Açık Rıza

KVKK Uyum Rehberi’nin bir parçası — Rehbere git →

Açık rıza nedir?

Açık rıza (uluslararası karşılığı: explicit consent), KVKK Madde 3’te tanımlandığı şekliyle belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu üç unsur (belirlilik + bilgilendirilmişlik + özgürlük) aynı anda bulunmalıdır; aksi halde rıza geçersiz sayılır.

Üç şart, üçü birden

• Belirli konuya ilişkin: “Tüm pazarlama amaçları için” gibi genel/blanket rıza geçersiz; rıza, her amaç için ayrı alınmalı.
• Bilgilendirilmiş: İlgili kişiye işleme amacı, veri kategorileri, saklama süresi, aktarım yapılacaksa alıcılar önceden açıkça bildirilmelidir.
• Özgür irade: Hizmet/ürün almak için rıza zorunlu tutuluyorsa rıza geçersiz (özgür değil). İşveren-çalışan ilişkisinde “özgürlük” sorunu özellikle hassastır.

Ne zaman açık rıza şart?

KVKK Madde 5(1) gereği, Madde 5(2)’deki istisnalardan biri yoksa açık rıza şarttır. Özel nitelikli veri için Madde 6 çerçevesinde daha katı uygulanır. Yurtdışı aktarımda Madde 9, 7499 sayılı Kanun değişikliğinden önce açık rızaya çok büyük yük yüklüyordu; şimdi SCC/BCR alternatifleri de mevcut.

Geri alma hakkı

İlgili kişi açık rızasını her zaman geri çekebilir; geri çekme, geri çekme tarihinden sonraki işlemeyi durdurur (geçmişe yürümez). UX olarak: kullanıcı uygulama içi “rızamı geri çek” butonu beklemektedir. KVK Kurulu kararları, geri çekme akışının açık olmadığı uygulamaları cezalandırmaktadır.

Founder için pratik etki

Açık rıza akışı: ayrıştırılmış checkbox’lar (her amaç için ayrı, pre-checked yasak), tarih+IP loglama, kullanıcının her zaman erişebileceği rıza geçmişi sayfası. Pazarlama opt-in’leri için İYS (İleti Yönetim Sistemi) entegrasyonu zorunludur.

Referanslar

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
• Kişisel Verileri Koruma Kurumu (KVKK)
• KVK Kurulu Kararları
• 5549 sayılı MASAK Kanunu
• MASAK Başkanlığı

Şekil şartları ve açık rızanın gerçekten gerektiği hâller

KVKK uyarınca açık rıza; belirli bir konuya ilişkin olmalı, yeterli ön bilgilendirmeye dayanmalı ve özgür iradeyle açıklanmalıdır — bu da genel nitelikli yetkilendirmelerin, önceden işaretlenmiş kutucukların ve genel koşullara gömülmüş rızaların geçersiz olduğu anlamına gelir. Açık rıza, dar kanuni istisnalar saklı kalmak üzere özel nitelikli (hassas) verilerin işlenmesinde başlıca hukuki sebeptir; 2024 reformu mevcut mekanizmaları genişletmeden önce de yurt dışı aktarımların çoğunun temelini oluşturuyordu. Açık rıza geri alınabilir olduğundan ve bir hizmetin sunumunun koşulu hâline getirilemeyeceğinden, veri sorumluları bunu bir varsayılan gibi değil, başka hiçbir hukuki sebebin gerçekten örtüşmediği durumlar için saklamalıdır. Kullanıldığı yerde veri sorumlusu; tam olarak neyin açıklandığını, rızanın nasıl ve ne zaman alındığını gösteren denetlenebilir kayıtlar tutmalıdır.