Kişisel Verilerin Korunması Kanunu ülkemizde 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Bu kanun ile kişisel verilerin toplanması, erişilmesi, işlenmesi, hangi hukuki gerekçelerle kullanılması gerektiği, idari ve cezai yaptırımlar gibi birçok düzenleme yer almaktadır. Bütün bu düzenlemelerin arasında ‘Açık Rıza’ kavramı önemli bir yere sahiptir. Bu kavram, hem ulusal hem de uluslararası düzenlemelerde yer almaktadır. Örneğin, GDPR’da her kişisel veri işlenmesi için açık rıza şartı aranmaktadır.
KVKK md.3’e göre mevcut bir tanım bulunmaktadır. Şöyle ki, “Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” #
Gerekçe de ise ‘’Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.‘’ şeklinde açıklanmıştır.#
Tanımlardan anlaşıldığı üzere ilk olarak ‘Açık rıza’ kavramının önleyici bir nitelik taşıdığını belirtmek gereklidir. Bunun yanında açık rızanın üç adet temel geçerlilik şartı bulunmaktadır. Bunlar; belirli bir konuya ilişkin olma, bilgilendirilmeye dayanması ve özgür irade.
A. Belirli Bir Konuya İlişkin Olma
Bu geçerlilik şartına göre, ilgili kişi paylaştığı kişisel verinin hangi konuyla alakalı olarak kullanılacağını açık ve net bir biçimde bilmelidir. Yani diğer bir deyişle, konunun sınırları belirli olmalıdır.
B. Bilgilendirilmeye Dayanması
Bu geçerlilik şartına göre ise, kişisel veriyi elde etmek isteyen tarafın bir ‘Aydınlatma Yükümlülüğü’ bulunmaktadır. Yani kişi neye rıza verdiğini ve bunun olası sonuçlarını da bilmelidir. Bu bilgilendirme, veri işleme yapılamadan önce gerçekleştirilmelidir. Yazılı veya sözlü bilgilendirme yapılabilir ancak ispat açısından yazılı yapılması daha sonra ortaya çıkabilecek olası cezai veya idari yaptırımları minimuma indirecektir. Unutulmamalıdır ki ispat yükümlülüğü, kişisel veriyi talep eden kişiye aittir. Bu sebeple mümkün olduğunca kapsamlı bir bilgilendirme yapılmalıdır.
B. Özgür İrade
Kanun alınacak olan açık rıza beyanlarında kişisel verisi işlenecek olan şahsın herhangi bir şekilde iradesi sakatlanmadan vereceği açık rızaları şart koşmuştur. Ancak bu tip bir açık rıza beyanı kanunen geçerli olacaktır. Şahsın iradesini sakatlayabilecek her türlü fiil (cebir, tehdit, hile vb.) altında alacağı açık rızalar geçersizdir. Bu şartların rızayı ne ölçüde sakatladığı her bir vakıa için ayrı denetlenmelidir.
Burada önemle bilinmesi gereken bir başka husus tarafların eşit konumda olmasıdır. İşçi-işveren gibi bir tarafın diğeri üzerinde etki kurabileceği hallerde Özgür İradenin varlığına daha dikkatli bakılmalı ve açık rızanın alınması herhangi bir hizmet sunulması veyahut ürün veyahut yararlanmanın ön şartı sayılmamalıdır.
Özetle, ilgili kişi açıklanan şartlar altında açık rıza verebilir. Ancak kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.
