GDPR kapsamında rıza

GDPR sonrası gerçeklikte, her türlü kişisel veri işleme faaliyetinin bir dayanağı olmak zorunda. bu dayanak mevzuata, bir sözleşmeye ya da rızaya dayanıyor olabilir.

Rızaya dayanarak işlenmekte olan kişisel verinin doğal olarak bağlı olduğu belirli sınırlar mevcut. Bu sınırlar hem rızanın alınış şeklini, hem kapsamını, hem de rıza ile bağlı olarak kişisel verinin akıbetini içeriyor.

Rızanın alınış şekli

Rızanın “özgür iradeyle” verilmesi gerekiyor.

Buradaki özgür irade ile tek kasıt kişinin neye rıza veriyor olduğunu açıkça biliyor olması değil. Burada genel olarak gösterilen iki senaryoda o kadar da özgür irade olmayabileceği önyargısı ile hareket ediliyor: birincisi açık rıza isteyen veri sorumlusu bir kamu kurumu ise, ikincisi bu veri sorumlusu işveren ise.

Şayet bu rızanın verilmemesinin veri ilgilisi açısından herhangi bir olumsuz sonucunun olmayacağı bariz ise, bu noktada bir özgür iradenin olabileceği yorumlanıyor. Ancak daha ciddiye binen konular açısından meydana gelebilecek uyuşmazlıklarda mahkemeler muhtemelen terazide çok hafif kalan veri ilgilisinin haklarını korumaya meyilli olacaktır.

Türkiye’nin uygulaması bu konuda GDPR ile paralel.

Rıza verecek olan kişinin, neye rıza veriyor olduğunu net olarak bilmesi gerekiyor. Bu netliğe, rıza metninin açık bir şekilde görünür durumda olması dahil.

95 Direktifinde özellikle rıza metninin ayrı tutulmasına dair bir hüküm bulunmuyordu. Aslında GDPR’da da bulunmuyor, ancak yayımlanan birtakım rehberlerde rıza metninin ayrılmasının makul olacağı, zira genel olarak rızanın yedirileceği metnin dili ile uyumsuzluğunun bulunması halinde (yani rızanın metinde konduğu yerde alakasız durması, daha da direkt olmak gerekirse metne gizlenmiş olması) geçersiz sayılacağı, bağlayıcı olmayacağı görüşü var. bu nedenle açıklık şart.

Türkiye genel işlem şartları vb. uygulamalar ile bu konuda hukuk uygulamasında tecrübeli. Bu açıdan GDPR uygulamasının takip edildiği/edileceği söylenebilir.

Sükut ikrardan gelmiyor.

Rıza alınması gereken bir şey. Yani veri ilgilisinin sessiz kalması halinde, şayet veri işleme faaliyetinin tek hukuki dayanağı açık rıza ise, açık rıza yok demektir. Yani elinizde açık rıza da alınmamış halde, dayanaksız bir kişisel veri var ise, imha etmelisiniz. Bu durumun tekrar tekrar gösterdiği üzere, şirketlerin kesinlikle ellerinde bulunan kişisel veriyi kurala göre mi (açık rıza), istisnalara göre mi işlemekte olduğunu net olarak bilmesi ciddi önem taşıyor.

Bu durumu en azından gelecekte ortaya çıkabilecek iş süreçleri açısından daha önceden belirlemek ise şirketleri ciddi bir işyükünden kurtaracaktır.

Veri sorumlusunun, rıza durumunu kanıtlayabilir durumda olması gerekiyor.

Bu kanıt zorunluluğu birtakım teknik ihtiyaçları ortaya çıkarıyor. Rızanın GDPR’da ya da KVKK’da herhangi bir şekil şartı yok. İster kutu işaretlettirin, ister imza alın. Ancak kanıtlayabilmeniz gerekiyor.

KVKK uygulamasında sıkça karşılaşılan bir durum ıslak imza. Kanıtlanabilirlik açısından ıslak imzanın avantajları yadsınamaz, ancak açık rızanın doğası gereği aslında ıslak imza çokta avantajlı değil, çünkü fiziksel bir rıza alma şekli olduğu için, süreçlere ilgili kişi entegre edildikten sonra rızanın geri çekilmesi durumunda bu sürecin otomatize edilmesi zorlaşıyor. Islak imza sonrasında ise rıza yönetimi çözümlerine entegrasyon ise ortaya ciddi miktarda iş yükü çıkarabiliyor.

Rızanın kapsamı

Rızanın “spesifik bir konuda” veriliyor olması gerekiyor.

Rıza sonucunda kişi, vermekte olduğu kişisel verinin hangi kısmının nereye gideceğini ve hangi amaçla gideceğini net olarak bilmeli. Bu açıklık kriterini GDPR detaylandırmıyor. Ancak WP29'un konu ile ilgili belirttiği en önemli unsur, rızanın ‘anlaşılır’ olması. Rızanın kapsamı ve söz konusu kişisel verinin işlenmesinin yaratacağı olası sonuçlar net olmalı. Ucu açık ‘birtakım kişisel veri işleme faaliyetlerine’ açık rıza verilmesi bu açıdan söz konusu değil. Tabi burada hukuki terim yağdırıp işi iyice karmaşıklaştırmanın da hoş karşılanmadığını söylemeye gerek yok.

