Bu makalede, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında açık rıza alınırken dikkat edilecek hususlar ve kurumların bu rızayı neden hatalı bir şekilde davrandıklarının üzerinde duracağız.
1- AÇIK RIZA KAVRAMI VE TANIMI
Her şeyden önce açık rızanın ne olduğunu bilmekte yarar var. Acaba herhangi bir konu hakkında herhangi bir nedene dayalı olarak kişilerin verileri açık rızalarını almak kaydıyla işlenebilir mi?
6698 Sayılı Kanunun tanımlar başlığını taşıyan 3. maddesine göre açık rıza, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan” rızadır.
Kanunda hüküm altında alınan bu maddeye göre açık rıza alınırken üzerinde durulması gereken unsurları şu şekilde sıralayabiliriz.
- Açık Rıza Belirli Bir Konu Hakkında Alınmalı
- İlgili Konu Hakkında Bilgilendirilme Yapılmalı
- Kişinin Özgür İradesine Dayanmalı
6698 Sayılı Kanuna paralel olarak da Anayasamızın 20. maddesine 2010’da eklenen ek fıkra, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceğini hüküm altına almıştır.
2- HER RIZA BİR AÇIK RIZA MIDIR?
Yaptığımız tanımları da göz önünde bulundurduğunuzda bir şey dikkatinizi çekti mi? İlgili mevzuatlar neden “rıza alınmalıdır” demek yerine “açık rıza alınmalıdır” şeklinde bir düzenleme yapmış? Rıza almak ve açık rıza almak farklı kavramlar mı? Eğer öyleler ise açık rıza nasıl alınmalı? Şimdi bu kavramın üzerinde duralım?
Anayasa ve 6698 Sayılı Kanunun yanı sıra Avrupa Genel Veri Koruma Regülasyonu (GDPR)’a göre ilgilinin rızası alınırken kendisi tarafından “açıkça” ve “onaylayıcı” bir eyleme dayanarak alınan rızayı “açık rıza” olarak nitelendirebiliriz. Uygulamada yapılan hatalara birazdan değineceğiz ancak konunun anlaşılması için bir örnek verelim. Spor malzemeleri satan bir işletmenizin olduğunu ve işletmenizin müşteriler tarafından değerlendirilmesi için onlara bir form verdiğinizi düşünün. Olumsuz değerlendirmelerle karşılaştığınızda müşteri memnuniyetini arttırmak adına geri dönüş yapabilmek için müşterilerin iletişim bilgilerini de topladığınızı varsayalım. İlerleyen zamanlarda yaptığınız indirim ve kampanyalar için bu formda yer alan mail adreslerine ya da cep telefonu numaralarına kampanya mesajları gönderebilir misiniz? İlk bakışta “Müşterim zaten daha önce benimle iletişim bilgilerini paylaştı ve bunu rızasıyla yaptı. Neden göndermeyeyim ki?” şeklinde düşünebilirsiniz. İşte az önce bahsettiğimiz “olumlu eyleme dayanan açık rıza” tam olarak burada devreye giriyor. Unutmayın şu durumda müşterinizin kampanya mesajları almak için verdiği bir açık rıza bulunmuyor. O sadece bir değerlendirme formu doldurdu.
3- AÇIK RIZA ALINIRKEN UYGULAMADA YAPILAN HATALAR
Yukarıda kısaca değindiğimiz 6698 Sayılı Kanun 3. Maddesi Çerçevesinde yapılan hatalara değinelim.
A. Açık Rıza Alınan Konunun SINIRSIZ Olması
Açık rıza alınırken yapılan en büyük hata rızanın belirli bir konuya yönelik olarak alınmaması. Bir veriyi toplarken “Açık rızaya dayalı olarak alınan veri neden toplanıyor?” “Hangi amaçla kullanılacak?” sorularına mutlaka yanıt verebilmelisiniz. Konunun anlaşılması için yine örnek üzerinden ilerleyelim.
Örneğin bir iş başvurusu formunda kişinin anne adı, baba adı, evli ise eşinin adı, doğum tarihi, doğum yeri, hobileri, askerliğini yaptığı yer, en sık ziyaret ettiği şehirler gibi hususlara yer verilebilir mi?
Bu örnekte yukarıda belirttiğimiz iki soru önem kazanıyor. İşe başvuran bir kişinin askerliğini yaptığı yer hangi amaca yönelik olarak toplanacak? Ya da kişinin aile fertlerinin adı hangi amaçla işlenecek? Bir insan kaynakları sorumlusu olarak iş başvuru formunda yer alan bu soruları neden sorduğunuza ilişkin bir açıklamanız var mı?
