1. Giriş
Açık rıza, KVKK'nın temel kavramlarından biri olup, kişisel verilerin işlenmesinin hukuka uygunluk şartlarından birini oluşturur. Ancak açık rıza, diğer işleme şartlarının bulunmadığı hallerde başvurulması gereken "son çare" niteliğindedir. Uygulamada açık rızanın gereksiz veya hatalı kullanımı, hem veri sorumlularını hem de ilgili kişileri olumsuz etkileyebilmektedir.
ABD: "Consent" kavramı sektörel yasalarda farklı şekillerde düzenlenmiştir. HIPAA'da "authorization", COPPA'da ebeveyn onayı, CCPA'da opt-out modeli benimsenmiştir.
Almanya: GDPR kuralları doğrudan uygulanır. İş hukuku bağlamında çalışan rızasının özgür olup olmadığı özellikle değerlendirilir (BDSG § 26).
Türkiye: KVKK Madde 3/1-a'da tanımlanmıştır. Açık Rıza Rehberi ile uygulama detayları belirlenmiştir.
2. Açık Rıza Tanımı
Tanımdan anlaşılacağı üzere, açık rızanın geçerli olabilmesi için üç temel unsurun bir arada bulunması gerekir: (1) belirli bir konuya ilişkin olma, (2) bilgilendirilmeye dayanma ve (3) özgür iradeyle açıklanma.
3. Açık Rızanın Unsurları
3.1. Belirli Bir Konuya İlişkin Olma
Açık rıza, genel ve belirsiz bir konu için değil, belirli bir veri işleme faaliyeti için alınmalıdır. Hangi kişisel verilerin, hangi amaçlarla işleneceği açıkça belirtilmelidir.
| Geçersiz Rıza Örneği | Geçerli Rıza Örneği |
|---|---|
| "Tüm kişisel verilerimin işlenmesine onay veriyorum" | "E-posta adresimin aylık bülten gönderimi için kullanılmasına onay veriyorum" |
| "Verilerimin her türlü amaçla kullanılmasını kabul ediyorum" | "Konum bilgimin size en yakın mağazayı göstermek amacıyla işlenmesine onay veriyorum" |
| "KVKK kapsamında verilerimin işlenmesine rıza gösteriyorum" | "Fotoğrafımın sosyal medya hesaplarınızda paylaşılmasına onay veriyorum" |
3.2. Bilgilendirilmeye Dayanma
İlgili kişinin rıza vermeden önce yeterli düzeyde bilgilendirilmiş olması gerekir. Bu bilgilendirme, KVKK Madde 10 kapsamındaki aydınlatma yükümlülüğünün yerine getirilmesiyle sağlanır.
| Bilgilendirilmesi Gereken Hususlar | Açıklama |
|---|---|
| Veri sorumlusu kimliği | Verileri kimin işleyeceği |
| İşlenecek veriler | Hangi kişisel verilerin işleneceği |
| İşleme amacı | Verilerin ne amaçla kullanılacağı |
| Aktarım bilgisi | Verilerin kimlere aktarılabileceği |
| Haklar | KVKK m.11 kapsamındaki haklar |
| Rızanın geri alınabileceği | Rızanın her zaman geri alınabileceği bilgisi |
3.3. Özgür İradeyle Açıklanma
Rıza, herhangi bir baskı, zorlama, tehdit veya yanıltma olmaksızın, ilgili kişinin kendi özgür iradesiyle verilmelidir. Bu unsur, özellikle güç dengesizliğinin bulunduğu ilişkilerde (işveren-çalışan, hizmet sağlayıcı-tüketici) kritik öneme sahiptir.
| Özgür İrade Yokluğu Örneği | Açıklama |
|---|---|
| Hizmet şartı olarak rıza | "Rıza vermezseniz hizmet alamazsınız" (zorunlu olmayan işleme için) |
| İşe alım şartı olarak rıza | "İşe alınmanız için rıza vermeniz gerekiyor" |
| Toplu rıza | Farklı amaçlar için tek onay kutusu |
| Önceden işaretli onay kutusu | Default olarak "kabul ediyorum" seçili |
4. Açık Rızanın Alınma Şekli
KVKK, açık rızanın yazılı olarak alınmasını zorunlu kılmamaktadır. Rıza; sözlü, yazılı veya elektronik ortamda alınabilir. Ancak ispat yükü veri sorumlusuna ait olduğundan, yazılı veya elektronik yöntemler tercih edilmelidir.
| Yöntem | Uygulama | İspat Gücü |
|---|---|---|
| Yazılı form | Islak imzalı rıza beyanı | Yüksek |
| Elektronik onay | Onay kutusu + IP/zaman damgası | Yüksek |
| E-posta onayı | Double opt-in (onay e-postası) | Yüksek |
| SMS onayı | Onay kodu gönderimi | Orta-Yüksek |
| Sözlü rıza | Telefon görüşmesi kaydı | Orta (kayıtlıysa) |
4.1. Opt-in Zorunluluğu
Açık rıza, ilgili kişinin aktif bir eylemiyle verilmelidir. Önceden işaretlenmiş onay kutuları (pre-ticked boxes) veya susma/hareketsizlik yoluyla rıza alınması geçersizdir.
