Açık rıza nedir?
Açık rıza (uluslararası karşılığı: explicit consent), KVKK Madde 3’te tanımlandığı şekliyle belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu üç unsur (belirlilik + bilgilendirilmişlik + özgürlük) aynı anda bulunmalıdır; aksi halde rıza geçersiz sayılır.
Üç şart, üçü birden
- Belirli konuya ilişkin: “Tüm pazarlama amaçları için” gibi genel/blanket rıza geçersiz; rıza, her amaç için ayrı alınmalı.
- Bilgilendirilmiş: İlgili kişiye işleme amacı, veri kategorileri, saklama süresi, aktarım yapılacaksa alıcılar önceden açıkça bildirilmelidir.
- Özgür irade: Hizmet/ürün almak için rıza zorunlu tutuluyorsa rıza geçersiz (özgür değil). İşveren-çalışan ilişkisinde “özgürlük” sorunu özellikle hassastır.
Ne zaman açık rıza şart?
KVKK Madde 5(1) gereği, Madde 5(2)’deki istisnalardan biri yoksa açık rıza şarttır. Özel nitelikli veri için Madde 6 çerçevesinde daha katı uygulanır. Yurtdışı aktarımda Madde 9, 7499 sayılı Kanun değişikliğinden önce açık rızaya çok büyük yük yüklüyordu; şimdi SCC/BCR alternatifleri de mevcut.
Geri alma hakkı
İlgili kişi açık rızasını her zaman geri çekebilir; geri çekme, geri çekme tarihinden sonraki işlemeyi durdurur (geçmişe yürümez). UX olarak: kullanıcı uygulama içi “rızamı geri çek” butonu beklemektedir. KVK Kurulu kararları, geri çekme akışının açık olmadığı uygulamaları cezalandırmaktadır.
Founder için pratik etki
Açık rıza akışı: ayrıştırılmış checkbox’lar (her amaç için ayrı, pre-checked yasak), tarih+IP loglama, kullanıcının her zaman erişebileceği rıza geçmişi sayfası. Pazarlama opt-in’leri için İYS (İleti Yönetim Sistemi) entegrasyonu zorunludur.