Rızaya Yüklenen Koruyuculuk İşlevi ve Kişisel Verilerin Korunması
Günümüzün “yeniden” rasyonel bireyi, kendisine yapılan aydınlatma içeriğindeki her şeyi anlayarak muhakeme edebilen, kendi hakkındaki kararları akıl süzgecinden geçirerek özgür irade ile verebilen, hakları korunan pasif taraf olmak yerine haklarının korunmasına ilişkin aktif davranışta bulunmaya zorlanan ve bunun sorumluluklarının üstlendirilebildiği birey olarak lanse edilmekte ve hukuk kuralları da bu bireyin adeta kutsallık atfedilen rızasını her alanda ön plana çıkararak şekillendirilmekte; rızanın kendisi hakların korunması açısından etkin bir kalkan olduğu iddiası ile gündeme getirilmektedir. Hukukumuzda sadece özel hukuk ilişkilerinde değil, bunun da ötesinde kamusal ilişkiler ve bu kapsamda ceza hukuku alanında da rızanın varlığı ya da yokluğuna çok daha fazla değer atfedilmektedir. Güncel haliyle uzlaştırma ya da seri muhakeme gibi kurumlarda failin rızasının varlığının koşul olarak aranması bunlara örnek olarak gösterilebilir.
Aynı şekilde kişisel verilerin korunmasına ilişkin düzenlemeler de ilgili kişinin rızasını ve bu rızanın elde ediliş, kapsam ve sonuçlarına önem atfetmiştir. Aşağıda kişisel verilerin korunması açısından bu husus kısaca irdelenecektir.
I. Rızaya İlişkin Mevzuat ve Açıklamalar
Türk hukukunda kişisel verilerin korunmasında rıza ile ilgili mevzuata baktığımızda “açık rıza” terimi üzerinden bir düzenleme yapıldığını görmekteyiz.
İlk olarak, Anayasa’ya 2010 değişikliği ile eklenen 3. fıkra ile kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği düzenlemesi getirilmiştir. Daha sonra 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) da pek çok maddesinde “açık rıza”dan söz edilmiş; 5/1 maddesinde kişisel verilerin açık rıza olmaksızın işlenemeyeceği, 6/2 maddesi ile özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği, 8 ve 9. maddelerinde ise yine açık rıza olmaksızın (yurtiçi ve yurtdışında) aktarılamayacağı hükümlerine yer verilmiştir. Aynı Kanun’un 3/1 (a) bendinde ise “açık rıza” tanımlanmıştır. Buna göre “açık rıza”, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”yı ifade etmektedir.
Kişisel Verileri Koruma Kurulu’nun (“KVK Kurulu”) yayınladığı Açık Rıza Rehberi’nde[1] de KVK Kurulu’nun bu hususu nasıl yorumladığına ilişkin doneler edinilmekte, “açık rıza”, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi olarak anlamlandırılmakta, veri işleyene gerçekleştireceği fiil konusunda yol gösterici olduğu belirtilmekte, ilgili kişi (veri sahibi) açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş kabul edilmektedir. Dolayısıyla açık rıza, rıza veren kişinin “olumlu irade beyanı”nı içerecektir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur, denilmekle birlikte ispat yükünün veri sorumlusuna ait olduğu da eklenmektedir.
Bunların yanında, Rehber’deki açıklamalara göre, veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin hem konu hem de göstereceği rızanın sonuçları hakkında tam bir bilgi sahibi olması gerekliliği vurgulanmıştır. Buna göre, bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmeli, mutlaka verinin işlemesinden önce yapılmalıdır. Bilgilendirme işleme ve kullanma amaçlarını açıkça içermeli, okunaklı, anlaşılır olmalıdır.
II. 95/46/EC Avrupa Birliği Direktifi Açısından;
KVK Kanunu’nun 5. maddesinin hükümet gerekçesine bakıldığında açık rıza konusunda 95/46 EC sayılı Avrupa Birliği Direktifi’ne atıfla açıklama yapılması dikkati çekmektedir. Zira 95/46 EC sayılı Direktif’te tanımlanan “açık rıza” değildir. Ancak Direktif’e göre “rıza”, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
95/46 EC sayılı Direktif’in giriş hükümlerine bakıldığında şu hükümlere yer verildiği görülmektedir: Kişisel verilerin işlenmesinde, diğer işleme şartları sayılırken “veri öznesinin rızasıyla yürütme” de esas alınmıştır. Veri öznesinin açık şekilde rıza göstermediği hallerde, temel özgürlükleri veya kişisel mahremiyeti ihlal eden yapıdaki veriler işlenmemelidir.
