Makaleler

Kişisel Verilerin Kullanımı ve Devredilmesi için İstenen “Açık Rıza” Neden ve Ne Şekilde Alınmalıdır?

2019, Erdemir&Özmen Avukatlık Ortaklığı

Kişisel Verilerin Kullanımı ve Devredilmesi için İstenen “Açık Rıza” Neden ve Ne Şekilde Alınmalıdır?

Kişisel Veri Kavramı Hayatımıza Nasıl Girdi?

Gelişen teknoloji ile beraber, günümüzde veri ağı son derece gelişmiş ve yaygınlaşmıştır. Özellikle, her türlü işlem ve bildirimin internet üzerinden yapılması nedeniyle, işlem güvenliğinin sağlanması gereği doğmakta; buna bağlı olarak kendilerine ait veriler, kişilerden istenerek gerekli hallerde çeşitli mercilerle paylaşılmaktadır. Ancak kişisel verilerin elde edilmesi, saklanması ya da paylaşılması her zaman kanuni şartlara uygun yapılmamaktadır. Elde edilen bilgilerle, insanların kişilik profillerinin çıkarılması ve bu profillerin kayıt altında tutularak veri sahibi kişilerin lehine yahut aleyhine kullanılması, hem uluslararası mevzuatta hem de ulusal mevzuatımızda temel hak ve özgürlüklerin açık ihlalini oluşturan bir hâldir. Zira kişilerin yaptıkları seçimlerden hastalık durumlarına, DNA örneklerinden kişisel düşüncelerine kadar her bilgi, onu tanımlamak için kullanılarak kişilerin hareket alanı daraltılmış ve karar mekanizması baskılanmış olacaktır.

Kişisel veri kavramı, Türkiye’de 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile beraber gündeme gelmiştir. Bu kanun ile beraber, kişisel verilerin elde edilmesi aşamasında çeşitli ön koşullar yürürlüğe girdiği gibi, saklanması veya paylaşılması hususlarında da çeşitli koşullar ve yaptırımlar öngörülmüştür. Kişisel veriler, çoğu zaman veri sahibi tarafından rızasıyla paylaşılmaktadır. Ancak bunun sebebi; veri sahibinin bu bilgileri paylaşmaktan imtina etmesi halinde, istediği sözleşmeyi akdedemeyecek oluşudur. Kişisel verilerini paylaşmadan akdedemeyeceği sözleşmeler, mal alım/satım sözleşmesi olabileceği gibi işe giriş sözleşmesi gibi gündelik hayatta önem arz eden sözleşmeler de olabileceğinden kişiler şahsi bilgilerini paylaşmaya mecbur kalmaktadırlar. Bu nedenle, kanunlar ve tarafı olduğumuz uluslararası sözleşmeler ile çoğu ülkede olduğu gibi ülkemizde de kişisel veriler koruma altına alınmış, ihlali halinde idari ve cezai yaptırımlar öngörülmüştür.

Açık Rıza Kavramının Önemi Nedir?

Yürürlüğe giren KVKK ile kişisel verilerin elde edilmesi, saklanması ve paylaşılması sırasında hak ihlali gerçekleştiğinde yaptırımlar öngörüldüğü gibi, kişinin bu verileri paylaşmasından önceki süreçte de çeşitli şartlar öngörülmüştür. Yazımızda, kişisel verilerin kullanımı ve paylaşımı için gereken “açık rıza” kavramının ne anlam ifade ettiğini ve herhangi bir yaptırımla karşılaşılmaması için nasıl alınması gerektiğini; diğer taraftan da veri sahibi kişinin kişisel verilerini ne şartlar altında paylaşması gerektiğini ele alacağız.

Açık rıza kavramı; yukarıda bahsettiğimiz yaptırımların cezalandırıcı etkisinin aksine, hak ihlali gerçekleşmeden önce önleyici nitelikte bir kavram olarak karşımıza çıkmaktadır.

Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde “Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” şeklinde bir açık rıza tanımı yapılmıştır. Kanunun tanımındaki unsurları tek tek incelersek; açık rızanın belirli bir konuya ilişkin olmasından kast edilen, kişinin paylaştığı kişisel verinin hangi konuyla alakalı olarak kullanılacağını spesifik olarak bilmesidir. Bu duruma; bir şahsın işe girerken işveren tarafından istenilen bilgilerinin, özlük dosyasına eklenmek amaçlı istenildiğinin kendisine bildirilmesi örnek verilebilir. Bir diğer unsur, açık rızanın bilgilendirmeye dayanmasıdır. Burada bilgilendirme yükümlülüğü (aydınlatma yükümlülüğü) kişisel veriyi elde etmek, paylaşmak vb. şeklinde kullanmak isteyen taraf üzerindedir. Yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir, ancak yazılı yapılması ispat açısından kolaylık sağlayacak, aydınlatma yükümlülüğünün ihlal edilmesi nedeniyle karşılaşılacak yaptırımları aza indirgeyecektir. Aydınlatma yükümlülüğü; veri sorumlusunun ya da temsilcisinin kimliği, kişisel verilerin işlenme amacı, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği gibi her türlü bilgiyi içerecek şekilde, olabildiğince kapsamlı olarak yerine getirilmelidir. Aksi halde, aydınlatma yükümlülüğünün ihlal edildiği iddia edilecek olup, yükümlülüğü yerine getirdiğinin ispatı, kişisel veriyi talep eden kişi üzerinde olacaktır. Kanundaki tanımda belirtilen son unsur ise rızanın özgür iradeyle açıklanması olup, bu unsur Kanunumuzun sistematiğinde her türlü beyan için genel-geçer bir kural olarak varlık göstermektedir. Özgür iradeyle açıklanmasından kastedilen, kanunda belirtilen irade sakatlığı hallerinden birinin söz konusu olmaması, kişinin herhangi bir baskıdan uzak olarak kişisel verilerini paylaşmasıdır.

Açık rıza hususunda önemli noktalardan biri de şudur: Açık rıza, kişisel bilgilerin yalnızca elde edilmesi için gerekli olan bir şart olmayıp, kişisel verinin kaydedilmesi ya da başka bir yere aktarılması için de gerekmektedir. Açık rıza, her işlem ya da aktarım için münferiden yani ayrı ayrı alınmalı ve yapılacak işlemle ilgili bilgilendirme, olabildiğince açık yapılmalıdır. Aydınlatma yükümlülüğü ne kadar açık yapılırsa, alınan rıza o derece geçerli olacaktır. Bu noktada, muğlak ifadelerden kaçınılmalı, ağdalı bir dil yerine sade ve anlaşılır ifadeler kullanılmalıdır. Açık rıza alındıktan sonra, açık rıza alınan konunun nedeni değişirse, değişen husus için ayrıca rıza alınmalıdır. Örneğin; işçinin kişisel bilgileri, sigorta yapılması için SGK’ya aktarılacaksa ve bunun için onay alındıysa, işçinin kimlik bilgilerinin alt işverene aktarılması için ayrı bir onay gerekmektedir.

Açıkladığımız üzere; kişisel verilerin korunmasına ilişkin kavramlar, ülkemizde 2016 tarihli KVKK ile yeni yeni gündeme geldiğinden herkes tarafından net olarak bilinmemekte, ancak hâkim olunması gereken bir alan niteliğini taşımaktadır. Zira, şirket yöneticileri ve diğer veri sorumluları için çalıştırdıkları personellerinin veya müşterilerinin kişisel bilgileri bakımından sorumluluk söz konusu olabilecek iken şahıslar bakımından ise kendilerine ilişkin bilgilerin yasa dışı olarak elde edilmesi, kullanımı ya da paylaşımına ilişkin haklar etkin olarak kullanılabilecektir.

 

Benzer Makaleler

2019 Personel İstifasını Sonradan Haklı Sebebe Dönüştürerek Tazminat İsteyebilir mi?
2019 Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Tebliğ'de Değişiklik Yapılmasına Dair Tebliğ Hakkında Açıklamalar