• btflegal

Kişisel Verilerin Korunması Kanunu Uyarınca Alınması Gereken "Açık Rıza" Hk. Doğru Bilinen Yanlışlar

Kişisel Verileri Koruma Kurumu tarafından yayınlanan “6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar” dokümanı çerçevesinde açık rızaya ilişkin değerlendirmelerimiz aşağıda bilgilerinize sunulmaktadır.


AÇIK RIZA, KURAL DEĞİL İSTİSNADIR.

Öncelikle yer aldığımız KVKK projelerinde de belirttiğimiz üzere açık rıza, kural değil istisnadır. 17. Sorunun cevabında “herhangi bir kişisel veri işleme faaliyeti söz konusu olduğunda öncelikle KVKK 5. ve 6. maddelerde belirtilen diğer işleme şartlarına bakılmalı, bu şartların bulunmadığı durumlarda açık rıza yoluna başvurulmalıdır.” diye belirtilmiş olup bu düşüncemiz pekiştirilmiştir.

KVKK’YA UYUMUN TAM YAPILABİLMESİ İÇİN KİŞİSEL VERİ ENVANTERİ ŞARTTIR.

52. sorunun cevabında kişisel veri işleme envanteri hazırlanmasının, VERBİS’e kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülük olduğu belirtilse de devamında VERBİS’e kayıttan istisna olan veri sorumlularının da kişisel veri işleme envanteri hazırlamaları önerilmiştir. Kaldı ki kişisel veri envanterinin tek amacının VERBİS kaydına dayanak oluşturması olmadığı; aydınlatma metinlerinin oluşturulması ve ilgili kişilerin başvurularına cevap verilmesi amacı da taşıdığı 53. sorunun cevabında belirtilmiştir. Şirket tarafından kimlerin, hangi amaçla, hangi verileri işlenmekte, kimler ile paylaşılmakta ve ne kadar süre ile saklanmakta sorularını yanıtlanması ve mevzuata hâkim hukukçular tarafından işbu süreçlerin değerlendirilmesi KVKK yürürlüğe girdiğinden beri alınmakta olan “battaniye rıza”ları engellemek ve mevzuat ile uyumlu hukuki metinler hazırlayabilmek adına şarttır. 21. sorunun cevabında battaniye rızalara değinilerek “Tüm kişisel verilerimin işlenmesine ve paylaşılmasına izin veriyorum” şeklinde verilen açık rıza belirli bir konuya ilişkin olmayıp hangi verilerin işleneceği ve kimlerle paylaşılacağı konusu da net olmadığından açık rıza olarak değerlendirilmeyeceğinin altı çizilmiştir.

AYDINLATMA YÜKÜMLÜLÜĞÜ İLE AÇIK RIZA BİRBİRİ İLE KARIŞTIRILMAMALIDIR.

Kanunun 10. maddesine göre aydınlatma yükümlülüğü, kişisel verinin ilgili kişiden elde edilmesi sırasında yerine getirilmesi gereken bir yükümlülüktür. Bu yükümlülüğün yerine getirilmesi için ilgili kişinin kişisel verilerinin işlenmesi yeterli olup, KVKK madde 5 veya 6 nezdindeki değerlendirmeler aydınlatma yükümlülüğü için değil, açık rıza alma yükümlülüğünün gerekliliği için geçerlidir. Söz konusu maddelerde yer alan durumlardan herhangi biri bulunmamasına rağmen kişisel veriler işlenmek isteniyorsa ilgili kişinin hem aydınlatılması hem de açık rızasının alınması gerekmektedir. İşte burada önem arz eden husus Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5. maddesinde de belirtildiği üzere “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi”dir. 31. sorunun cevabında aydınlatma ve açık rıza metinlerinin birbiri içerisine girmeyecek şekilde hazırlanması gerektiğine vurgu yapılmıştır.