by 
Bir gerçek kişinin kişisel verilerin işlenmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) Madde 5’te belirtilen işlenme şartlarından en az birinin varlığı gerekir. Söz konusu maddenin ilk fıkrasında yani birinci sırada belirtilen şart ilgili kişinin kişisel verilerinin işlenmesine açık rızasının olmasıdır. Onu takip eden fıkralarda ise açık rızaya gerek olmayan diğer şartlar düzenlenmiştir. Hafızanızı tazelemek için bu şartlar arasında veri işlemenin (i) kanunlarda açıkça öngörülmesi, (ii) (bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması ve (iii) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması gibi şartlar olduğunu hatırlatalım.
Açık Rıza Nedir?
Kanun, açık rızayı “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlıyor.
Avrupa Birliği’nin kişisel veri koruma mevzuatı General Data Protection Regulation (“GDPR”) da benzer bir tanımlama kullanarak rızayı “kişinin bir beyan veya açık eylemi ile, özgürce, belirli ve bilgiye dayalı şekilde verilmiş, belirsizliğe yer vermeyen ve kendisine ilişkin kişisel verilerin işlenmesini kabul ettiği anlamına gelen dileğinin göstergesi” olarak tanımlıyor.
Görüldüğü gibi açık rızanın üç ana unsuru bulunuyor: Belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması. Bu yazının devamında açık rızanın “özgür iradeyle açıklanması” unsurunu ve güç dengelerine değineceğiz.
Güç Dengesi ve Özgür İrade
Açık rızanın özgürce açıklanabilmesi için veri sorumlusu ve ilgili kişi arasında bir güç dengesi bulunması gerekir. Kişisel Verileri Koruma Kurumu, Açık Rıza rehberinde “Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir” demektedir.
Rızanın özgürce açıklandığından söz edebilmek için taraflar arasındaki (kişisel veri işlemeyi talep eden ve kişisel verisi işlenmek istenen ilgili kişi) güç dengesi veya dengesizliğini de dikkate almak gerekir. İlgili kişinin, reddetmesi halinde bir zarar göreceğinden çekindiği için verdiği rıza veya müzakereye açık olmayan bir sözleşme içinde verilen rızanın kişisel verileri korunması kapsamında geçerli sayılacağını düşünemeyiz. Bu durumda kural olarak kişisel veri işlemenin açık rıza dışında başka bir dayanağa bağlanması gerekir.
Veri sorumlusu oldukları zaman ilgili kişiye karşı güçlü durumda olabileceğini göz ardı edemeyeceğimiz taraflara örnek olarak işverenleri ve kamu kurumlarını verebiliriz.
İşveren-Çalışan Arası İlişki
Kişisel Verileri Koruma Kurumu, Açık Rıza rehberinde şöyle der: “Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez”.
Avrupa Veri Koruma Kurulu (“EDPB”), 4 Mayıs 2020 tarihinde kabul edilen 05/2020 sayılı açık rızaya ilişkin rehberinde (“Açık Rıza Rehberi”) iş ilişkisinin doğası gereği çalışanın işverenine kişisel verilerinin işlenmesine ilişkin özgür iradesiyle açık rızasını vermesinden bahsetmenin oldukça güç olduğuna değinmiştir. Çalışanın, işini kaybetme korkusu duymadan verilerinin işlenmesine itiraz edebileceği bir senaryo hayatın olağan akışında gerçekçi durmamaktadır. EDPB’nin görüşü de işveren ve çalışan ilişkisinin doğası gereği çalışanın açık rızasını özgür iradesiyle verebilmesi gerçekçi olmadığı için işverenlerin çalışanların kişisel verilerinin işlenmesi için dayanak olarak açık rıza göstermelerinin sıkıntılı olduğu yönündedir.
Madde 29 Veri Koruma Çalışma Grubu’nun 13 Eylül 2001 tarihli ve 8/2001 sayılı istihdam bağlamında kişisel verilerin işlenmesi üzerine görüşünde işveren ve çalışan arasındaki ilişkide işverenin iş ilişkisinin gerekli ve kaçınılamaz bir sonucu olarak kişisel veri işlemesi gerektiği durumlarda, bu veri işlemeyi çalışanın rızası ile meşru kılmaya çalışmasının yanıltıcı olduğu ve rızaya sadece çalışanın gerçek anlamda özgür bir seçim hakkı olduğu ve hiçbir zarar görmeden rızasını daha sonra geri çekebileceği durumlarda başvurulabileceği belirtilmiştir.