Rıza kanıtlanabilir olmalı

Rıza aldığınızı kanıtlayabilmelisiniz. Bu noktada kanıtınız birtakım denetim izleri olabilir, tabi bu denetim izlerinin herhangi bir şekilde değiştirilmemiş olması da kanıtlanabilir olmalı. Bu konu ile ilgili olarak şirketlerin açık rıza alma ve açık rıza saklama metotlarını mutlaka gözden geçirmesi gerekiyor.

Bu noktada şayet gerekli görülüyorsa ya halihazırdaki araçların değerlendirilmesi, ya da elde bulunan ve/veya kullanılmakta olan araçların teknik yeterliliklerinin gözden geçirilmesi gerekiyor.

Kişisel verinin akıbeti

Rızayı veren kişi, geri alabiliyor.

Rıza, kişiye sıkı sıkıya bağlı bir hak olarak, doğal olarak geri alınabilen bir şey. İlgili kişilere bu haklarının varlığını da belirtmek gerekiyor.

Az yukarıda ıslak imzanın çokta avantajlı olmadığından bahsetmiştim. Bir de birtakım teknik ihtiyaçlardan bahsetmiştim.

Islak imzasını güvenle dolabınıza kaldırdığınız veri ilgilisi, şayet açık rızasını geri almak isterse birkaç probleminiz var.

1. Rızanın verildiği gibi geri alınabiliyor olması gerekiyor. Yani elinizde başka bir dolaba koymanız gereken başka bir kağıt var. Yani burada bir şekilde açık rızaların dijitale aktarılması lazım. Burada basit bir şekilde tüm rıza metinlerini taratıp .pdf yapmak oldukça yetersiz kalacaktır, süreçlere bağlantı da şart.
2. Rıza geri alınana kadar işlemiş olduğunuz kişisel veriler ile ilgili olarak, şayet almış olduğunuz açık rıza hukuka uygun ise bir problem yok. Ancak 1. maddede belirttiğim ve şart olduğunu düşündüğüm bağlantı, rıza geri alındıktan sonrası için geçerli. Çünkü rıza geri alındıktan sonra, artık o kişisel verileri ilgili iş sürecinde kullanamazsınız, rıza aktarım için verilmiş idiyse aktaramazsınız veya transfer edemezsiniz. Transfer demişken;

Rıza transferlerde de işe yarayabilir.

Kişisel verilerin AB bölgesi içerisindeki transferi açısından GDPR itibariyle artık ‘ülkeler arası transfer’den bahsedilmiyor. Diğer yandan Avrupa dışına kişisel veri aktarımında işler değişiyor. Transferlerin belirli bir şarta dayalı olması, bir izin sonrasında yapılması ya da açık rıza almak suretiyle uyumlu hale getirilmesi aranıyor.

Tabi burada kast edilen ülkeler arası transferler , aslında transferi genel olarak alıp veri sorumlusu tarafından tedarikçilerine, veri işleyenlere, ya da o veya bu şekilde başkaca üçüncü kişilere yapılan transferleri de dahil etmek gerekiyor.

Türkiye açısından ise yurtdışına kişisel veri aktarımları açısından durum bu aşamada harika değil. Kurul tarafından yayımlanması beklenen bir ‘Güvenli Ülke Listesi’var. Bu liste yayımlanırsa, liste dahilindeki ülkelere yapılacak olan kişisel veri transferleri açısından herhangi bir problem söz konusu olmayacak (tabi transferin kendisi için gerekli olan şartların yeterli olduğu ön kabulü ile) ancak böyle bir liste henüz yayımlanmadı.

Ben listeyi beklemem diyenlerdenseniz Kurul iznine başvurabilirsiniz.

Son alternatif ise açık rıza.

95 Direktifi’nden kalma rızaların durumu?

Daha önce toplanmış olan ve bir şekilde saklanan ve halen süreçler kapsamında kişisel verilerin işlenmesine dayanak oluşturan rızalar bakımından rızalar açısından herhangi bir problem yok; mevcuttaki GDPR gereksinimleri ile uyumlu bir şekilde toplanmış oldukları sürece.

Benzer bir şekilde, KVKK kapsamında da daha önce şu veya bu nedenle toplanmış olan birtakım onay metinleri söz konusu. Bu izinler/rızalar açısından Türkiye’de de kanun koyucu benzer bir yol izlemiş. Ancak doğrudan KVKK uyumlu olma şartı aranmayıp genel bir hukuka uygunluk yeterli bulunuyor. Kurul’un yayımladığı ‘Kişisel Verilerin Korunması Kanunu ve Uygulaması’ metnine göre, Kanunun yürürlüğe girme tarihinden önce ‘hukuka uygun’ olarak alınmış olan rızalar, Kanun yürürlüğe girdikten sonraki (ve çoktan geçmiş olan) 1 yıllık süre içerisinde herhangi bir itiraz ile karşılaşmaz ise ‘KVKK’ya uygun’ kabul ediliyor. Tabi bu 1 yıllık süre sadece söz konusu rızaların Kanuna uygun kabul edilmesi ile ilgili, yoksa veri ilgilisinin vermiş olduğu bu rızayı dilediği zaman geri çekme hakkı halen sabit.