Direktif’in devam maddelerinde ise rıza ile ilgili ayrıntılar düzenlenmiştir.
Madde 2/ (h)’deki tanıma göre “veri öznesinin rızası”, kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı kastetmektedir. Madde 7 ve 26 uyarınca kişisel verilerin işlenebilme (ve aktarım) şartlarından birini veri öznesinin açık, kesin ve net bir biçimde verdiği rıza oluşturmaktadır. Madde 8 kapsamında özel nitelikli kişisel veriler konusunda işleme (aktarım dahil; diğer şartların yanında) şartı yine veri öznesinin rıza vermesidir. Ancak görüldüğü üzere, KVK Kanunu gerekçesinde yine “açık rıza” denilmek ve Direktif’e atıf kurulmakla birlikte Direktif’te sözü edilen kavram “rıza”dır.
III. GDPR’da “Rıza” ve “Açık Rıza” Kavramları
“Rıza” ve “açık rıza” kavramları (consent/ explicit consent) Tüzük açısından incelendiğinde, aynı veyahut ikame edilebilir kavramlar olarak kullanılmadıkları, ikisine farklı boyutlarda yer verildiği görülmektedir.
Tüzük Madde 4/ 11’de veri sahibinin “rızası” tanımlanmıştır. Buna göre “rıza”, veri sahibinin bir beyan yoluyla ya da açık bir (olumlu) onay eylemiyle (“opt-in”) kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir. Madde 6 kapsamında işleme faaliyetinin hukuka uygunluğu için sayılan hususlar arasında veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi bulunmaktadır. Madde 6’daki bu tanımın ardından ise Madde 7’de rızanın koşulları düzenlenmiştir.
Hükme göre, işlemenin rızaya dayandığı hallerde, veri sorumlusu), veri sahibinin, kişisel verilerinin işlenmesine rıza gösterdiğini ispat edecektir. Veri sahibinin rızası, başkaca hususları da içeren bir yazılı beyan kapsamında alınıyor ise, rıza talebi, beyanda mevcut başkaca hususlardan açıkça ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulacaktır. Bu beyanın Tüzük’e aykırılık içeren hiçbir kısmı bağlayıcı olmayacaktır. Rızanın özgürce verilip verilmediği değerlendirilirken ise, son noktada, şu da hesaba katılacaktır. Hizmet sunumunu da içeren sözleşme ifasında, sözleşme ifası için ihtiyaç olmayan kişisel verilerin de işlenmesine yönelik olarak rıza alınması gerekip gerekmediğine azami özen gösterilecektir. Kaldı ki, kanımızca, sözleşmenin ifası için gerekenden fazla verinin işlenmesi rızaya dayansa bile, bunun özgür iradeye dayalı bir rıza olup olmayacağı ve bunun ispatı konusunda tartışma yaratacaktır.
Yine GDPR Madde 12’de düzenlenen veri sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemler; madde 13’te veri sahibinden kişisel verilerin toplandığı hallerde sağlanacak bilgiler; madde 14’te kişisel verilerin veri sahibinden alınmadığı hallerde sağlanacak bilgiler; madde 17’de silme hakkı (unutulma hakkı) bağlamında da “rıza” vurguları görülmektedir.
GDPR’ın, rıza ile ilgili gerekçeleri (“recital”) incelendiğinde, buradan da şu açıklamalara ulaşılmaktadır:
Recital 32, rıza ile ilgili olarak, yine bilgilendirilmiş ve net bir olumlu eylemle verme açıklaması yer almakta, bunun elektronik yollar da dahil olmak üzere yazılı veya sözlü de olabileceği belirtilmektedir. Rıza aynı amaç veya amaçlar için yapılacak işlemeyi içermeli; birden fazla farklı amaç için işleme söz konusu ise rıza bunlar için de olmalıdır. Recital 33’te bilimsel araştırmalar için gösterilecek irade yine “rıza” bağlamında ele alınmıştır. Recital 42, kontrolörün rıza aldığını ispatı açısından önemli bir açıklamadır. Özgür irade, açık sade dil kullanımı gibi açıklamaların yanı sıra veri kontrolörünün, veri sahibinin rızasına dayandığı hallerde işlemeye rıza gösterdiğini gösterebilmesinin gerektiği ifade edilmektedir.