Çalışanların özlük dosyalarında tutulan kişisel verileri, maaşları, maaşlarının ödendiği banka hesapları gibi verilerini işlemek için dayanak veri sorumlusunun yasal yükümlülüklerini yerine getirmesi veya iş sözleşmesinin ifası gibi veri işleme şartlarına dayandırmak mümkünken, çalışanın açık rızasına başvurulması kişisel verilerin korunması anlamında yeterli olmaz.
Kamu Kurumları ile İlişkiler
Kamu kurumlarının veri sorumlusu olduğu durumlarda da ilgili kişilerin özgürce açık rızalarını verebilecekleri bir güç dengesinden söz etmek her zaman mümkün olmayabilir. GDPR’ın 43 sayılı gerekçesinde de bu konuya değinilmiş ve veri sorumlusunun bir kamu kurumu olması halinde ilgili kişi ve veri sorumlusu arasında açık bir dengesizlik olduğu belirtilmiştir. Dolayısıyla kamu kuruluşlarının kişisel veri işleme faaliyetlerini açık rıza dışındaki veri işleme şartlarından birine dayandırmaları yerinde olacaktır.
Bununla beraber EDPB Açık Rıza Rehberinde kişisel veri işlemenin açık rızaya dayandırılabileceği örnekler de vermiştir.
Örnek 1: Bir belediye yol çalışması planlamaktadır. Yol çalışmaları uzun bir süre trafiği kötü etkileyebileceği için, belediye vatandaşlara çalışmaların gidişatı ve öngörülen gecikmelere ilişkin güncel bilgiler alabilmeleri için bir e-posta listesine kayıt olma imkanı sağlar. Belediye bu e-posta listesine girmek için bir zorunluluk olmadığını açıkça ifade eder ve e-posta adreslerinin sadece bu amaç için kullanılması için rızalarını ister. Rıza vermeyecek vatandaşlar belediyenin herhangi bir temel hizmetinden veya diğer haklarından mahrum kalmayacaktır, o yüzden verinin bu şekilde kullanımına özgürce rıza verebilir veya vermeyebilirler. Yol çalışmalarına ilişkin bütün bilgiler de belediyenin web sitesinde yayınlanacaktır.
Örnek 2: Bir devlet okulu basılı bir öğrenci dergisinde fotoğraflarının kullanılması için öğrencilerin rızasını ister. Öğrencinin fotoğrafının kullanılmasına herhangi bir zarar görmeden itiraz edebileceği ve itirazının eğitim hizmeti veya diğer hizmetlerin kendisine verilmemesi sonucuna yol açmayacağı sürece açık rızadan söz edebiliriz.
Açık Rıza Kural Değil, İstisnadır
Kanun’un yazılışında öncelik açık rızaya verilmiş gibi gözükse de aslında genel ilkeye göre ancak diğer şartların hiçbirinin mevcut olmaması halinde açık rızaya başvurulması doğru olandır. Dolayısıyla pratikte açık rızanın alınamadığı durumlarda diğer işleme şartları arasında uygulanabilir olan var mı diye bakmak yerine önceliği diğer işleme şartlarına vermek ve ancak onlar arasında uygun bir şart olmadığında son çare olarak açık rızaya başvurmak gerektiği söylenebilir.
Kişisel Verileri Koruma Kurumu’nu yayınlandığı Kişisel Verilerin İşlenme Şartları Rehberi’nde de bu hususa dikkat çekilmiştir:
“Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.”
Kısacası, yukarıda bahsettiğimiz veri sorumlusu ve ilgili kişi arasında güç dengesizliğinin olduğu hallerde veri işlemeyi açık rıza yerine diğer veri işleme şartlarına dayandırmak için bir sebep daha var diyebiliriz. İlgili kişinin rızasını almak pek çok senaryoda sanıldığın aksine doğru bir uygulama değildir.
