Yazılara Dön
Kişisel Verilerin Korunması··5 dk okuma

Aydınlatma Metni ve Açık Rıza Metni Birlikte Hazırlanamaz: Kurulun İlke Kararı Ne Anlama Geliyor?

Kişisel Verileri Koruma Kurulu, veri sorumlularının aydınlatma metinleri ile açık rıza metinlerini birlikte hazırlamaları nedeniyle ortaya çıkan ihlallere ilişkin bireysel kararlarını ilke kararına dönüştürdü. Bu karar, aydınlatma yükümlülüğü ile açık rızanın aynı metin içinde eritilmemesi gerektiğini ve veri sorumluları bakımından uyum süreçlerinin yeniden gözden geçirilmesi ihtiyacını ortaya koyuyor.

Kişisel verilerin korunması hukukunda aydınlatma yükümlülüğü ile açık rıza, çoğu zaman aynı süreç içinde gündeme gelse de hukuki nitelikleri birbirinden farklıdır. Kişisel Verileri Koruma Kurulu, veri sorumlularının aydınlatma metinleri ile açık rıza metinlerini birlikte hazırlamaları nedeniyle işlenen kabahatlere ilişkin daha önce verdiği bireysel kararları derleyerek ilke kararına dönüştürmüş ve bu kararı Resmî Gazete’de yayımlamıştır.

Bu gelişme, özellikle internet siteleri, mobil uygulamalar, üyelik formları, çalışan süreçleri, müşteri kayıt ekranları ve pazarlama izinleri bakımından standart metin kullanan şirketler için önemlidir. Çünkü Kurulun yaklaşımı, yalnızca metnin varlığına değil; metnin içeriğine, sunuluş biçimine ve ilgili kişinin gerçekten bilgilendirilip bilgilendirilmediğine odaklanmaktadır.

Aydınlatma Yükümlülüğü ile Açık Rıza Neden Ayrı Değerlendirilmelidir?

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiyi belirli konularda bilgilendirmekle yükümlüdür. Bu yükümlülük, veri işleme faaliyetinin hangi hukuki sebebe dayandığından bağımsız olarak gündeme gelir.

Açık rıza ise farklı bir kurumdur. Açık rıza, kişisel verilerin işlenmesi için kullanılabilecek hukuki sebeplerden biridir; ancak her veri işleme faaliyeti için açık rıza alınması gerekmez. Kanunda öngörülen diğer işleme şartları mevcutsa, veri sorumlusu açık rıza yerine bu hukuki sebebe dayanabilir.

Bu nedenle aydınlatma metni ile açık rıza metninin aynı belge içinde, ayrım yapılmaksızın sunulması şu riskleri doğurabilir:

  • İlgili kişinin, yalnızca bilgilendirildiğini mi yoksa ayrıca rıza verdiğini mi ayırt edememesi,
  • Açık rızanın, aydınlatma metninin doğal bir uzantısı gibi algılanması,
  • Rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddüt oluşması,
  • Veri sorumlusunun, açık rıza gerekmeyen hallerde dahi rıza alarak hukuki sebep karmaşası yaratması,
  • İleride ispat yükü bakımından veri sorumlusu aleyhine sonuçlar doğması.

Kurulun ilke kararı, bu iki hukuki mekanizmanın şeklen ve içerik bakımından ayrıştırılması gerektiğini açık biçimde ortaya koymaktadır.

İlke Kararı Veri Sorumluları İçin Ne İfade Eder?

Kişisel Verileri Koruma Kurulu, daha önce bireysel başvuru ve incelemeler kapsamında verdiği kararları, benzer uygulamaların yaygınlığı nedeniyle ilke kararı haline getirmiştir. İlke kararları, veri sorumluları bakımından genel nitelikte yol gösterici olduğu gibi, uyulmaması halinde idari yaptırım riskini de artıran metinlerdir.

Bu kapsamda veri sorumlularının artık yalnızca “bir aydınlatma metni hazırladık” veya “rıza kutucuğu ekledik” demesi yeterli değildir. Metinlerin hukuki fonksiyonlarının ayrı kurulması, ilgili kişinin anlayabileceği şekilde sunulması ve her veri işleme faaliyeti bakımından doğru hukuki sebebin belirlenmesi gerekir.

Özellikle aşağıdaki uygulamalar yeniden değerlendirilmelidir:

  1. Tek form içinde aydınlatma ve rıza beyanı alınması: Aydınlatma metninin sonunda genel bir “okudum, onaylıyorum” kutucuğu kullanılması, açık rıza ile bilgilendirme arasındaki sınırı belirsizleştirebilir.
  2. Tüm işleme faaliyetleri için toplu rıza alınması: Farklı amaçlara yönelik veri işleme faaliyetlerinin tek bir rıza beyanına bağlanması, rızanın belirli bir konuya ilişkin olması şartıyla bağdaşmayabilir.
  3. Açık rızanın hizmet şartı gibi sunulması: Rıza verilmemesi halinde hizmetten yararlanılamayacağı izlenimi oluşturulması, özgür irade unsurunu zedeleyebilir.
  4. Kanuni sebep varken açık rızaya başvurulması: Sözleşmenin kurulması, hukuki yükümlülük veya meşru menfaat gibi başka işleme şartları mevcutken açık rıza alınması, ilgili kişiyi yanıltabilir.

