TR EN DE

Açık Rıza

KVKK kapsamında açık rıza kavramı, geçerlilik unsurları, alınma yöntemleri, rızanın bağımsızlığı, geri alınması, işverenler ve çalışanlar açısından özel durumlar ve Kurul kararları ışığında pratik uygulamalar.

Summary in English

Overview

This article examines the concept of explicit consent under Turkish Personal Data Protection Law No. 6698 (KVKK). Explicit consent is one of the lawful bases for processing personal data and should be considered as a "last resort" when other legal grounds are not available.

Key Points

  • Definition: Explicit consent must be specific to a particular matter, based on being informed, and freely given without coercion.
  • Specific Purpose: General or blanket consent statements are invalid; consent must clearly specify which data will be processed for which purposes.
  • Informed Consent: Data subjects must receive adequate information (privacy notice) before giving consent.
  • Freely Given: Consent cannot be a condition for service provision; pre-ticked boxes and bundled consent are prohibited.
  • Withdrawal: Consent may be withdrawn at any time; withdrawal must be as easy as giving consent and takes effect prospectively.
Full article in Turkish below

Überblick

Dieser Artikel untersucht das Konzept der ausdrücklichen Einwilligung nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK). Die ausdrückliche Einwilligung ist eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und sollte als "letztes Mittel" betrachtet werden, wenn andere Rechtsgrundlagen nicht verfügbar sind.

Kernpunkte

  • Definition: Die ausdrückliche Einwilligung muss sich auf eine bestimmte Angelegenheit beziehen, auf Informiertheit beruhen und freiwillig ohne Zwang erteilt werden.
  • Spezifischer Zweck: Allgemeine oder pauschale Einwilligungserklärungen sind ungültig; die Einwilligung muss klar angeben, welche Daten für welche Zwecke verarbeitet werden.
  • Informierte Einwilligung: Betroffene Personen müssen vor Erteilung der Einwilligung ausreichend informiert werden (Datenschutzhinweis).
  • Freiwillig erteilt: Die Einwilligung darf keine Bedingung für die Leistungserbringung sein; vorangekreuzte Kästchen und gebündelte Einwilligungen sind verboten.
  • Widerruf: Die Einwilligung kann jederzeit widerrufen werden; der Widerruf muss genauso einfach sein wie die Erteilung und wirkt in die Zukunft.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Açık rıza, KVKK'nın temel kavramlarından biri olup, kişisel verilerin işlenmesinin hukuka uygunluk şartlarından birini oluşturur. Ancak açık rıza, diğer işleme şartlarının bulunmadığı hallerde başvurulması gereken "son çare" niteliğindedir. Uygulamada açık rızanın gereksiz veya hatalı kullanımı, hem veri sorumlularını hem de ilgili kişileri olumsuz etkileyebilmektedir.

Karşılaştırmalı Hukuk
AB (GDPR Madde 7): "Consent" kavramı detaylı düzenlenmiştir. Rızanın ispat yükü veri sorumlusuna aittir. Rıza, diğer hukuki temellerle eşit konumdadır, öncelikli değildir. Çocuklar için ebeveyn onayı zorunluluğu mevcuttur (16 yaş altı, üye devletler 13'e kadar indirebilir).

ABD: "Consent" kavramı sektörel yasalarda farklı şekillerde düzenlenmiştir. HIPAA'da "authorization", COPPA'da ebeveyn onayı, CCPA'da opt-out modeli benimsenmiştir.

Almanya: GDPR kuralları doğrudan uygulanır. İş hukuku bağlamında çalışan rızasının özgür olup olmadığı özellikle değerlendirilir (BDSG § 26).

Türkiye: KVKK Madde 3/1-a'da tanımlanmıştır. Açık Rıza Rehberi ile uygulama detayları belirlenmiştir.

2. Açık Rıza Tanımı

KVKK Madde 3/1-a - Açık Rıza Tanımı
"Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder."

Tanımdan anlaşılacağı üzere, açık rızanın geçerli olabilmesi için üç temel unsurun bir arada bulunması gerekir: (1) belirli bir konuya ilişkin olma, (2) bilgilendirilmeye dayanma ve (3) özgür iradeyle açıklanma.

3. Açık Rızanın Unsurları

3.1. Belirli Bir Konuya İlişkin Olma

Açık rıza, genel ve belirsiz bir konu için değil, belirli bir veri işleme faaliyeti için alınmalıdır. Hangi kişisel verilerin, hangi amaçlarla işleneceği açıkça belirtilmelidir.