5. Rızanın Bağımsızlığı İlkesi
Açık rıza, hizmet sunumundan veya sözleşme ilişkisinden bağımsız olmalıdır. Temel hizmetin sunulması için gerekli olmayan veri işleme faaliyetleri, hizmetin ön koşulu olarak dayatılamaz.
Uygun Değil: "Sipariş vermek için pazarlama e-postalarına onay vermeniz gerekmektedir" şeklinde bağlantılı rıza talep edilmesi.
6. Rızanın Geri Alınması
İlgili kişi, verdiği açık rızayı her zaman geri alabilir. Rızanın geri alınması, ileriye yönelik etki doğurur; geri alma tarihine kadar yapılan işlemlerin hukuka uygunluğunu etkilemez.
| Özellik | Rıza Verme | Rıza Geri Alma |
|---|---|---|
| Kolaylık | - | En az rıza verme kadar kolay olmalı |
| Maliyet | Ücretsiz | Ücretsiz |
| Etki zamanı | Rıza anından itibaren | Geri alma anından itibaren (ileriye dönük) |
| Yöntem | Yazılı/elektronik/sözlü | Yazılı/elektronik/sözlü (aynı kolaylıkta) |
7. Çalışan Rızası Özel Durumu
İşveren-çalışan ilişkisinde güç dengesizliği bulunduğundan, çalışandan alınan açık rızanın özgür iradeyle verilip verilmediği özellikle değerlendirilmelidir.
| İşleme Faaliyeti | Önerilen Hukuki Temel | Açık Rıza Gerekli mi? |
|---|---|---|
| Bordro işlemleri | Sözleşmenin ifası + Hukuki yükümlülük | Hayır |
| SGK bildirimleri | Hukuki yükümlülük | Hayır |
| Şirket içi iletişim | Meşru menfaat | Hayır |
| Fotoğrafın web sitesinde yayınlanması | Açık rıza | Evet |
| Referans olarak verilmesi | Açık rıza | Evet |
8. KVKK ve GDPR Karşılaştırması
| Özellik | KVKK | GDPR |
|---|---|---|
| Tanım unsurları | Belirli, bilgilendirilme, özgür irade | Aynı + "açık" (unambiguous) |
| Çocuk rızası | Özel düzenleme yok | 16 yaş altı için ebeveyn onayı (m.8) |
| İspat yükü | Veri sorumlusu | Veri sorumlusu (m.7/1) |
| Geri alma kolaylığı | Açık düzenleme yok (Rehber'de var) | Açık düzenleme (m.7/3) |
| Bağımsızlık ilkesi | Rehber'de belirtilmiş | Açık düzenleme (m.7/4) |
9. Açık Rıza Kontrol Listesi
- Rıza, diğer işleme şartları bulunmadığında mı alınıyor?
- Rızadan önce aydınlatma yapıldı mı?
- Hangi verilerin hangi amaçla işleneceği açıkça belirtildi mi?
- Rıza, hizmet şartı olarak dayatılmıyor mu?
- Onay kutusu önceden işaretli değil mi?
- Farklı amaçlar için ayrı rızalar alınıyor mu?
- Rızanın geri alınması en az verme kadar kolay mı?
- Rıza kaydı ve zaman damgası saklanıyor mu?
- İşveren-çalışan ilişkisinde güç dengesizliği değerlendirildi mi?
10. Sonuç
Açık rıza, kişisel verilerin işlenmesinin hukuka uygunluk şartlarından biri olmakla birlikte, "son çare" olarak değerlendirilmesi gereken bir mekanizmadır. Veri sorumluları, öncelikle KVKK m.5/2'deki diğer işleme şartlarını değerlendirmeli; bu şartların bulunmadığı hallerde açık rızaya başvurmalıdır.
Açık rızanın geçerli olabilmesi için üç unsurun (belirlilik, bilgilendirilme, özgür irade) bir arada bulunması zorunludur. Özellikle güç dengesizliğinin bulunduğu ilişkilerde (işveren-çalışan) açık rızanın özgür iradeyle verilip verilmediği dikkatle değerlendirilmelidir. Uygulamada en sık yapılan hatalar; gereksiz yere rıza alınması, genel ve belirsiz rıza metinleri kullanılması ve rızanın hizmet şartı olarak dayatılmasıdır.