Aydınlatma Metni Nasıl Kurgulanmalıdır?

Aydınlatma metni, ilgili kişiye veri işleme faaliyeti hakkında şeffaf ve anlaşılır bilgi vermelidir. Bu metin, bir onay veya izin metni değil; bilgilendirme aracıdır. Bu nedenle metnin dili sade, erişilebilir ve işleme faaliyetine özgü olmalıdır.

Aydınlatma metninde genel olarak şu başlıkların açık şekilde yer alması beklenir:

  • Veri sorumlusunun kimliği,
  • Kişisel verilerin hangi amaçlarla işlendiği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,
  • Veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin kanundan doğan hakları.

Burada kritik nokta, aydınlatma metninin ilgili kişiden bir irade beyanı almaya yönelmemesidir. Aydınlatma metni okutulabilir, erişime sunulabilir veya bilgilendirmenin yapıldığı ispatlanabilir; ancak bu süreç açık rıza alınması ile karıştırılmamalıdır.

Açık Rıza Metni Nasıl Ayrılaştırılmalıdır?

Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu nedenle açık rıza metni; açık, tereddüde yer vermeyen ve ilgili kişinin aktif davranışıyla ortaya çıkan bir beyan içermelidir.

Aydınlatma metni ile açık rıza metni arasındaki temel farklar şu şekilde özetlenebilir:

KriterAydınlatma MetniAçık Rıza Metni
Hukuki niteliğiVeri sorumlusunun yükümlülüğüİlgili kişinin irade beyanı
AmaçBilgilendirmeBelirli işlemeye izin verme
ZorunlulukKural olarak her veri işleme sürecinde gündeme gelirYalnızca açık rıza hukuki sebebine dayanılıyorsa gerekir
Sunuluş şekliOkunabilir ve erişilebilir olmalıAyrı, açık ve aktif onaya dayanmalı
RiskEksik bilgilendirmeGeçersiz veya sakat rıza

Bu ayrım, özellikle ticari elektronik ileti izinleri, özel nitelikli kişisel veriler, pazarlama profillemesi, çerez uygulamaları ve üçüncü kişilere aktarım süreçlerinde daha da önemli hale gelir.

Şirketler Uyum Sürecinde Hangi Adımları Atmalı?

Veri sorumlularının, Kurulun ilke kararı doğrultusunda mevcut metinlerini ve uygulama ekranlarını gözden geçirmesi gerekir. Bu inceleme yalnızca hukuk departmanının değil; insan kaynakları, pazarlama, bilgi teknolojileri, müşteri ilişkileri ve e-ticaret ekiplerinin de dahil olduğu bütüncül bir süreç olarak yürütülmelidir.

Uygulamada şu adımlar önem taşır:

  • Mevcut aydınlatma metinleri ile açık rıza metinleri ayrıştırılmalıdır.
  • Her veri işleme faaliyeti için ayrı ayrı hukuki sebep analizi yapılmalıdır.
  • Açık rıza gerekmeyen süreçlerde gereksiz rıza alınmamalıdır.
  • Açık rıza alınacaksa, rıza metni belirli amaçlara göre ayrılmalıdır.
  • Dijital ortamlarda onay kutuları önceden işaretli olmamalı; ilgili kişinin aktif tercihi aranmalıdır.
  • Rızanın ne zaman, hangi metin üzerinden ve hangi yöntemle alındığı ispatlanabilir olmalıdır.
  • Metinler, genel ve soyut ifadeler yerine somut veri işleme faaliyetini açıklamalıdır.

Bu adımların atılmaması, yalnızca idari para cezası riski doğurmakla kalmaz; aynı zamanda müşteri, çalışan ve kullanıcı güvenini de olumsuz etkileyebilir.

Uygulamada Ne Anlama Geliyor?

Kurulun ilke kararı, kişisel veri işleme süreçlerinde şekli uyumdan ziyade gerçek ve anlaşılabilir bilgilendirmeyi esas alan yaklaşımı güçlendirmektedir. Veri sorumluları bakımından temel sonuç, aydınlatma metni ile açık rızanın aynı metinde belirsiz şekilde birleştirilmemesi gerektiğidir.

Özetle:

  • Aydınlatma metni bilgilendirme aracıdır; rıza metni değildir.
  • Açık rıza, ayrı, belirli ve özgür iradeye dayalı bir beyan olarak alınmalıdır.
  • Tek metinle hem bilgilendirme hem onay alma yaklaşımı idari yaptırım riski doğurabilir.
  • Her veri işleme faaliyeti için doğru hukuki sebep belirlenmelidir.
  • Şirketlerin mevcut KVKK dokümantasyonunu ve dijital onay süreçlerini yeniden gözden geçirmesi gerekir.

Paylaş

Bu konu hakkında danışmak ister misiniz?

Uzman ekibimiz hukuki sorularınız için yanınızda.

İletişime Geçin