6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 'nun kabul edilmesi ile birlikte pek çok firma, faaliyetlerini bu kanuna uygun hale getirmek üzere çalışmalar yürütmeye başladı. Zira KVKK, bireylerin özel hayatının gizliliğinin ve mahremiyetinin korunması amacı ile bireylere kişisel verileri üzerinde yetki ve kontrol hakkı tanıdığı gibi, bu verileri herhangi bir şekilde kullanan -kanunun terminolojisine göre 'işleyen'- gerçek ve tüzel kişilere de birtakım yükümlülükler yükledi.
Faaliyetleri kapsamında kişisel veri işleyen gerçek ve tüzel kişiler de bu yükümlülüklerini yerine getirebilmek; ancak bir yandan da ürünlerinin satışını veya hizmetlerinin sunumunu aksatmadan sürdürebilmek için pratik çözümlerin arayışına girdiler. Bu kapsamda, bu ürünlerin ve hizmetlerin alıcısına ulaştırılabilmesi için alıcı kişinin kişisel verilerinin işlenmesini onaylaması, başka bir deyişle "açık rızasını" vermesini şart gören bir yöntemin tercih edildiğini sıklıkla görmeye başladık. Peki, uygulamada 'açık rızanın hizmet şartına bağlanması' olarak adlandırılan bu yöntem gerçekten hukuka uygun mudur?
KVKK'ya göre, kişisel verilerin işlenmesi ancak belirli şartların varlığı halinde mümkündür. Bu şartlardan bir tanesi, kişisel verinin ait olduğu kişinin (ilgili kişinin) açık rızasının bulunmasıdır.
Açık rıza;
Belirli bir konuya ilişkin,
Bilgilendirmeye dayalı,
Özgür irade ile açıklanmış,
ise hukuken geçerli kabul edilebilir.
Herhangi bir tereddüt doğması durumunda, açık rızanın bu şartların sağlanması ile verildiğini ispat etme yükü, açık rızanın muhatabı olan kişide, yani veri sorumlusundadır. Burada açık rızanın şeklinin bir önemi bulunmamaktadır; yazılı, sözlü veya elektronik ortamda verilmesi halinde eğer yukarıda belirtilen şartları taşıyor ise geçerlidir. Açık rızanın, ilgili kişi tarafından her zaman geri alınabilmesi mümkündür. Bu imkan, kişinin kişisel verileri üzerindeki kontrol hakkının bir parçasıdır.
Açık rızanın belirli bir konuya ilişkin olması, belirli bir tür veri işleme faaliyeti ile sınırlandırılmış olması anlamına gelir. Dolayısı ile "kişisel verilerimin her türlü veri işleme faaliyetine konu edilmesine rıza gösteriyorum" biçiminde bir rızanın belirli bir konuya ilişkin olmaması ve açık uçlu olması sebebi ile hukuken bir geçerliliği yoktur. Bu şekilde ifade edilen rıza beyanı "battaniye rıza" olarak adlandırılır.
Açık rızanın bilgilendirmeye dayalı olması, ilgili kişinin hangi sebeple rıza verdiğinin ve rıza vermesinin sonuçlarından rıza beyanında bulunmadan önce bilgi sahibi olması anlamına gelir. Bu bilgilendirme, veri sorumlusu tarafından açık, ilgili kişinin çaba göstermesine gerek kalmaksızın anlaşılabilir bir biçimde yerine getirilmelidir.
Açık rızanın özgür irade ile açıklanmış olması ise, ilgili kişinin bilinçli olarak ve tamamen kendi kararı ile rıza göstermiş olmasıdır. Eğer kişi rıza gösterirken herhangi bir zorlama altında ise verilen rızanın geçerliliğinden söz edilemez.
İşte yazımızın konusu olduğu üzere; herhangi bir ürünün satışının veya hizmetinin sunulmasının bu ürün veya hizmeti arz edenler tarafından muhatabının kişisel verilerinin işlenmesine açık rıza vermesini bir koşul olarak dayatması durumunda açık rızanın ilgili kişi tarafından özgür irade ile verildiğini söyleyemeyiz. Bu nedenle Kişisel Verileri Koruma Kurulu da, kendisine yapılan şikayetlerin değerlendirilmesi veya re'sen gerçekleştirdiği incelemelerin sonucunda verdiği kararlarda "hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı" gerekçesi ile bu tutumla hareket eden gerçek ve/veya tüzel kişiler hakkında idari yaptırım kararı vermiştir.
Burada belirtmek gerekir ki; açık rıza kişisel veri işlemenin koşullarından yalnızca biridir. Örneğin; sözleşmenin kurulması ile doğrudan doğruya ilgili ise sözleşmenin taraflarına ait kişisel verilerin işlenmesinin hukuka uygun olduğunda kuşku yoktur. Bu ihtimalde ürün veya hizmet sunanlar tarafından sözleşmenin kurulması ile doğrudan alakalı olmayan amaçlar ile kişisel verilerin işlenmesi veya sözleşmenin kurulması için gerekli olmayan kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması önem kazanır. Örneğin, satış sözleşmesinin kurulması için değil ancak satış sözleşmesinin akabinde tüketicinin kişisel verilerinin reklam amacı ile kullanılması için tüketicinin açık rıza vermesi şarttır. Fakat satıcının bu ürünün satımı için tüketiciyi kişisel verilerinin reklam amacı ile işlenmesine açık rıza vermekle zorunlu tutması hukuka aykırıdır.
Diğer bir önemli nokta ise kanunun belirli kişisel veriler yönünden oldukça sıkı bir koruma rejimi öngörmüş olmasıdır. KVKK, bu verilerin işlenmesi halinde ilgili kişilerin mağdur olması ve/veya ayrımcılığa tabi tutulması ihtimalinin bulunması nedeni ile özel nitelikli kişisel veri olarak kabul etmiştir ve bu kişisel verilerin işlenmesini diğer kişisel verilere göre daha. sınırlı koşullarla mümkün kılmıştır. Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bu verilerin herhangi bir sözleşmenin kurulması ile doğrudan doğruya ilgili olsa dahi ilgili kişinin açık rızası bulunmadan işlenmesi mümkün değildir.
Dolayısı ile örneğin sağlık sigortası ya da hayat sigortası yönünden her ne kadar kişisel sağlık verilerinin işlenmesi sözleşmenin kurulması ve yerine getirilmesi için zorunlu olsa da kanunun düzenlemesi gereği ilgili kişinin açık rızasının bulunması şarttır. Nitekim, Türkiye sigortalar Birliği tarafından Kişisel Verileri Koruma Kurulu'na yapılan başvuru neticesinde Kurul, sigortalıya ait kişisel sağlık verilerinin ilgili kişinin açık rızası bulunmadan işlenmesinin kanuna aykırı olacağını ifade etmiştir. Ancak yukarıdan beri sözü edildiği üzere; açık rızanın verilmemesi halinde sözleşmenin kurulmayacağından, poliçe düzenlenmeyeceğinden bahisle ilgili kişilerden açık rıza talebinde bulunulması, yani açık rızanın hizmet koşuluna bağlanması halinde açık rıza geçerli olmayacağından böyle bir veri işleme faaliyeti hukuka aykırı kabul edilecektir.
Comments