Mobile logo
Top

Açık Rıza Almak Sınırsız Özgürlük Verir Mi?

Bilgi Bankası Temel Kavramlar

Açık Rıza Almak Sınırsız Özgürlük Verir Mi?

Veri sorumlularının düştüğü en büyük yanılgılardan birisi de veri sahiplerinden açık rıza aldıktan sonra sınırsız bir özgürlüğe sahip olduklarını düşünmeleridir. Ne var ki bu büyük bir hata olup veri sorumluları diğer yükümlülüklerinin farkında olmazlarsa ciddi meblağlarda tazminat ve idari para cezalarına maruz kalabilecekler, hatta hapis cezası ile dahi karşılaşabilecektir. 

Açık Rıza Nedir?

6698 sayılı Kanun’un ifadesiyle açık rıza; belirli bir konuya ilişkin olarak, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Buna göre veri sahibi tarafından yalnızca “onay” alınması yeterli olmayacak; bu rızanın Kanun’a uygun bir “açık rıza” olabilmesi için;

  • Belirli bir konuya ilişkin olma,
  • Bilgilendirilmeye dayanma ve
  • Özgür iradeyle açıklanmış olma

unsurlarına sahip olması gerekecektir. Açık rızaya ilişkin daha detaylı bilgi almak için Açık Rıza Nedir? veHangi Hallerde Açık Rıza Gerekmez? başlıklı yazıları inceleyebilirsiniz. 

Kişisel verilerin hukuka uygun işlenmesi için açık rıza yeterli midir?

Veri sahiplerinin hukuka uygun olarak elde edilmiş açık rızaları veri işleme faaliyetinin hukuka uygun olması için tek başına yeterli değildir. Açık rıza, veri sorumlularına kişisel verileri diledikleri gibi işleme hakkı bahşetmez. Bütün veri sorumluları, (veri sahibinin açık rızası alınsın ya da alınmasın) kişisel verileri işlerken Kanun’daki genel ilkelere riayet etmek zorundadır. Bu ilkeler şunlardır: 

1) Hukuka ve Dürüstlük Kurallarına Uygun Olma

Kanun bir şemsiye hüküm olarak veri işlerken hukuka ve dürüstlük kurallarına uymayı şart koşmuştur. Bu kapsamda veri işlemenin meşru bir temele dayanması, bireyler aleyhine sonuçlar doğuracak şekilde kullanılmaması, şeffaflıktan taviz vermeden bireylerin makul beklentileri ve öngörüleri doğrultusunda olması gerekmektedir.

Dolayısıyla (veri sahibinden açık rıza alınsa bile) örneğin sağlığa ilişkin kişisel verilerin para karşılığı veri simsarlarına satılması veya sosyal medya sitelerinin kişilik ve karakter analizi yapması hukuka ve dürüstlük kuralına uygun değildir.

Bunlara ilave olarak veri sorumluları; kişisel verilerin korunması hukukuna uygun davranma kapsamında (şartları oluşmuşsa) silme, yok etme veya anonim hale getirme, aydınlatma, Veri Sorumluları Siciline kayıt yaptırma vb. yükümlülüklerini de yerine getirmelidir.

Kişisel Verileri Koruma Kurulu; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedebilecektir. 

Ayrıca veri sorumluları, veri güvenliğe ilişkin yükümlülükleri kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla mükellef olup Kurul, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında da 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedebilecektir. 

2) Kişisel Verileri Doğru ve Gerektiğinde Güncel Olarak İşleme

Veri sorumluları, kişisel verilerini işledikleri veri sahiplerinin verilerini doğru ve gerektiğinde güncel tutmakla mükelleftir. Bu kapsamda personelinin işe giriş-çıkış saatlerinin olduğundan farklı tutulması yanlış işlemeye, fazla mesailerin kaydedilmemesi de eksik işlemeye örnek olarak verilebilir. Verilerin güncel tutulması gerekliliği bakımından ayrıca, veri sahibinin işletmeye başvurarak teslimat adresini değiştirmesine rağmen siparişinin eski adresine kargolanması durumu örnek olarak verilebilir.

