6698 sayılı ve 7 Nisan 2016 gün ve 29677 sayılı Resmi Gazete yayımlanmış olan Kişisel Verilerin Korunması Kanunu'nun ("KVKK") yürürlüğe girmesini takiben, kişisel verileri işleyen veri sorumlusu durumundaki kişilerin veri sahiplerinin kişisel ve hassas (özel nitelikli) verilerini işlemek açısından öncelikle sorguladıkları hukuki sorun açık rıza oldu.

KVKK, Kişisel Verilerin İşlenmesinde ve Serbest Dolaşımında Bireylerin Korunmasına İlişkin 95/46/AT sayılı Direktif ("Direktif") önemli ölçüde dikkate alınarak kaleme alınmıştır. Ancak KVVK, hassas kişisel verilerin işlenmesi açısından değil, her türlü kişisel verilerin işlenmesi açısından sadece rızanın değil açık rızanın varlığını aramaktadır. Açık rıza ise, basit bir rızanın aradığı koşullardan daha fazlasını gerektirmektedir. KVKK'ya göre her türlü veri açısından açık rızanın olmadığı hallerde diğer hukuka uygunluk sebeplerinin varlığı işlemenin hukuka uygun sayılması için gereklidir.

KVVK'da açık rızanın aranmış olmasının temel sebebi ise, Anayasa'nın özel hayatın gizliliğine dair 20. maddesinin "Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." şeklindeki düzenlemesidir.

Bu anayasal düzenleme KVKK'nın kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi, özel nitelikli verilerin işlenme şartların düzenleyen 6. maddesi ve verilerin aktarılmasını düzenleyen 8. Ve 9. maddelerin yorumu açısından açık rıza ile açık rızanın olmaması halinde hukuka uygunluk sebebi olarak sayılan diğer haller arasında bir hiyerarşi olup olmadığı sorusunu akla getiriyor.

KVKK'da ilgili maddeler, öncelikle madde sistematiği olarak;

Madde 5 : "Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez."

Madde 6: "Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır."

Madde 8: "Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz."

Madde 9 : "Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz"

şeklinde emredici hükümler getiriyor.

KVKK maddelerinin devamında ise hangi hallerde ilgili kişinin açık rızası olmasa dahi kişisel verilerinin işlenebileceğini yazıyor.

KVKK maddelerinin sistematiğine ve ilgili maddelerin gerekçelerine bakıldığında,

  • kişisel verinin işlenebilmesi için öncelikle açık rızanın aranması gerekebileceği ve fakat
  • açık rıza olmasa dahi belirli hallerde kişisel verilerin işlenmesinin mümkün olduğu

şeklinde lafzi bir yorum yapılması riskinin olduğunu düşünüyoruz.

Elbette böyle bir yorum, yukarıda da belirttiğimiz üzere açık rıza ile diğer hukuka uygunluk halleri arasında bir hiyerarşi yaratma riski taşımaktadır. Oysa kanun koyucunun gerçekten böyle bir hiyerarşi yaratmak istemediği kaanatindeyiz.

Peki Kişisel Verileri Koruma Kurulu ("Kurul") bu konuda ne diyor?

Nitekim, Kurul yayınlamış 6698 Sayılı Kişisel Verilerin Korunması Kanununun Uygulanmasına Yönelik Soru Cevaplar adını taşıyan kılavuzda ("Kılavuz") (http://www.kvkk.gov.tr/yayinlar/) bu konuya açıklık getiriyor.

"Soru 9. Açık rıza tüm kişisel veri işleme faaliyetlerine hukukilik kazandıran yegâne unsur mudur?

Kanunun 5. maddesi uyarınca açık rıza Kanundaki kişisel veri işleme şartlarından biridir ve diğer kişisel veri işleme şartlarına göre karşılaştırmalı bir üstünlüğü bulunmamaktadır. Açık rıza veri işleme faaliyetine hukukilik kazandıran yegane unsur değildir.

Soru 11. Açık rıza geri alınabilir mi? Açık rızayı ilgili kişi (veri sahibi) geri aldığı takdirde veri sorumlusunun hukuki yükümlülüğü gereği (örneğin yasal saklama süreleri, aradaki sözleşme ilişkisinin devam etmesi gibi) halen ilgili kişinin kişisel verisinin işlenmesi gerekiyorsa ne yapılmalıdır?

