Açık Rıza
Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez. [MADDE 5– (1)]
Açık rıza Kanun’da: belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak geçmektedir. Buna göre rıza beyanı, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak verdiği ve sadece o işlemle sınırlı onay beyanıdır. Rıza, ilgili kişi tarafından “tereddüde yer bırakmayacak şekilde” verilmiş olmalıdır.
Veri sorumlusu nasıl rıza almalı?
İlgili kişinin bilgilendirilmesi;
- İlgili kişiden rıza talep edilirken, öncesinde kişisel verilerinin işlenmesi hakkındabilgilendirmelidir.
Rızanın belirli bir konuyla sınırlandırılması;
- İlgili kişinin rızası, veri sorumlusunun bilgilendireceği belirli bir konuya/amaca ilişkin olması gerekir. Farklı işleme faaliyetlerinin ilgili kişi tarafından öngörülmesi muhtemel olmalıdır. Bu konu da bilgilendirme çerçevesinde ilgili kişi ile paylaşılmalı. “Her türlü verinin işlenmesini peşinen kabul ediyorum” şeklinde genel bir rıza beyanı açık rıza olarak kabul edilemeyecektir. Veri sorumlusu, aynı kişisel verileri sonradan farklı amaçlarla işlemek ya da farklı işleme yöntemlerini kullanmak ya da başka kategorideki verilerini işlemek istemesi durumunda, bu yeni duruma ilişkin ilgili kişiden ayrıca rıza alması gerekmektedir.
Rızanın özgür irade ile açıklanması;
- Aldatma, korkutma veya baskı altında verilen rıza geçersiz sayılacaktır. Tarafların eşit konumda olmadığı veya birinin diğeri üzerinde yoğun bir tesiri olduğu durumlarda rızanın bu unsurunun dikkatle değerlendirilmesi gerekir.
Veri işleyen-müşteri ilişkisinde, müşteriye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin müşteri açısından muhtemel bir olumsuzluk doğuracağı durumlarda rızanın özgür iradeye dayandığı kabul edilemez.
Müşteri her ne kadar teoride rıza göstermeme imkanına sahip olsa da, bu tercihinin sonucu olarak düşük kampanya fırsatını kaybedecekse rızanın özgür iradeye dayandığının kabulü mümkün değildir.
Diğer yandan, kurum müşterisinin sisteme katılması için maddi bir teşvik uygulaması (sisteme katılanların %20 indirimli hizmet alması gibi) ancak sisteme katılmayanlardan standart ücret alması durumunda rızanın özgür olduğu kabul edilebilecektir. Zira ilgili kişi açısından ortaya çıkan olumsuz bir durumun mevcut olmadığı savunulabilecektir.
Açık rıza alma yöntemleri;
- Rıza, elektronik imza, güvenli elektronik imza, ıslak imza, opt-in seçeneğinin işaretlenmesi gibi aktif yolları ile alınabilecektir.
- Veri sorumlusunun almış olduğu açık rızalar doğrultusunda bir veri tabanı oluşturması gerekir.
- Verinin açık rıza olmadan işlendiği iddia ediliyorsa, açık rızanın varlığına dair ispat yükü, Veri Sorumlusuna aittir.
Veri sahibinden alınacak açık rıza’ya örnek olarak aşağıdaki metin kısaca verilebilir.
“Kişisel verileriniz, size daha iyi hizmet sunabilmek için toplanmaktadır. Bu bilgiler sadece kurumumuz tarafından saklanıp işlenebilmektedir. Veri temsilcimize ulaşarak sizinle ilgili veriler için erişim, değişiklik, imha talebinde bulunabilirsiniz.”
[1] Kaynak: www.pwc.com.tr