Tüzük’te “rıza” ile “açık rıza”nın farklı bağlamlarda değerlendirildiği yukarıda ifade edilmiş idi. “Açık rıza”, tanımlar arasında yer bulmamakla birlikte Tüzük’ün bazı gerekçe (recital) ve maddelerinde “explicit consent/ açık rıza” kavramının kullanıldığı ve açıklamasına yer verildiği görülmektedir.
Recital 51’e göre, özel nitelikli kişisel veri kategorilerinin işlenmesine yönelik genel yasaklamalara getirilen istisnalar, veri sahibinin açık rızasına dayalı işlemelerde de açıkça belirtilmelidir. Recital 71 uyarınca, otomatik işlemeye dayanan hallerde (iş performansı, ekonomik durum, sağlık, kişisel tercih analizleri gibi), veri sahibinin, bu profillemeye ilişkin olarak “explicit consent/ açık rıza”sının alınmasından söz edilmektedir. Recital 111 ile kişisel veri aktarımı konusunda; adli, idari, düzenleyici kurumlar önünde veya mahkeme dışı prosedürler de dahil olmak üzere aktarımın sözleşme veya yasal taleplerle ilgili olarak daimi olmayan aktarımlarda veri sahibinin açık rızasını mümkün kılan hükümlerin olması gerektiği belirtilmektedir.
Tüzük Madde 9’da özel nitelikli kişisel verilerin işlenmesi konusunda maddenin 2. fıkrasında, veri sahibinin (özel nitelikli) kişisel verilerin işlenmesine açık rıza göstermesi, bir işleme şartı olarak düzenlenmektedir. Madde 22’de de profil çıkarma da dahil olmak üzere otomatik münferit karar verme konusunda, buna tabi olmama hakkının bulunduğu ve fakat kararın veri sahibinin açık rızasına dayanması halinde bu fıkranın uygulanmayacağı hükmü bulunmaktadır. Son olarak Madde 49’da veri sahibinin, bir yeterlilik kararının ve uygun önlemlerin bulunmaması nedeniyle veri sahibi için bu tür aktarımların olası riskleri hakkında bilgilendirildikten sonra, önerilen aktarım için açık rıza göstermesi hali düzenlenmiştir.
GDPR hükümleri kapsamında, 29. Madde Çalışma Grubu’nun (tam adıyla "Kişisel Verilerin İşlenmesine İlişkin Bireylerin Korunması Hakkında Çalışma Grubu" ve rehberin adı olarak Article 29 Working Party/ Guidelines on consent under Regulation 2016/679) rızaya ilişkin bir rehber niteliğinde yayınlanan metninde de kavramlara ilişkin açıklamalar getirilmiş, “rıza” ve “açık rıza” kavramları yer bulmuştur.
29. Madde Çalışma Grubu rehberinde öngörülen bu hükümlere göre, GDPR, bilgilendirilmiş rıza gerekliliğini yerine getirmek için bilgilerin sunulması gereken biçimi veya şekli belirlememiştir. Bu, geçerli bilgilerin yazılı veya sözlü ifadeler ya da sesli veya görüntülü mesajlar gibi çeşitli şekillerde sunulabileceği anlamına gelmektedir. Tüzük Madde 7/2 kapsamında yazılı sözleşme, kişisel verilerin işlenmesine ilişkin rıza ile ilgili olmayan pek çok başkaca hususu içeriyorsa, rıza konusu açıkça öne çıkan bir biçimde veya ayrı bir belgede yer almalıdır. Keza, elektronik yollarla rıza istenirse, rıza talebinin ayrı olması veya somut duruma göre katmanlı bir yol düşünülmelidir.
