Top

Hangi Hallerde Açık Rıza Gerekmez?

Hangi Hallerde Açık Rıza Gerekmez?

Kişisel verilerin korunması hukukuna göre kural olarak, veri işleme faaliyetine başlamadan önce veri sahibinden açık rıza alınması gerekmektedir. Ancak açık rıza almanın her durumda zorunlu olması mümkün/makul olmayıp bu mükellefiyet ticari hayatı aksatacak ve veri sorumlularını katlanılması oldukça zor olan büyük bir yük altına sokacaktır. Bu sebeplerle Kanun, bazı hallerde açık rıza zorunluluğuna istisna tanımaktadır.

Açık Rıza Nedir?

Kanun’un ifadesiyle açık rıza; belirli bir konuya ilişkin olarak, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Buna göre veri sahibi tarafından yalnızca “rıza” alınması yeterli olmayacak; bu rızanın Kanun’a uygun bir “açık rıza” olabilmesi için aşağıdaki unsurlara sahip olması gerekecektir:

Belirli bir konuya ilişkin olma: Tam olarak veri işlemenin ne ile sınırlandığının belirtilmesini ifade eder. (Örnek: Veri sahibinin bütün verilerinin her türlü amaçla işlenebileceğini onaylamış olması geçerli bir rıza oluşturmayacaktır)

Bilgilendirmeye dayanma: Rıza verecek kişi verilerinin tam olarak nasıl /hangi amaçla işleneceği ile ilgili etkin bir bilgilendirme yapılmış olmalıdır: (Örnek: Ortalama bir veri sahibinin sayfalarca küçük fontlu yazıdan oluşan bilgilendirme metnini okuyup anlaması zor olup yalnızca “okudum, anladım” şeklinde bir butona basması halinde bu rızanın bilgilendirilmeye dayandığı kabul edilmemektedir.)

Özgür iradeyle açıklanma: Geçerli bir rızadan söz edebilmek için veri sahibinin kişisel verilerinin işlenmesine aldatma yahut mecbur bırakma altında onay vermemiş olması gerekir. (Örnek: İşini kaybetme korkusu altında rıza veren bir işçinin bu rızasının özgür iradeye dayandığı kabul edilemez)

Açık rızaya ilişkin daha detaylı bilgi edinmek için Açık Rıza Nedir? başlıklı yazımızı inceleyebilirsiniz. Görüldüğü üzere, her seferinde bu şartları taşıyan bir açık rıza almanın ciddi anlamda zorlukları bulunuyor olup bunu zorunlu kılmanın hakkaniyetle bağdaşmadığı durumlar da mevcuttur. İşte bu sebeple Kanun’da açık rıza alma zorunluluğuna birtakım istisnalar tanımıştır. 

1) Kanunlarda Açıkça Öngörülmesi

Eğer kişisel verileri işleme, belirli durumlarda kanunlarca emrediliyor/müsaade ediliyorsa bu durumda veri sahibinden açık rıza alınmasına gerek yoktur. Çalışanlara ait özlük bilgilerinin tutulması veya pay sahiplerinin pay defterinde gösterilmesi bu kapsamda örnek olarak gösterilebilir. 

2) Fiili İmkânsızlık

Eğer bir fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin; kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için verisinin işlenmesi zorunlu ise, bu durumda açık rıza aranmaz. Bu konuda en tipik örnekler, kaçırılan bir kişinin konum bilgisinin ya da bayılan bir kişinin kan grubu bilgisinin işlenmesidir. 

3) Bir Sözleşmenin Kurulması veya İfası

Bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi, o sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilişkili ise, ayrıca bir açık rıza aranmaz.

Bir e-ticaret sitesinin teslimat için müşterisinin adres bilgilerini kaydetmesi veya bir bankanın kredi talebinde bulunan müşterisinin kayıtlı mal varlıklarına ilişkin bilgileri işlemesi bu kapsamda değerlendirilebilir.  

4) Veri Sorumlusunun Hukuki Yükümlülükleri

Eğer veri sorumlusunun hukuki yükümlülüklerini getirmesi için bir zorunluluk varsa, bu durumda da verisi işlenen veri sahibinin açık rızası aranmaz.

Örneğin bir işverenin çalışanının maaşını ödemek için banka hesap bilgilerini alması, bankaların veya sermaye piyasası kuruluşlarının müşterilerinin kanunda gösterilen bilgilerini kaydetmesi bu kapsamda değerlendirilebilir. 