Veri sahipleri söz konusu verilerin güncel ve doğru işlenmesini talep etme hakkı bulunmaktadır.  

3) Belirli, açık ve meşru amaçlar için işlenme

Kişisel verilerin işlenmesine ilişkin en önemli ilkelerden birisi de kişisel verileri belirli, açık ve meşru amaçlar için işlemektir. Bu kapsamda veri sahiplerine karşı yoğun biçimde teknik ve hukuki terminoloji içeren dil kullanmaktan kaçınılmalıdır. Benzer şekilde kişisel verileri işleme amaçlarının sadece veri sorumlusu bakımından bilinmesi ya da tahmin edilebilir olması da bu ilkeye aykırıdır.

Bu kapsamda örneğin “ilerde gerekli olabilir” düşüncesiyle müşterilerin kullandığı araba modellerinin işlenmesi yahut kan grubunu işlemenin “silisilik asit seviyesinin hemoglobin ve nörotransmitter etkenlere olan tersiniminin santrifüj edilmesi” gibi karmaşık kavramlarla açıklanması bu ilkeye aykırı düşecektir.

Ayrıca, veri işleme amacının meşru olması da zorunludur. Örneğin, bir giyim mağazasının kişilerin ırk bilgileri elde ederek buna göre fiyatlama yapması durumunda meşru bir amaçtan söz edilemez.  

4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Veri sorumluları kişisel verileri beyan ettikleri amaçla sınırlı ve bağlantılı olarak ölçülü biçimde işlemekle mükelleftir. Bu kapsamda veri sahiplerinden açık rıza alınsa dahi örneğin tapu işlemleri için aylık gelire, diş tedavisi için gidilen hastanede göz rengine, süpermarketten yapılan içecek alışverişinde kimlik numarasına ilişkin verilerin işlenmesine ihtiyaç yoktur. Benzer bir örnek olarak kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması da ölçülülük ilkesine aykırılık teşkil edecektir.  

5) Gerekli olan süre kadar muhafaza edilme

Veri sorumluları kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreyle sınırlı olacak şekilde muhafaza etmelidir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları, anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri silmekle, yok etmekle veya anonim hale getirmekle mükelleftir.

Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları ise; kişisel veri saklama ve imha politikası oluşturmakla mükellef olup, bu politikada belirtilen “periyodik imha süresi” kapsamında imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri imha etmekle yükümlüdür.

Veri sorumlarının bu yükümlülüğü yerine getirmemesi halinde Türk Ceza Kanunu’nun 138. maddesinde uyarınca “Verileri Yok Etmeme Suçu” kapsamında haklarında 1 yıldan 2 yıla kadar hapis cezasına hükmedilebilecektir. 

Toparlamak gerekirse;

Veri Sorumlularının veri işlerken veri sahibinden açık rıza alması tek başına yeterli olmayıp kişisel verilerin korunması hukuku kapsamında uymaları gereken birçok hüküm bulunmaktadır. Veri sorumluları bu hükümlere uymamaları halinde hapis cezasına ve yüklü meblağlarda idari para cezalarına maruz kalabilecekleri gibi zarara uğrayan veri sahiplerine tazminat ödemeye mahkum edilebilecektir.

11 Ocak 2018
0
0
açık rıza
Related Posts
BİNLERCE İNTERNET SİTESİ DAHA KAYDET TUŞUNA BASMADAN GİRDİĞİNİZ VERİLERİ TOPLUYOR
 17 Mayıs 2022
Açık Rızayı Şarta Bağlayabilir (mi)siniz (?)
 28 Şubat 2021
TİK TOK İZİNSİZ VERİ İŞLEDİĞİNİ KABUL ETTİ
 28 Şubat 2021
Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın