Jump to

Rıza (Consent — KVKK Anlamında)

Açık Rıza

Rıza (Consent) nedir?

KVKK çerçevesinde rıza (consent), kişisel veri işleme faaliyeti için ilgili kişinin verdiği onaydır. Türk hukuku ‘rıza’ kavramını açık rıza‘dan farklı düzenler. Bu fark çoğu kişi tarafından gözden kaçar ama hukuki sonuçları önemlidir.

Rıza vs Açık Rıza

Boyut Rıza Açık Rıza
Şekil Zımni veya açık olabilir Yalnızca açık (yazılı/elektronik)
Belirlilik Genel olabilir Belirli bir konuya ilişkin
Bilgilendirme Şart değil Bilgilendirilmeye dayanmalı
KVKK Kullanımı Madde 5’te değil Madde 5(1) ve Madde 6 hukuki sebep

KVKK Madde 5 — kişisel veri işlemenin hukuki sebepleri

  1. Açık rıza (Madde 5(1))
  2. Aşağıdaki istisnalar (Madde 5(2)) — açık rıza aranmaz:
    • (a) Kanunlarda açıkça öngörülmesi
    • (b) Sözleşme kurulması veya ifası için zorunlu
    • (ç) Veri sorumlusunun hukuki yükümlülüğü
    • (d) Veri sahibinin kendisi tarafından alenileştirilmiş
    • (e) Bir hakkın tesisi, kullanılması veya korunması
    • (f) Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat

‘Consent’ kavramının GDPR‘da yeri

GDPR’da ‘consent’ KVKK’nın ‘açık rıza’sına çok yakındır. GDPR Madde 4(11): “Specific, informed, unambiguous indication of the data subject’s wishes by a statement or a clear affirmative action.”

Pratik uygulama: ne zaman ‘rıza’, ne zaman ‘açık rıza’?

  • Açık rıza ŞARTTIR: Pazarlama iletişimi, özel nitelikli veri işleme, yurtdışı veri aktarımı (yeterlilik veya SCC yoksa), profilleme
  • Açık rıza ARANMAZ: Sözleşme ifası için gereken işleme (örn. e-ticaret siparişi için adres bilgisi), hukuki yükümlülük (vergi raporlama), meşru menfaat (fraud detection)

Yaygın hatalar

  • Tüm işleme için ‘açık rıza’ istemek — gereksiz, kullanıcı yorgunluğuna yol açar; meşru menfaate dayanılabilecek durumda açık rıza istemek hukuki dayanağı zayıflatır
  • Açık rıza yerine pasif rıza kabul etmek (örn. pre-checked checkbox)
  • Açık rızanın geri alındığında işlemeye devam etmek
  • Rıza akışını belgelemeyi unutmak — KVKK denetiminde kanıt zorunlu

Founder için pratik etki

Aydınlatma metniniz + rıza akışı için: (1) Her veri işleme amacına bağlı hukuki sebebi belirleyin; (2) Açık rıza şartsa granular (her amaca ayrı) checkbox kullanın; (3) Rıza geri çekme UI’sını sunun; (4) Tüm rıza değişikliklerini timestamp + IP ile loglayın. KVKK Tracker‘da yetersiz aydınlatma + rıza dosyalama eksikliği nedeniyle verilen cezalar düzenli olarak gözükmektedir.

Referanslar

Pratikte: geçerlilik, ispat yükü ve geri alma

Rızanın geçerli bir hukuki sebep sayılabilmesi için özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak açıklanması gerekir. KVKK bakımından bu çoğunlukla açık rıza biçimini alır ve kişinin zaten hak ettiği bir hizmetin ön koşulu hâline getirilemez; hizmetin sunumu rıza şartına bağlanamaz. Geçerli rızanın alındığını ispat yükü veri sorumlusundadır; bu nedenle rıza akışlarının zaman damgası, kişiye gösterilen metin ve o tarihte yürürlükteki aydınlatma metni sürümüyle birlikte kayıt altına alınması kritik önemdedir. Rıza her an geri alınabilir ve geri almanın, vermek kadar kolay olması gerekir; geri almadan önce yapılan işleme hukuka uygun kalır, ancak veri sorumlusu ilgili işlemeyi ileriye dönük olarak durdurmak zorundadır. Uygulamada rıza en kırılgan hukuki sebeptir: sözleşmenin ifası, hukuki yükümlülük veya meşru menfaat gibi başka bir sebep gerçekten uygulanabiliyorsa, geri alınamaz olması nedeniyle ona dayanmak daha güvenlidir. Bu yüzden rıza, başka hiçbir sebebin örtüşmediği durumlar için saklanmalıdır.