TLDR
Kişisel verilerin toplanması veya işlenmesinden önce izin alma sürecidir; bireylerin neye onay verdiklerini anlamalarını sağlar.
Bilgilendirilmiş Onay Nedir?
Bilgilendirilmiş Onay, bir bireyin veri işlemeye razı olmadan önce bu işlemin niteliği, amacı, riskleri ve sonuçları hakkında açıkça bilgilendirilmesini zorunlu kılar.
Temel Gereksinimler:
– Açıklık: Sade dille açıklama.
– Özgüllük: Her amaç için ayrı onay.
– Gönüllülük: Free from coercion. / Zorlamadan uzak.
– Geri Alınabilirlik: Herhangi bir zamanda geri alma hakkı.
– Belgeleme: Alınış zamanı ve yönteminin kaydı.
Bilgilendirilmiş Onayın Geçerlilik Şartları
GDPR Madde 7 ve benzer çerçeveler uyarınca, geçerli bilgilendirilmiş onay dört unsur gerektirir: özgürce verilmesi (alternatifler mevcutsa hizmet erişimiyle bağlanmamalı), spesifik olması (farklı işleme amaçları için ayrı onay), bilgilendirilmiş olması (kullanıcı neye onay verdiğini bilmeli) ve net olması (açık olumlu eylem — önceden işaretlenmiş kutular geçersizdir). Veri sorumlusu, onayın doğru biçimde alındığını gösterme yükümlülüğünü taşır.
Veri Koruma Dışındaki Bağlamlar
Bilgilendirilmiş onay doktrini veri hukukunun ötesine uzanır. Klinik araştırmada bilgilendirilmiş onay, risklerin, faydaların, alternatiflerin ve çekilme hakkının tam açıklanmasını gerektiren düzenleyici temel direktir. Ticari ortamlarda mahkemeler giderek artan biçimde dark-pattern arayüzleri, manipülatif onboarding akışları ve önceden işaretlenmiş abonelik opt-in’lerini değerlendirirken bilgilendirilmiş onay prensiplerini uyguluyor.
Türk KVKK Uygulaması
Türk KVKK kapsamında “açık rıza” GDPR’daki bilgilendirilmiş onaya karşılık gelir. KVKK Madde 3(1)(a) açık rızayı “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlar. Kişisel Verileri Koruma Kurulu kararları, açık rızanın bağlanmış bir hizmete erişim koşulu olarak kullanılmasını sıkça eleştirmiştir. Sağlam aydınlatma metni ile birlikte alınan açık rıza, KVKK uyum stratejisinin temel taşıdır.
Referanslar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
- Kişisel Verileri Koruma Kurumu (KVKK)
- KVK Kurulu Kararları
- EU GDPR (Regülasyon 2016/679) — EUR-Lex
- 5549 sayılı MASAK Kanunu
Önce bilgilendirme, sonra rıza
Aydınlatılmış rıza, rızanın ancak kişi neye onay verdiğini onaylamadan önce anladıysa anlamlı olduğu fikrini ifade eder. Veri koruma açısından bu, rıza istenmeden önce bireye; verisini kimin, hangi amaçlarla, hangi sebebe dayanarak işlediğinin, kimlerle paylaşıldığının, ne kadar saklandığının ve rızasını nasıl geri alabileceğinin açık bir dille anlatılması gerektiği anlamına gelir. Bu bilgilendirme yapılmadan — yoğun koşulların içine gömülerek ya da sessizlikten varsayılarak — alınan rıza geçerli değildir. Aydınlatılmış rıza, KVKK’nın “açık rıza”sıyla yakından ilişkili ama ondan dardır: bilgilendirme şartı ön koşul, özgür ve belirli beyan ise rızanın kendisidir. Tam olarak neyin açıklandığını belgelemek, veri sorumlusunun sonradan rızanın bilgilendirmeye dayalı olduğunu ispatlamasını sağlar.