Açık Rıza

KVK Kanunu gerekçesine göre:

Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Genel Olarak Açık Rıza

Açık rıza, kanunda “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Buna göre açık rızanın üç unsuru vardır:

  1. Belirli bir konuya ilişkin olması
  2. Bilgilendirilmeye dayanması
  3. Özgür iradeyle açıklanması

Kanunun bu tanımı, gerekçede de atıfta bulunulan Avrupa Birliği Direktifi’nin “rıza” tanımına karşılık gelmektedir. Bu doğrultuda Madde 29 Çalışma Grubu’nun 15/2011 sayılı görüşünden özetle aşağıdaki açıklamalar kaleme alınmıştır.

Belirli Bir Konuya İlişkin Olması

Geçerli olması için rızanın belirli bir konuya ilişkin olması gerekir. Bunun anlamı “Verilerimin işlenmesini kabul ediyorum.” şeklinde açık uçlu bir rızanın tek başına Kanun bağlamında “açık rıza” kabul edilmeyeceğidir.

Rızanın, başta hangi verilerin ne amaçlarla işleneceği olmak üzere işlemenin farklı noktaları açısından da verilmiş olması gerekir. Burada önemli olan tarafların karşılıklı makul beklentileri olacaktır. Anlaşılacağı üzere rızanın belirli bir konuya ilişkin olması, mahiyeti gereği bilgilendirilmeye dayanmasına da bağlıdır.

Veri sorumlusunun, gerçekleştireceği farklı işlemler için, ilgili kişi tarafından öngörülmesi muhtemel olması kaydıyla, ilgili kişinin açık rızasını bir defa alması kural olarak yeterlidir. Ancak veri sorumlusunun sonradan farklı amaçlarla bu verileri işlemek istemesi durumunda (üçüncü kişilere aktarım gibi) ayrıca buna ilişkin rıza alınması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.

Bilgilendirilmeye Dayanması

Rızanın verilmesinden önce ilgili kişinin işlemeyle alakalı bütün konularda açık ve anlaşılır bir biçimde bilgilendirilmesi gerekir. Kanunun 10. maddesinde düzenlenen aydınlatma yükümlülüğü, mahiyeti gereği birçok durumda rızanın bu elementi ile ilişkili olacaktır ancak düzenlenme şekli itibariyle ayrı bir yükümlülüktür.

İlgili kişinin bilgilendirilmesine yönelik iki temel unsurdan bahsedilebilir: Anlaşılabilirlik, erişilebilirlik.

Anlaşılabilirlik: Bilgilendirmenin ortalama bir bireyin anlayabileceği bir dil kullanılarak gerçekleştirilmesi hayati önem arz eder. Belirtilmelidir ki anlaşılabilirlik sınırı, somut duruma ve hedef kitleye göre değişiklik gösterecektir. Bu bağlamda sade bir dil kullanılması, mesleki veya teknik jargondan uzak durulması ve gerektiği durumda terimlerin açıklanması gibi yollara başvurulması duruma göre gerekebilir.

Erişilebilirlik: Bilginin doğrudan ilgili kişiye sağlanması gerekir, bir yerlerde erişilebilir durumda olması yeterli değildir. Ayrıca bilginin açıkça görünür (bunda yazı tipi ve büyüklüğü etkilidir) olması önemlidir.

Veri işlemenin karmaşıklık derecesi ne kadar artarsa, veri sorumlusundan beklenen de o kadar artacaktır. Bir başka deyişle, veri işlemenin ortalama bir vatandaş tarafından anlaşılması zorlaştıkça, veri sorumlusunun bu yükümlülüğü daha ağır değerlendirilecektir.

Özgür İradeyle Açıklanması

Rıza ancak ilgili kişinin gerçek bir tercih ortaya koyabildiği halde geçerlidir, aldatma, korkutma, baskıya maruz kalma veya rıza gösterilmediği takdirde önemli bir olumsuz sonuç doğacak olması rızayı özgür iradeye dayanmaktan uzaklaştırır. “Baskıya maruz kalma”, sosyal, finansal, psikolojik faktörler dahil olmak üzere her türlü baskıyı içerecek şekilde geniş yorumlanmalıdır.

Tarafların eşit konumda olmadığı veya birinin diğeri üzerinde yoğun bir tesiri olduğu durumlarda rızanın bu elementinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda rızanın özgür iradeye dayandığı kabul edilemez. Örneğin, işçi her ne kadar teoride rıza göstermeme imkanına sahip olsa da, bu tercihinin sonucu olarak bir iş fırsatını kaybedecekse rızanın özgür iradeye dayandığının kabulü mümkün değildir. Bu nedenlerle işçi-işveren ilişkisinde veri işlemenin, açık rıza dışındaki istisnalardan biri veya birkaçına dayandırılması tavsiye edilmektedir.

Örnek

Hastaların sağlık geçmişlerinin görüntülenmesini sağlayacak elektronik bir sistem oluşturulacaktır. Hastaların sisteme katılabilmeleri için sağlık verilerinin işlenmesine açık rıza göstermeleri gerekmektedir.  Bu örneği üç ihtimalde ele alalım:

  1. Sisteme katılmak tamamen gönüllülük esasına dayanmaktadır. Her ihtimalde hasta gerekli tedaviyi görecektir ve rıza göstermesinin buna hiçbir etkisi yoktur. Bu durumda rıza özgür iradeye dayanmaktadır.
  2. Sisteme katılmak için maddi bir teşvik uygulanmakta (sisteme katılanların %20 indirimli hizmet alması gibi) ancak sisteme katılmayanlardan standart ücret alınmaktadır. Bu durumda da rızanın özgür olduğu kabul edilecektir, çünkü ilgili kişi açısından ortaya çıkan olumsuz bir durum mevcut değildir.
  3. Sisteme katılmayı reddedenlerden önemli miktarda ek ödeme yapması istenmekte ve dosyalarının işleme alınması gecikmektedir. Bu durumda ilgili kişinin rıza göstermemesi kayda değer olumsuzluklara sebebiyet verdiğinden göstereceği rızanın özgür iradeye dayandığı kabul edilmeyebilir.

Örnek

Kimlik kartlarının değiştirilmesi ve vatandaşların kişisel verilerinin işlenmesini gerektirecek çipli bir sisteme geçilmesi planlanmaktadır. Çipli sisteme geçmek üzere verilerinin işlenmesine rıza göstermek zorunlu değildir ancak bu durumda vatandaşın birtakım devlet hizmetlerine erişimi önemli ölçüde zorlaşmaktadır. Böylesi bir senaryoda da vatandaşlardan alınacak rızanın özgür iradeye dayandığı kabul edilmeyebilecektir.

Aylık Özet Bülteni
Kişisel verilerin korunmasına ilişkin yerel ve global gelişmeleri her ay derliyor ve özetleyerek sizlere gönderiyoruz.
Gizlilik Politikamız için tıklayınız.