Yine Rehber’de, GDPR’daki “regular/ explicit consent” – “olağan/ açık rıza” ayrımı açıklanmaktadır. Buna göre, Tüzük Madde 9. 22 ve 49’da öngörülen “açık rıza”nın ciddi risk taşıyan, “dolayısıyla kişisel verileri üzerinde yüksek düzeyde bireysel kontrolün öngörüldüğü” durumlarda arandığı belirtilmektedir. GDPR, bir "irade beyanı veya açık olumlu aksiyon"un "olağan/ regular" rıza için bir ön koşul olduğunu belirtmektedir. Rehberde, GDPR'deki "olağan/ regular" rıza gereksinimi, 95/46/ EC sayılı Direktif’te öngörülen rıza ile karşılaştırıldığında daha yüksek bir standarda yükseltildiğinin görüldüğü, GDPR ile uyumlu olarak bir veri sahibinin açık rızasını almak, bu yüksek standardı sağlamak için bir kontrolörün hangi ekstra çabaları ve işlemleri üstlenmesi gerektiğinin açıklığa kavuşturulmaya muhtaç olduğu belirtilmektedir.
Rehber’e göre, “explicit/ açık” terimi ise, rızanın veri sahibi tarafından ifade edilme biçimini ifade etmektedir. Rızanın açık olduğundan emin olmanın en net yolu ise, rızanın yazılı bir beyanda açıkça verilmesi ile olacaktır. Kontrolör, somut duruma göre, gelecekte olası tüm şüpheleri ortadan kaldırmak ve ispat yükü açısından imzalı ve yazılı bir beyan almalı ya da dijital veya çevrimiçi olarak elektronik bir formun doldurulması, bir e-posta gönderilmesi, veri sahibinin imzasını taşıyan taranmış bir belgenin yüklenmesi veyahut elektronik imza alınması gibi vasıtaları tercih etmelidir. Sözlü ifade, geçerli bir açık rıza için tüm koşulların karşılandığını kanıtlamak açısından zor olacaktır.
IV. Değerlendirmeler
Tüm bu hükümlerden hareketle rıza/ açık rıza ayrımı, aydınlatma yükümlülüğü ve ispat yükü arasında bir yerlerde gidip gelmektedir. Zira Türk hukukunda 6698 sayılı KVK Kanunu’nun açık rıza ve diğer hukuki sebeplere dayanarak işleme şartlarını düzenleyen 5/2 fıkrasından da hareketle konu ele alındığında açık rızaya dayanılarak yapılan işlemelere çok dar bir alan kalmakta, bu nedenle konunun veri sorumlusunun aydınlatma yükümlülüğünü ifası ve açık rızanın temin edildiğine ilişkin ispat yükünü gerektiğinde karşılayabilmesi açısından ele alınması fiili bir zorunluluk olmaktadır. Kaldı ki böyle bir değerlendirme, işleme ilkelerinde bilhassa belirli, açık, meşru amaçlarla işleme ve hukuka uygun işleme ilkeleri bakımından da önemli olacaktır.
Bu alan öylesine dardır ki, gerek KVK Kurulu rehberlerinde, gerekse bazı kararlarında şayet KVK Kanunu’nun 5/2. fıkrasındaki işleme hukuki sebepleri bulunmakta iken ilgili kişinin açık rızasının da alınması halinin, veri sorumlusu açısından hakkın kötüye kullanılması olarak kabul edileceği ifade edilmektedir. Zira böyle bir uygulama özellikle rızanın geri alınması halinde diğer sebeplere dayanılarak işlemeye devam edileceği gerçeği karşısında ilgili kişileri aldatıcı bir etkiye sahip olacaktır, kabulü hakimdir.
Diğer yandan KVK Kanunu’nun 5. maddesinin gerekçesine bakıldığında ve konu aydınlatma yükümlülüğü ile birlikte değerlendirildiğinde “belirli bir konuya ilişkin bilgilendirmeye dayanan açık rıza” arayışı her seferinde sıfırdan ve tekrarlayan biçimde aydınlatma yapılması, ilgili kişinin, veri sorumlusunun ispat yükünü de ileride ifa edebilmesine imkan tanıyacak biçimde açık rıza göstermesi zorunluluğu anlamına gelebilecektir. Nitekim 5. madde gerekçesinde 95/46/EC Direktifi’ne yapılan atıf yapılmış ve Direktif uyarınca da rızanın alınmasında “konuyla ilgili yeterli bilgiye sahip olma, tereddüde yer bırakmayacak biçimde açık, sadece o işlemle sınırlı” irade beyanından söz edilmektedir. Tüzük hükümleri açısından ele alındığında Türk hukukundaki açık rızanın her durumda “regular/ olağan” değil, “explicit/ açık” rıza olarak kabulü pratik ticari yaşamda veya iş ilişkilerinde tekrarlayan biçimlerde bunun yapılmasını zorunlu kılabilecektir.
Rızanın geri alınması noktasında da benzer durum ortaya çıkmakta, Tüzük Madde 7/ 3’te “iptal işlemi(nin), rızanın verilmesi kadar basit olma(sı)” gerektiği hükme bağlanmıştır. Nitekim Madde 7’nin 1 ve 2. fıkralarında da rızanın koşullarının hali hazırda düzenleniyor olması, 3. fıkrayı da anlamlı kılmaktadır. Türk hukukunda ise rızanın şekli konusunda da, geri alınması konusunda da bir hüküm yer almamakta, belirsizlik bulunmaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 12. maddesinde “Kişisel verileri işleme şartlarının tamamı ortadan kalk(ması)” haline ilişkin bir silme, yok etme ve anonimleştirme yükümlülüklerinden söz edilmekte, ancak yine rıza ve açık rıza kavramlarına ilişkin bir bağlam görülememektedir.
Tüm bunlarla birlikte, 6698 sayılı KVK Kanunu’nun 5/2. fıkrasının (f) bendinde düzenlenen “veri sorumlusunun meşru menfaatleri için işlemenin zorunlu olması” işleme şartı açısından aydınlatma yükümlülüğü ayrıca önem arz edecek olup böyle bir işleme nedenine dayanan işlemede, kişinin hem menfaatler dengesinin belirlenmesi ve anlaşılması hem de veri sorumlusunun meşru menfaatlerinin neler olduğu hakkında tam bilgilendirilmesi konusunda bir açmaz ortaya çıkmaktadır. Burada, işleme nedeni elbette KVK Kanunu’nun 5/1. fıkrasındaki açık rıza değildir. Ancak meşru menfaatler konusunda yapılan açıklamada istenen aslında ilgili kişinin, kavramsal olarak rıza olmasa da meşru menfaat nedeniyle işleme zorunluluğuna ikna olmasıdır.
Yine kanun hükümlerinden hareketle, ilgili kişiye, “açık rıza”nın temini için, her seferinde yapılması gereken aydınlatma yükümlülüğü (madde gerekçesindeki ifadesi ile “95/46/EC sayılı Direktife uygun olarak”), veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11. maddesinde sayılan ilgili kişi hakları konusunda bilgi verme yükümlülüğünü içermektedir.
Sonuç Yerine;
Yukarıda açıklandığı ve farklılıklarına değinilen rıza ve açık rıza kurumları kişisel verilerin korunması açısından önemli bir koruyucu kalkan olarak görülebilmekle birlikte, hakim durum üzerinden ortaya çıkan piyasa ilişkilerine olan yansıması, tüketim ilişkileri içerisinde şekillenen alışkanlıkların da belirleyici olduğu süreçler de dahil olmak üzere, sosyal medya şirketlerinin profil kullanıcıları örneklerinde açıkça ortaya çıktığı şekliyle, kişiler işlemeye çok kolay bir şekilde rıza/ açık rıza gösterebilmektedir. Kişisel Verilerin işlenmesi ve rızanı elde edilmesi ve değeri konusunda piyasa ilişkileri, ilgili veri sorumlusunun piyasadaki hakimiyeti, müşteri sadakati, şebeke etkisi, verilere erişme gücü gibi aslında bireyin dışında var olan ve gelişen pek çok faktör belirleyici olmaktadır. Nitekim, açık rıza ya da rızaya dayalı işlemlerle toplanan kişisel veriler aracılığıyla hakim durum yaratılması ve bunun kötüye kullanılması (ki, liberal perspektiften tüketici olan bireyin zararına olduğu ifade edilmekte) açısından açık rızanın kendisi de etkin koruyuculuk sağlayamayabilmektedir. Nihayetinde böyle bir denklemde de bu haliyle rızaya yüklenen koruyuculuk işlevi ve atfı pratikte tartışmaya açık hale gelmektedir.
Dipnotlar