Açık rıza tüm kişisel veri işleme faaliyetlerine hukukilik kazandıran yegâne unsur mudur? Kanunun 5. maddesi uyarınca açık rıza Kanundaki kişisel veri işleme şartlarından biridir ve diğer kişisel veri işleme şartlarına göre karşılaştırmalı bir üstünlüğü bulunmamaktadır. Açık rıza veri işleme faaliyetine hukukilik kazandıran yegane unsur değildir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Açık rızanın Kanunda belirtilen unsurlarının sağlanması için nasıl bir yaklaşım ile alınması gerekmektedir? Kanunun 3. maddesinin (a) bendinde yer verilen tanım gereğince, açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanması gerekmektedir. Kanunun gerekçesinde de, açık rıza, “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde ifade edilmiştir. Bu çerçevede, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar hukuken geçersizdir. Kanun açık rıza hususunda herhangi bir şekil şartı öngörmemekle birlikte, açık rızanın yazılı olduğu durumlarda açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Açık rızanın alındığı ortam veya metin dışındaki başka bir ortama veya metne atıf yapılarak ilgili kişinin açık rızası alınmamalıdır. Açık rıza, ilgili kişinin özgür iradesiyle açıklamada bulunduğunu ortaya koyacak şekilde ilgili kişinin seçimine sunulmalıdır.
Açık rıza geri alınabilir mi? Açık rızayı ilgili kişi (veri sahibi) geri aldığı takdirde veri sorumlusunun hukuki yükümlülüğü gereği (örneğin yasal saklama süreleri, aradaki sözleşme ilişkisinin devam etmesi gibi) halen ilgili kişinin kişisel verisinin işlenmesi gerekiyorsa ne yapılmalıdır? Açık rıza geri alınabilir. Geri alma işlemi ileriye etkilidir. Açık rızanın hangi faaliyet özelinde alınması gerektiğini tespit etmek için veri işleme envanteri çıkarılmalı ve bu envanter üzerindeki faaliyetler hukuksal olarak analiz edilerek yalnızca açık rızaya dayalı olarak yürütülmesi gereken faaliyetler tespit edilmelidir. İlgili faaliyet özeline hasredilmesi gereken açık rıza yalnızca bu faaliyetin gerçekleştirilmesinin (kişisel veri işlenmesinin) hukuki şartı olmalıdır. Bu kapsamda açık rızanın bulunması gereken durumlarda açık rızanın mevcut olmaması veya geri alınması hallerinde veri işleme faaliyeti yapılamaz. Bununla birlikte veri işleme faaliyeti diğer kişisel veri işleme şartlarına dayanıyorsa bu faaliyet için açık rızaya gidilmemelidir. Eğer faaliyetin gerçekleştirilme amacı Kanundaki açık rıza dışındaki diğer kişisel veri işleme şartlarını karşılamıyorsa bu faaliyet özelinde ve o faaliyetle sınırlı olarak açık rıza alınmalıdır.
Açık rıza, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırmanın) ön şartı yapılabilir mi? Açık rızanın özgür irade ile açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır. Örneğin, spor salonuna üye olabilmek için spor salonu yetkilileri tarafından üye olmak isteyen kişinin parmak izinin alınması zorunluluğu öngörülmesi bu bakımdan hukuka aykırı olacaktır.
Açık rıza tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde alınabilir mi? Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “Şemsiye rızalar” hukuken geçersizdir.
Açık rızanın açıklanması herhangi bir şekle tabi midir? Açık rızanın açıklanması herhangi bir şekil şartına tabi değildir. Açık rızanın alındığı konusundaki ispat yükü veri sorumlusuna aittir.
Kanunun yayımından önce alınan rızalar, hangi şartlarda Kanuna uygun kabul edilecektir? Kanunun Geçici 1. maddesinin 3. fıkrası uyarınca Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilir. Dolayısıyla Kanunun yayımı tarihinden önce alınan rızanın Kanuna uygun kabul edilebilmesi için genel hukuk kurallarına uygun olması ve bir yıl içinde aksine bir irade beyanında bulunulmamış olması gerekmektedir.