Geçersiz Rıza Örneği Geçerli Rıza Örneği
"Tüm kişisel verilerimin işlenmesine onay veriyorum" "E-posta adresimin aylık bülten gönderimi için kullanılmasına onay veriyorum"
"Verilerimin her türlü amaçla kullanılmasını kabul ediyorum" "Konum bilgimin size en yakın mağazayı göstermek amacıyla işlenmesine onay veriyorum"
"KVKK kapsamında verilerimin işlenmesine rıza gösteriyorum" "Fotoğrafımın sosyal medya hesaplarınızda paylaşılmasına onay veriyorum"
Kurul Kararı - Belirsiz Rıza
Kurul'un 2019/78 sayılı kararında, "tüm kişisel verilerimin işlenmesine muvafakat ediyorum" şeklindeki genel rıza beyanının, "belirli bir konuya ilişkin olma" şartını taşımadığı için geçersiz olduğuna hükmedilmiştir.

3.2. Bilgilendirilmeye Dayanma

İlgili kişinin rıza vermeden önce yeterli düzeyde bilgilendirilmiş olması gerekir. Bu bilgilendirme, KVKK Madde 10 kapsamındaki aydınlatma yükümlülüğünün yerine getirilmesiyle sağlanır.

Önemli Not - Aydınlatma Önceliği
Açık rıza alınmadan önce aydınlatma yükümlülüğü yerine getirilmelidir. Aydınlatma yapılmadan alınan rıza, "bilgilendirilmeye dayanan" unsurunun yokluğu nedeniyle geçersizdir.
Bilgilendirilmesi Gereken Hususlar Açıklama
Veri sorumlusu kimliği Verileri kimin işleyeceği
İşlenecek veriler Hangi kişisel verilerin işleneceği
İşleme amacı Verilerin ne amaçla kullanılacağı
Aktarım bilgisi Verilerin kimlere aktarılabileceği
Haklar KVKK m.11 kapsamındaki haklar
Rızanın geri alınabileceği Rızanın her zaman geri alınabileceği bilgisi

3.3. Özgür İradeyle Açıklanma

Rıza, herhangi bir baskı, zorlama, tehdit veya yanıltma olmaksızın, ilgili kişinin kendi özgür iradesiyle verilmelidir. Bu unsur, özellikle güç dengesizliğinin bulunduğu ilişkilerde (işveren-çalışan, hizmet sağlayıcı-tüketici) kritik öneme sahiptir.

Özgür İrade Yokluğu Örneği Açıklama
Hizmet şartı olarak rıza "Rıza vermezseniz hizmet alamazsınız" (zorunlu olmayan işleme için)
İşe alım şartı olarak rıza "İşe alınmanız için rıza vermeniz gerekiyor"
Toplu rıza Farklı amaçlar için tek onay kutusu
Önceden işaretli onay kutusu Default olarak "kabul ediyorum" seçili
Kurul Kararı - Özgür İrade
Kurul'un 2020/428 sayılı kararında, bir e-ticaret sitesinin sipariş tamamlama aşamasında pazarlama amacıyla veri işleme rızasını zorunlu tutmasının, özgür irade unsurunu ortadan kaldırdığına hükmedilmiştir. Kurul, temel hizmetin sunulması için gerekli olmayan veri işleme faaliyetleri için rızanın opsiyonel olması gerektiğini belirtmiştir.

4. Açık Rızanın Alınma Şekli

KVKK, açık rızanın yazılı olarak alınmasını zorunlu kılmamaktadır. Rıza; sözlü, yazılı veya elektronik ortamda alınabilir. Ancak ispat yükü veri sorumlusuna ait olduğundan, yazılı veya elektronik yöntemler tercih edilmelidir.

Yöntem Uygulama İspat Gücü
Yazılı form Islak imzalı rıza beyanı Yüksek
Elektronik onay Onay kutusu + IP/zaman damgası Yüksek
E-posta onayı Double opt-in (onay e-postası) Yüksek
SMS onayı Onay kodu gönderimi Orta-Yüksek
Sözlü rıza Telefon görüşmesi kaydı Orta (kayıtlıysa)

4.1. Opt-in Zorunluluğu

Açık rıza, ilgili kişinin aktif bir eylemiyle verilmelidir. Önceden işaretlenmiş onay kutuları (pre-ticked boxes) veya susma/hareketsizlik yoluyla rıza alınması geçersizdir.

GDPR Recital 32 - Aktif Eylem
"Rıza, yazılı veya sözlü bir beyan dahil olmak üzere, açık bir olumlu eylemle verilmelidir. Bu, önceden işaretlenmiş bir kutuyu, suskunluğu veya hareketsizliği içermemelidir."

5. Rızanın Bağımsızlığı İlkesi

Açık rıza, hizmet sunumundan veya sözleşme ilişkisinden bağımsız olmalıdır. Temel hizmetin sunulması için gerekli olmayan veri işleme faaliyetleri, hizmetin ön koşulu olarak dayatılamaz.

Bağımsızlık İlkesi Örnekleri
Uygun: E-ticaret sitesinde sipariş işleme (sözleşme) ayrı, pazarlama e-postaları için rıza (açık rıza) ayrı alınması.