Açık rıza geri alınabilir. Geri alma işlemi ileriye etkilidir. Açık rızanın hangi faaliyet özelinde alınması gerektiğini tespit etmek için veri işleme envanteri çıkarılmalı ve bu envanter üzerindeki faaliyetler hukuksal olarak analiz edilerek yalnızca açık rızaya dayalı olarak yürütülmesi gereken faaliyetler tespit edilmelidir. İlgili faaliyet özeline hasredilmesi gereken açık rıza yalnızca bu faaliyetin gerçekleştirilmesinin (kişisel veri işlenmesinin) hukuki şartı olmalıdır. Bu kapsamda açık rızanın bulunması gereken durumlarda açık rızanın mevcut olmaması veya geri alınması hallerinde veri işleme faaliyeti yapılamaz. Bununla birlikte veri işleme faaliyeti diğer kişisel veri işleme şartlarına dayanıyorsa bu faaliyet için açık rızaya gidilmemelidir. Eğer faaliyetin gerçekleştirilme amacı Kanundaki açık rıza dışındaki diğer kişisel veri işleme şartlarını karşılamıyorsa bu faaliyet özelinde ve o faaliyetle sınırlı olarak açık rıza alınmalıdır.

Kurul'un Direktif'le paralel tarzda, rıza ile ilgili olarak açıklamış olduğu bu yaklaşımı, esasen KVKK'nın yorumuyla ilgili yukarıda belirtmiş olduğumuz tereddütü ortadan kaldırabilir. Ancak, bu liberal yaklaşımın KVKK'daki düzenlemeye rağmen Türk mahkemeleri tarafından da benimseniyor olması ihtiyacı vardır. Bunu da hep birlikte zaman içinde mahkemelerin kararları yayınlandıkça görebileceğiz.

Herhalükarda bugün için cevaplanması gereken pratik bir soru ise şu:

Başka hukuka uygunluk sebepleri de mevcut iken, ayrıca açık rıza almak suretiyle kişisel verileri işleme yolunu tercih eden bir veri sorumlusu açısından durum ne olacak?

KVKK uygulamasının yeni olması, veri sorumluları ve veri sahiplerinin hak ve sorumluluklarını yeni yeni öğreniyor olmaları ve KVVK'nın uygulamasına dair Türk mahkemelerinin yerleşik bir içtihatı olmaması nedeniyle, pek çok veri sorumlusu tedbirli olmak kaygısıyla özellikli olabilecek konular için açık rızayı yine de almak yoluna gitmektedirler. Buna belki de en güzel örnek çalışanlardan alınan rızalardır.

Peki, bu durumda açık rıza almasa da işleyebileceği kişisel veriler açısından rızaya dayanarak veri işlemiş olması nedeniyle veri sorumluları cezalandırılacaklar mı? Öyle ki veri sahibi, rızasını herhangi bir zaman geri alabilir. O durumda, veri sorumlusu ilgili kişinin verisini işlerken açık rızaya dayanmış olduğundan acaba artık diğer hukuka uygunluk sebeplerine dayanarak veri işlemeye devam edebilmelir mi? Yoksa salt rıza da aldığı için veri sahibinin rızasını geri aldığı andan itibaren ilgili kişinin verisini hukuka uygun şekilde işlemiyor duruma mı düşecek?

Bizim bu konudaki görüşümüz, veri sorumlusu rıza talep ettiği konuya dair rıza isterken işleme faaliyetine dair diğer hukuka uygunluk sebeplerini de açık, anlaşır bir dille veri sahibine açıklamış ve nihayetinde ilgili kişinin verilerini aydınlatma metninde açıkladığı meşru amaçları için işlemiş ise, artık bu bilgilendirmeye dayanarak işleme faaliyetine devam edebileceği şeklindedir.

Elbette her bir veri işleme faaliyetinin ayrı ayrı değerlendirilmesi gerekeceğinden şüphe yoktur. Ancak veri sorumlularının KVKK'ya tam uyma kaygısıyla KVKK'nın yürürlüğünü takip eden ilk yıllarda, veri sorumlularının belki de veri sahiplerini "yoracak" şekilde rıza arayışında olmalarını da doğal karşılamak gerektiği kanaatindeyiz.

Kurul'un öncü duruşu ve Türk mahkemelerinin yaratacakları içtihatlarla, Türkiye'ye özel doğru uygulamaların yerleşmesini temenni ediyoruz

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.