KVKK-Kişisel Verilerin İşlenmesi ve Aktarılmasında Veri Sahibinin Açık Rızasının Alınması
I. Kişisel Verilerin İşlenmesi ve Aktarılması
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında; kişisel verilerin işlenmesi “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
Kanun’da yapılan tanımdan görüleceği üzere; kişisel verinin aktarılması, kişisel verinin işlenmesi işlemine dahil edilmiştir. Hal bu olmakla birlikte; kişisel verilerin işlenmesi ve aktarılması hususları Kanun’da ayrı maddelerde düzenleme altına alınmıştır. Bu doğrultuda; kişisel verilerin işlenme şartları Kanun’un 4. ila 7. maddelerinde düzenlenirken, kişisel verilerin aktarılması 8. ve 9. maddelerde düzenlenmiştir.
Bu minvalde; her ne kadar kişisel verilerin işlenmesi ve aktarılması şartlarında bazı farklılıklar bulunsa da, her iki işlem için de ortak olan nokta veri sahibinin açık rızasının alınmasıdır. Bu doğrultuda; Kanun’un 5. maddesi, ilgili kişinin açık rızası olmaksızın kişisel verinin işlenemeyeceğini, 8. maddesi ise ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılamayacağını düzenlemektedir.
II. İlgili Kişinin (Veri Sahibinin) Açık Rızası
Kanun’da kişisel verilerin işlenmesi ve aktarılması için belirli istisnalar haricinde veri sahibinin açık rızasının alınması öngörülmüştür. Hal bu olmakla birlikte; açık rızanın nasıl alınması gerektiğine ilişkin mevzuatımızda detaylı bir düzenleme bulunmamakla beraber, Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından Kanun’un uygulanmasına ilişkin çıkarılan bilgilendirici yayınlarda açık rızanın; genel nitelikte olmayıp belirli bir konuya ilişkin olması, elde edilecek verilerin hangi amaçlarla kullanılacağının açıkça belirtilmesi ve özgür ifadeyle açıklanmış olması gerektiği belirtilmektedir.
Kaldı ki, rızanın açıkça alınmış olması yeterli olmayıp, veri sahibinin özgürce ve konuyla ilgili olarak yeteri kadar bilgilendirilmesi sonrasında alınmış olması gerekmektedir. Devamla, açık rızanın alınmasının herhangi bir şekle tabi olmadığı düzenlenmiş olmakla beraber, ispat hukuku açısından açık rızaların yazılı olmasında fayda vardır.
Ayrıca, Kanun’un yayım tarihi olan 07.04.2016’dan önce alınan açık rızaların genel hukuk kurallarına uygun olması ve bir yıl içinde aksine irade beyanında bulunulmamış olması halinde Kanun kapsamında hukuka uygun olarak alınmış rızalar olarak kabul edileceği düzenlenmiştir.
III. Sonuç
Yukarıda yapılan açıklamalar ışığında; kişisel verileri işleyen veri sorumluları, kişisel verilerin işlenmesi ve aktarılması süreçlerine ilişkin olarak Kanun’da kendilerine yükletilen birçok yükümlülükten biri olan veri sahibinin açık rızasının alınması hususunda üzerlerine düşen sorumlulukları mutlaka yerine getirmelidir. Aksi takdirde; Kanun’un “Suçlar ve Kabahatler” başlıklı Beşinci Bölüm’de yer alan yaptırımlara maruz kalmaları söz konusu olabilecektir. Dolayısıyla; Kanun kapsamında alınması gereken ilgili kişinin açık rızasının alınması amacıyla yazılı rıza belgelerini hazırlatmalı, söz konusu belgelerin Kanun’da ve KVKK’nın bilgilendirici yayımlarında belirtilen özellikleri taşıdığından emin olmalıdırlar. Bu çerçevede; ilgili mevzuata hakim uzmanlardan destek alınması önem arz etmektedir.
KVKK hakkında daha fazla bilgi için KVKK ve GDPR sayfamızı incelleyin.
