin hukuka uygunluk halleri düzenlenmiştir. Buna göre metinde yer verilen işbu haller birbirlerine üstün olmamakta ve fakat her biri diğerlerinden bağımsız olarak var olması gereken hukuki bir olgudur.

2.1.1- genel hukuka uygunluk halleri

Veri öznesi olan kişinin kanunlarda açıkça öngörülmüş olma (KVKK’nin 6/3-b maddesi- GDPR’nin 6/1-e maddesi), fiili imkânsızlık nedeniyle rıza açıklanamayan veya hukuken geçerli rıza verilemeyen hallerde kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu görülmesi (KVKK’nin 5/2-b ve 6/3-c maddeleri), ilgilinin bizzat kendisinin alenîleştirmesi (KVKK’nin 5/2-d ve 6/3-ç maddeleri – GDPR’nin 9/2 inci maddesi), bir hakkın tesisi, kullandırılması veya korunması için veri işlemenin zorunlu olması (KVKK’nin 5/2-e ve 6/3-d maddeleri – GDPR’nin 9/2 inci maddesi), veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için gerekli bulunması (KVKK’nin 5/2-ç ve 5/2-e maddeleri), bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilişkili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin elzem olması (KVKK’nin 5/2-c,maddesi) ve veri öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu görülmesi (KVKK’nin 5/2-f maddesi – GDPR’nin 6/1-f maddesi) sayılmaktadır.[2]

2.1.2- özel nitelikli verilerin işlenmesinde hukuka uygunluk halleri

İlgili kişinin açık rızası (KVKK’nin 5/1-b maddesi), kanunlarda açıkça öngörülme (KVKK’nin 5/2-a ve 6/3-b maddeleri – GDPR’nin 6/1-e maddesi); fiilî imkânsızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasının hukuken geçerli olmadığına karar verilen kişinin kendi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (KVKK’nin 5/2-b ve 6/3-c maddeleri); verilerin veri sahibinin kendisi tarafından alenileştirilmesi (KVKK’nin 6/3-ç maddesi); bir hakkın tesisi, kullanılması veya korunması bakımından gerekli bulunması (KVKK’nin 5/2-e ve 6/3-d maddeleri); sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum/kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis-tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin plânlanmasında zorunluluk halinde işlenmesi (KVKK’nin 6/3-d ve 6/3-e maddeleri); istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukukî yükümlülüklerinin yerine getirilmesi için zorunlu olması (KVKK’nin 5/2-ç, 6/3-f maddeleri); siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumların tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla mevcut veya eski üyelerine veya mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması (KVKK’nin 6/3-g maddesi) yer almaktadır.[3]

3- Açık Rızanın Unsurları

3.1- Veri sahibinin bu yönde aktif bir hareketi/beyanı olmalıdır

Veri sahibi bu yöndeki rızasını yazılı, sözlü (görsel ya da işitsel olarak kayda alınmakla) ya da elektronik ileti yoluyla aktif bir eylem gerçekleştirerek ortaya koymalıdır.[4] Tıpkı bunun gibi; veri sahibi açık bir beyanını ortaya çıkaran boş kutucukları (opt-in box) işaretleyerek ya da ‘‘onaylıyorum’’ butonuna basarak da rıza verebilecektir.[5] Rızanın aktif bir fiille ortaya konması esaslı unsurlardan olup, rızanın tereddüde mahal bırakmadan dermeyan edilmemesi ya da açıkça anlaşılamadığı hallerde rızanın mevcut olduğundan söz edilemeyecektir. Buna göre; kişinin bir web sayfasında gezinmesi, o sayfanın sonuna kadar inmesi çerezlere rıza gösterdiği anlamına gelmeyeceği gibi[6] cep telefonuna ya da e-posta adresine gelen ticari amaçlı reklâmlara tekrar gönderilmemesi için karşılık vermeyip sessiz kalması da kişisel verilerinin işlenmesine rıza verdiği manasına gelmeyecektir.[7]

3.2- Tereddüde yer vermeyen açıklıkta muayyen bir konuya ve meşru bir amaca ilişkin olma hali

Açık rıza, genel ve soyut nitelikte olmamalı; yalnızca tereddüde yer bırakmayacak şekilde belirenmiş bir veri işleme faaliyeti için beyan edilmelidir. Veri sahibinin açık rızası, belirli bir işleme faaliyetine ilişkin, veri sorumlusunun yeterli ve gerekli bilgilendirmesi üzerine verilmiş özgür iradeye dayanması gerekir.[8] Belirli bir konu ile sınırlandırılmayan ve yalnızca ilgili işlemle yetinilmeyen, genel nitelikteki açık rızalar “battaniye rızalar” olarak görülmekte ve hukuken de geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza........

© Hukuki Haber