5) Veri Sahibinin Kendisi Tarafından Alenileştirilmiş Olma

Eğer veri sahibi, kişisel verilerini kendisi alenileştirmiş ise bu durumda da veri işlemek için açık rızanın aranmasına gerek yoktur. Zira veri sahibi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin korunmasındaki hukuki yarar ortadan kalkmaktadır. Örneğin sosyal medya hesabından tuttuğu takımı paylaşan kişinin bu verisinin alenileştiği söylenebilir.

Ancak aleni bilgilerin işlenmesinde de genel ilkeler uyarınca veri işleme amacının meşru, belirli ve açık olması gerektiği unutulmamalıdır. Dolayısıyla, örneğin sosyal medya hesaplarından elde edilen fotoğrafların meşru olmayan amaçlarla kullanılmasının hukuka uygun olduğu düşünülemez. 

Aleni verilerin işlenmesine ilişkin daha detaylı bilgi için Aleni Veri Nedir? başlıklı yazımızı inceleyebilirsiniz. 

6) Bir Hakkın Tesisi, Kullanılması veya Korunması

Kişisel verilerin işlenmesi; bir hakkın tesisi, kullanılması yahut korunması için zorunlu ise, bu durumda da açık rızanın aranmaz. İşten ayrılan bir çalışana ait bilgilerin dava zamanaşımı boyunca saklanması veya mal teslimine ilişkin müşterilerden alınan imzalı belgenin saklanması bu kapsamda örneklendirilebilir. 

7) Veri Sorumlusunun Meşru Menfaati

Kanunun tanıdığı bu istisna oldukça esnek şekilde yorumlanmaya müsait olup bu hususta belirli bir sınırı aşmamak gerekmektedir. Zira “meşru menfaat”in ne ölçüde genişletileceği bir problem olup bunun veri işlenmesine ilişkin sınırsız bir hak sağladığı düşünülemez.

Bu kapsamda, ehliyetli ve liyakatli çalışanların terfi almaları için veya bir şirket devri öncesinde devralacak kişinin şirketin güncel durumuna hâkim olabilmek için birtakım kişisel verileri incelemesi; veri sorumlusunun meşru menfaati kapsamında veri işlemesine örnek olarak verilebilir. Benzer şekilde bir kargo şirketinin alıcının adresini açık rıza olmaksızın işlemesi de (Aslında gönderen ve kargo şirketi arasında bir sözleşme olmasına rağmen üçüncü kişi olan alıcının bilgileri işlendiğinden) veri sorumlusunun meşru menfaatinden ötürü kabul edilebilecektir.

Ancak meşru menfaat istisnası; veri sorumlusunu, veri sahibinin haklarını Kanunun ruhuna aykırı olacak şekilde ihlal etmeye yetkili kılmaz. Dolayısıyla gelecekte reklam yapmak amacıyla kişilerin telefon numaralarını arşivlemek veri sorumlusunun meşru menfaati olarak kabul edilemez.  

8) Kanun’un Uygulanmayacağı Haller

Bazı hallerde Kişisel Verilerin Korunması Kanunu uygulanmayacağı Kanun’un 28. maddesinde belirtilmiştir. Bu hallerde Kanun uygulanmayacağı için açık rıza zorunluluğu da uygulanmayacaktır.

  • Aynı konutta yaşayan aile fertlerinin verilerinin üçüncü kişilerle paylaşmamak ve veri güvenliğine ilişkin yükümlülüklere uymak koşuluyla işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

bu hallere örnek olarak gösterilebilir. 

Toparlamak gerekirse,

Toplumsal ve ticari hayatın hakkaniyete aykırı şekilde zarar görememesi için Kanun, bazı hallerde açık rıza zorunluluğuna istisnalar getirmiştir. Ancak kişisel verilerin, açık rıza alınmasına gerek olmasa da her halükarda hukuka uygun şekilde işlenmesi gerekmektedir. Dolayısıyla örneğin kişilerin ırk ve mezheplerine göre sınıflandırılarak ayrımcılığa uğratılması, söz konusu ırk ve mezhep bilgileri veri sahiplerinin kendisi tarafından alenileştirmiş olsa dahi, hukuk düzeni tarafından korunmayacaktır.

Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın