Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı
Açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulması, Kişisel Verileri Koruma Kurum una (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hukuka aykırılıklardan biri olarak görülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü temelde, kişisel verileri işlenen ilgili kişilerin bilgilendirilmesi anlamına gelmektedir. Açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanun’da öngörülen işleme şartlarından biridir. Bu doğrultuda, niteliği itibariyle farklı kavramlara karşılık gelen açık rıza ve aydınlatma metinlerinin ayrı ayrı metinlerde düzenlemesi gerektiği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede, konu ile alakalı mevzuat hükümlerine bakıldığında;
• Anayasa’nın 20’nci maddesinin üçüncü fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.
• 6698 sayılı Kanun’un 5’inci maddesinde kişisel verilerin, 6’ncı maddesinde ise özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmıştır.
Açık rıza, Kanun’un 3’üncü maddesinde; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Bu tanım kapsamında açık rıza, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine izin verdiğini/işlenmesini onayladığını gösteren özgürce verilmiş, konuya özel, bilgilendirilmiş ve belirsizlik içermeyen rızası anlamına gelmektedir.
Açık rıza metinlerine, ilgili kişiler tarafından kişisel verilerinin metinde yer alan amaç ve hukuki sebeplere dayalı olarak işlenmesine açık rıza verildiğinin beyan edilmesi gerekmektedir. Bununla birlikte, Kanun'a uygun bir şekilde açık rıza alındığına ilişkin ispat yükümlülüğü veri sorumlusuna aittir.
Aydınlatma yükümlülüğü ise Kanun’un 10’uncu maddesinde "(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür." şeklinde açıklanmıştır. Aydınlatma yükümlülüğün amacı işlenen kişisel veriler ve işleme faaliletlerine ilişkin olarak ilgili kişilerin bilgilendirilmesinden ibaret olup aydınlatma metinleri sözleşme niteliği taşımamaktadır. Bu nedenle aydınlatma metinlerinde sıkça yapılan hatalardan olan "okudum ve kabul ediyorum”, "okudum ve açık rıza veriyorum","okudum ve onaylıyorum” şeklindeki metnin sonunda yer verilen ifadeler yerine aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığına yönelik olarak ‘‘okudum ve anladım” şeklindeki beyanda bulunulması bu aşamada hukuka uygun bir kullanım teşkil edecektir. Ayrıca, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci ("Tebliğ”) maddesinin birinci fıkrasının (f) bendi; "Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. " hükmünü amirdir.
Bu kapsamda, ilgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun’da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her dununda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi gerekmektedir. Kişisel veri işleme faaliyetinin açık rıza şartına davalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır. Söz konusu metinler tek bir sayfada yer alacak olsa dahi ilgili kişiler tarafından verilecek beyanlar niteliği itibariyle farklı olduğundan her iki metnin alt ve üst şeklinde ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulması gerekmektedir.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