Uygun Değil: "Sipariş vermek için pazarlama e-postalarına onay vermeniz gerekmektedir" şeklinde bağlantılı rıza talep edilmesi.

6. Rızanın Geri Alınması

İlgili kişi, verdiği açık rızayı her zaman geri alabilir. Rızanın geri alınması, ileriye yönelik etki doğurur; geri alma tarihine kadar yapılan işlemlerin hukuka uygunluğunu etkilemez.

Özellik Rıza Verme Rıza Geri Alma
Kolaylık - En az rıza verme kadar kolay olmalı
Maliyet Ücretsiz Ücretsiz
Etki zamanı Rıza anından itibaren Geri alma anından itibaren (ileriye dönük)
Yöntem Yazılı/elektronik/sözlü Yazılı/elektronik/sözlü (aynı kolaylıkta)
Kurul Kararı - Rıza Geri Alma
Kurul'un 2021/206 sayılı kararında, bir şirketin rıza geri alma taleplerini sadece noter kanalıyla kabul etmesinin hukuka aykırı olduğuna hükmedilmiştir. Kurul, rıza geri almanın en az rıza verme kadar kolay olması gerektiğini vurgulamıştır.

7. Çalışan Rızası Özel Durumu

İşveren-çalışan ilişkisinde güç dengesizliği bulunduğundan, çalışandan alınan açık rızanın özgür iradeyle verilip verilmediği özellikle değerlendirilmelidir.

Dikkat - Çalışan Rızası
İşverenler, çalışan verilerinin işlenmesi için öncelikle KVKK m.5/2'deki diğer işleme şartlarını değerlendirmelidir. Sözleşmenin ifası, hukuki yükümlülük veya meşru menfaat gibi şartlar varsa, açık rızaya başvurulmamalıdır. Çalışandan alınan rızanın "özgür" olup olmadığı, güç dengesizliği nedeniyle her zaman sorgulanabilir durumdadır.
İşleme Faaliyeti Önerilen Hukuki Temel Açık Rıza Gerekli mi?
Bordro işlemleri Sözleşmenin ifası + Hukuki yükümlülük Hayır
SGK bildirimleri Hukuki yükümlülük Hayır
Şirket içi iletişim Meşru menfaat Hayır
Fotoğrafın web sitesinde yayınlanması Açık rıza Evet
Referans olarak verilmesi Açık rıza Evet

8. KVKK ve GDPR Karşılaştırması

Özellik KVKK GDPR
Tanım unsurları Belirli, bilgilendirilme, özgür irade Aynı + "açık" (unambiguous)
Çocuk rızası Özel düzenleme yok 16 yaş altı için ebeveyn onayı (m.8)
İspat yükü Veri sorumlusu Veri sorumlusu (m.7/1)
Geri alma kolaylığı Açık düzenleme yok (Rehber'de var) Açık düzenleme (m.7/3)
Bağımsızlık ilkesi Rehber'de belirtilmiş Açık düzenleme (m.7/4)

9. Açık Rıza Kontrol Listesi

Geçerli Açık Rıza Kontrol Listesi
  1. Rıza, diğer işleme şartları bulunmadığında mı alınıyor?
  2. Rızadan önce aydınlatma yapıldı mı?
  3. Hangi verilerin hangi amaçla işleneceği açıkça belirtildi mi?
  4. Rıza, hizmet şartı olarak dayatılmıyor mu?
  5. Onay kutusu önceden işaretli değil mi?
  6. Farklı amaçlar için ayrı rızalar alınıyor mu?
  7. Rızanın geri alınması en az verme kadar kolay mı?
  8. Rıza kaydı ve zaman damgası saklanıyor mu?
  9. İşveren-çalışan ilişkisinde güç dengesizliği değerlendirildi mi?

10. Sonuç

Açık rıza, kişisel verilerin işlenmesinin hukuka uygunluk şartlarından biri olmakla birlikte, "son çare" olarak değerlendirilmesi gereken bir mekanizmadır. Veri sorumluları, öncelikle KVKK m.5/2'deki diğer işleme şartlarını değerlendirmeli; bu şartların bulunmadığı hallerde açık rızaya başvurmalıdır.

Açık rızanın geçerli olabilmesi için üç unsurun (belirlilik, bilgilendirilme, özgür irade) bir arada bulunması zorunludur. Özellikle güç dengesizliğinin bulunduğu ilişkilerde (işveren-çalışan) açık rızanın özgür iradeyle verilip verilmediği dikkatle değerlendirilmelidir. Uygulamada en sık yapılan hatalar; gereksiz yere rıza alınması, genel ve belirsiz rıza metinleri kullanılması ve rızanın hizmet şartı olarak dayatılmasıdır.

KVKK Makale Serisi 5 / 15
Aydınlatma Yükümlülüğü İlgili Kişinin Hakları

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.