Açık Rıza mı Aydınlatma mı? (En Çok Karıştırılan KVKK Konusu)
Açık rıza ve aydınlatma yükümlülüğü, KVKK kapsamında en sık karıştırılan iki temel kavramdır.
Birçok şirket, her veri işleme sürecinde açık rıza almak gerektiğini düşünür. Oysa bu yaklaşım hem gereksizdir
hem de yanlış uygulandığında KVKK ihlaline yol açabilir.
Temel ayrım nettir: aydınlatma yükümlülüğü zorunludur, açık rıza ise istisnai bir hukuki dayanaktır.
Yani her durumda aydınlatma yapılmalı; ancak yalnızca gerekli hallerde açık rıza alınmalıdır.
Açık rıza ise yalnızca diğer hukuki şartların bulunmadığı durumlarda alınır.
Aydınlatma yükümlülüğü nedir?
Aydınlatma yükümlülüğü, veri sorumlusunun kişisel verileri işlerken veri sahibine bilgi verme zorunluluğudur.
KVKK’nın temel prensiplerinden biridir ve veri işleme sürecinin şeffaf olmasını sağlar.
Aydınlatma kapsamında aşağıdaki bilgiler verilmelidir:
• Veri sorumlusunun kimliği
• Kişisel verilerin hangi amaçla işleneceği
• Verilerin kimlere aktarılabileceği
• Veri toplama yöntemi ve hukuki sebebi
• Veri sahibinin hakları
Bu bilgilendirme genellikle “aydınlatma metni” ile yapılır ve veri işleme başlamadan önce sunulmalıdır.
Açık rıza nedir?
Açık rıza, veri sahibinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verdiği onaydır.
KVKK’da açık rıza, kişisel verilerin işlenmesi için kullanılan hukuki dayanaklardan yalnızca biridir.
Ancak önemli nokta şudur: Açık rıza her zaman gerekli değildir.
Eğer veri işleme için başka bir hukuki sebep varsa, açık rıza alınmamalıdır.
Çünkü veri işleme hukuki dayanağı yanlış kurulmuş olur.
Açık rıza ne zaman gerekir?
Açık rıza, diğer hukuki şartların bulunmadığı durumlarda devreye girer.
Örneğin:
• Pazarlama ve reklam faaliyetleri
• Profil çıkarma ve analiz
• Çerez (cookie) kullanımı (zorunlu olmayanlar)
• Açıkça kanunda düzenlenmeyen veri işleme faaliyetleri
Açık rıza ne zaman gerekmez?
KVKK’ya göre aşağıdaki durumlarda açık rıza alınmadan veri işlenebilir:
• Kanunlarda açıkça öngörülmesi
• Sözleşmenin kurulması veya ifası
• Hukuki yükümlülüğün yerine getirilmesi
• Bir hakkın tesisi, kullanılması veya korunması
• Meşru menfaat (belirli şartlarla)
Bu durumlarda açık rıza almak yerine, doğru hukuki sebep ile işlem yapılmalıdır.
Aydınlatma ile açık rıza arasındaki temel fark nedir?
Aydınlatma ve açık rıza çoğu zaman birlikte sunulur ancak aynı şey değildir.
Aydınlatma
• Zorunludur
• Bilgilendirme amaçlıdır
• Her veri işleme sürecinde yapılır
Açık rıza
• Her zaman zorunlu değildir
• Onay alma sürecidir
• Belirli durumlarda kullanılır
En sık yapılan hatalar
Her işlem için açık rıza almak
Bu yaklaşım hem kullanıcı deneyimini bozar hem de hukuki olarak yanlıştır.
Aydınlatma metni sunmamak
Açık rıza alınsa bile aydınlatma yapılmazsa KVKK ihlali oluşur.
Açık rızayı zorunlu hale getirmek
Kullanıcıya “kabul etmezsen hizmet alamazsın” demek, rızayı geçersiz kılar.
Tek metinde her şeyi birleştirmek
Aydınlatma ve açık rıza metinleri ayrı olmalıdır.
Doğru KVKK kurgusu nasıl olmalı?
Doğru yaklaşım şu sırayla ilerler:
1. Veri işleme amacı belirlenir
2. Hukuki dayanak seçilir
3. Aydınlatma yapılır
4. Gerekliyse açık rıza alınır
B10 yaklaşımı: açık rıza değil, doğru hukuki zemin
B10 Digital Agency olarak KVKK süreçlerinde en sık karşılaştığımız sorun,
şirketlerin gereksiz açık rıza toplamaya çalışmasıdır.
Oysa doğru yaklaşım, her veri işleme faaliyetini ayrı ayrı analiz etmek ve
doğru hukuki zemini kurmaktır.
Çünkü açık rıza, bir “güvence” değil; yanlış kullanıldığında risk oluşturan bir araçtır.
Sonuç
KVKK’da aydınlatma ve açık rıza farklı kavramlardır.
Aydınlatma her zaman yapılmalı, açık rıza ise yalnızca gerekli durumlarda alınmalıdır.
Bu ayrım doğru yapılmadığında, şirketler farkında olmadan KVKK ihlali yapabilir.
