Yılkar Avukatlık Bürosu

+90 (212) 988 03 02

7.09.2020

Açık Rıza Nedir

Kategoriler

AÇIK RIZA NEDİR?

Kişisel Verileri Koruma Kanunumuzda rıza kavramına tek başına yer verilmemiş açık rıza kavramı kullanılmıştır. Md. 3 ‘te Tanımlar başlığında belirtildiği üzere “Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir.

Açık rızanın koşulları ise : belirli bir konuda , özgür idareye dayanan , bilinçli denilmek suretiyle belirtilmiştir.

Açık rızanın koşullarını Kurul Kararı ile birlikte incelemek gerekirse

Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Kararı

“Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.” burada açık rızanın özgür iradeyle verilmiş olma koşulu ihlal edilmiş bulunmaktadır. Zira aslolan rızadan sonradan dönme imkanının verilmesi değil , ilk etapta kişiye verilerinin işlenmesine onay verip vermediği hususunda rızasının sağlanmasıdır. Bu da kararda belirtildiği üzere aktif ve bilinçli bir eylemle söz konusu olabilir.

“Veri sorumlusu, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Zira bu işlemle kişiye bir seçenek bırakılmamakta hizmetten yararlanmak istiyorsa bu onayı vermesi gerektiğinin altı çizilmektedir. Oysa bu şekilde bir değerlendirme oldukça zararlı bir bakış açısıdır. Kişinin özgür iradesi etki altına alınarak rızasının geçerliliği sakatlanmaktadır.

Ancak bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayılı Kararı’nda ek avantaj sağlamanın özgür iradeyi ve açık rızayı etkilemediğini belirtmektedir.

“Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,” denilerek bu şekilde müşterilerin bağlılığı için getirilen avantaj sistemlerinin ihlale yol açmadığı belirlenmiştir.

“Veri sorumlusunca Gizlilik Bildiriminde yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddiası yer almaktadır. ….Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.” burada da açık rıza alınırken belirli bir konuya ilişkin olma kriteri ihlal edilmiştir. Bu şekilde genel bir bilgilendirme yapılması kurul tarafından kabul görmemektedir.

Her işlem için açık rıza aranması günlük hayattaki hızlılığı düşündüğümüzde veri sorumlularının yükümlülükleri çok ağır ve bilinemez bir hale getirecektir. Yasa koyucu bu zorlukları düşünerek buna ilişkin istisna düzenlemesi getirmiştir. Kişisel Verileri Koruma Kanunumuzun 5. Maddesinin 2. Fıkrasında bu haller sayılmıştır. Buna göre :

Kişisel verilerin işlenme şartları

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Peki bu yasadan önce alınmış rızalarda durum nasıl değerlendirilecektir?

Kanunun yürürlük tarihi olan 7 Nisan 2016 ‘dan önce hukuka uygun olarak alınmış rızalar , bir yıl içinde aksi bir irade beyanı bulunmadığı taktirde , bu kanuna uygun kabul edilir.

Bu konuya ilişkin bir kurul kararına bakmak gerekirse;

2020/34 sayılı kararında Kurul ; “Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında “(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği, Kanunun yürürlük tarihinden önce ilgili kişi tarafından spor dergisi aboneliği sırasında paylaşılan kişisel verilerin o dönemde söz konusu spor kulübü adına dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştiren kişi (veri sorumlusu) tarafından işlendiği, veri sorumlusu tarafından kayıtlarında yer alan bilgilerin başka bir tarihte yine veri sorumlusu tarafından bu kez bir başka Şirket adına işlenerek arandığı, dolayısı ile verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı,” denilmek suretiyle yeni bir amaç doğrultusunda zaten kayıtlarında var olan veriyi kullanmasını ise hukuka aykırı bulunmuştur.