Rıza (Consent) nedir?
KVKK çerçevesinde rıza (consent), kişisel veri işleme faaliyeti için ilgili kişinin verdiği onaydır. Türk hukuku ‘rıza’ kavramını açık rıza‘dan farklı düzenler. Bu fark çoğu kişi tarafından gözden kaçar ama hukuki sonuçları önemlidir.
Rıza vs Açık Rıza
| Boyut | Rıza | Açık Rıza |
|---|---|---|
| Şekil | Zımni veya açık olabilir | Yalnızca açık (yazılı/elektronik) |
| Belirlilik | Genel olabilir | Belirli bir konuya ilişkin |
| Bilgilendirme | Şart değil | Bilgilendirilmeye dayanmalı |
| KVKK Kullanımı | Madde 5’te değil | Madde 5(1) ve Madde 6 hukuki sebep |
KVKK Madde 5 — kişisel veri işlemenin hukuki sebepleri
- Açık rıza (Madde 5(1))
- Aşağıdaki istisnalar (Madde 5(2)) — açık rıza aranmaz:
- (a) Kanunlarda açıkça öngörülmesi
- (b) Sözleşme kurulması veya ifası için zorunlu
- (ç) Veri sorumlusunun hukuki yükümlülüğü
- (d) Veri sahibinin kendisi tarafından alenileştirilmiş
- (e) Bir hakkın tesisi, kullanılması veya korunması
- (f) Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat
‘Consent’ kavramının GDPR‘da yeri
GDPR’da ‘consent’ KVKK’nın ‘açık rıza’sına çok yakındır. GDPR Madde 4(11): “Specific, informed, unambiguous indication of the data subject’s wishes by a statement or a clear affirmative action.”
Pratik uygulama: ne zaman ‘rıza’, ne zaman ‘açık rıza’?
- Açık rıza ŞARTTIR: Pazarlama iletişimi, özel nitelikli veri işleme, yurtdışı veri aktarımı (yeterlilik veya SCC yoksa), profilleme
- Açık rıza ARANMAZ: Sözleşme ifası için gereken işleme (örn. e-ticaret siparişi için adres bilgisi), hukuki yükümlülük (vergi raporlama), meşru menfaat (fraud detection)
Yaygın hatalar
- Tüm işleme için ‘açık rıza’ istemek — gereksiz, kullanıcı yorgunluğuna yol açar; meşru menfaate dayanılabilecek durumda açık rıza istemek hukuki dayanağı zayıflatır
- Açık rıza yerine pasif rıza kabul etmek (örn. pre-checked checkbox)
- Açık rızanın geri alındığında işlemeye devam etmek
- Rıza akışını belgelemeyi unutmak — KVKK denetiminde kanıt zorunlu
Founder için pratik etki
Aydınlatma metniniz + rıza akışı için: (1) Her veri işleme amacına bağlı hukuki sebebi belirleyin; (2) Açık rıza şartsa granular (her amaca ayrı) checkbox kullanın; (3) Rıza geri çekme UI’sını sunun; (4) Tüm rıza değişikliklerini timestamp + IP ile loglayın. KVKK Tracker‘da yetersiz aydınlatma + rıza dosyalama eksikliği nedeniyle verilen cezalar düzenli olarak gözükmektedir.