Hayatın olağan akışına baktığımızda kişinin doğum tarihini yapılacak işin niteliğine göre işlemeniz muhtemel. Örneğin silahlı özel güvenlik istihdam edecekseniz ilgilinin 21 yaşının üzerinde olması şartının aranması ilgili mevzuatın bir gereğidir. Peki kişinin hobilerinin işlenmesi neye dayanabilir? “Ben çalıştırdığım personeli iyice tanımak isterim. Bu nedenle kişinin boş vakitlerinde ne yaptığı benim için önemli.” gibi bir argüman hukuken geçerli midir?
Başka bir örnek üzerinden gidelim. Bir dernek üyeliği formunda kişinin mensubu olduğu din ile alakalı bir soruya yer verilebilir mi? “Bizim derneğimiz yalnızca belirli bir görüşe sahip kişileri üye kabul etmektedir.” şeklinde bir bakış açısıyla özel nitelikli kişisel veriler toplanabilir mi?
Yukarıda bahsettiğimiz tüm hususları göz önünde bulundurarak şunu söyleyebiliriz. Herhangi bir kişisel veri toplanırken neden toplandığı, ilgili faaliyetin kapsamı alanında olup olmadığı gibi sorular mutlaka yanıtlanmak zorundadır. Kişisel verinin toplanması sınırlı bir amaca hizmet etmediği sürece hukuka aykırıdır. Örneğin bir açık rıza metninde “veri sahibi, belirtilen kişisel verileri her türlü amaca hizmet edecek şekilde kullanabilir.” şeklinde yer alan ifade, geçerli bir açık rıza olmayacaktır.
B. Kişisel Verilerin Sonsuza Kadar Tutulması
Uygulamada yapılan bir başka hata ise toplanan verinin bir süre sınırı olmaksızın tutulmasıdır. Hukuka uygun olarak işlenen kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde imha edilmeli yahut anonim hale getirilmelidir.
Örneğin konaklama hizmeti veren bir işletme müşterilerinin kayıtlarını sonsuza kadar tutmamalıdır. Uygulamada bu hizmeti veren işletmelerin sadakat programı çerçevesinde müşteri verilerini sakladığını görsek de ilgilinin talebi üzerine bu veriler silinmeli ya da alenileştirilmelidir.
C. Özgür İradenin Sakatlanması, Zorunluluk Haline Getirilmesi
Uygulamada sıklıkla rastlanan hatalardan birisi de kişisel verinin işlenmesi amacıyla alınan açık rızanın zorunluluğa dayanmasıdır.
Örneğin bir öğrenci yurdu, yurtta kalan öğrencilerin yurda giriş yapabilmeleri için “parmak izlerinin” okutulmasını zorunlu kılan bir sisteme geçemez. Parmak izlerinin toplanması özel nitelikli bir kişisel veridir ve yukarıda bahsettiğimiz üzere ilgilinin açık rızası bu hususta sakatlanamaz. İlgili kişi parmak izini vermeyi reddedebilir. Bu durumda kendisine giriş yapabilmesi amacıyla yurt tarafından bir anahtar verilmesi (fiziki bir anahtar ya da şifre) zorunludur.
Başka bir örnekle devam edelim. Kurumsal bir firmanın yöneticisisiniz. Çalışanlarınızın gün içerisinde hangi birimlerde ne kadar süre geçirdiğini öğrenmek amacıyla kendilerine yanlarında taşıması için bir modül ya da mikro çip verip mesai saatleri içerisinde bunu yanlarında taşımasını zorunlu kılabilir misiniz? “Personelimin kendi biriminde vakit geçirdiğinden emin olmak istiyorum. Nitelikli bir çalışma yürütüp yürütmediğini ancak bu şekilde öğrenebilirim. Sigara molasına saatler ayırıp ayırmadığını öğrenmem için bunu yapmam gerekli.” şeklinde bir argüman hukuka uygun olacak mıdır?
Elbette olmayacaktır. Yukarıda bahsettiğimiz üzere 6698 sayılı kanun açık rızanın verilmesini özgür iradeye bağlamıştır. Personeliniz bu uygulamayı reddetme hakkına sahiptir.
4- SONUÇ
Kişisel verilerin toplanması amacıyla alınan rıza genel kapsamlı olamaz. Faaliyet alanı ile sınırlı tutulmalıdır. Aynı şekilde alınacak açık rıza bir koşula bağlanarak sakatlanamaz ve mecburi tutulamaz. 6698 sayılı yasa ve sair mevzuat aksini göstermediği sürece ilgili verdiği açık rızadan her zaman geri dönebilir, kişisel verilerinin yok edilmesini isteyebilir.
Açık rızanın alınması ile ilgili verdiğimiz bu genel bilgilerin daha detaylı halini aşağıda yer alan programda bulabilir, konu hakkında detaylı bilgi almak ve açık rıza metninin hazırlanmasında bizimle çalışmak isterseniz iletişime geçebilirsiniz.