Hem KVKK hem de Avrupa’daki karşılığı olan GDPR çerçevesinde, veri işleme faaliyetlerinin temel dayanaklarından biri açık rızadır. Ancak açık rıza uygulamada sıkça yanlış anlaşılan ve doğru yönetilmediğinde ciddi yaptırımlara yol açabilen bir konudur. Bu nedenle şirketlerin, açık rıza alırken dikkat etmeleri gereken temel ilkeleri iyi bilmeleri gerekir.

KVKK’ya göre açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu tanım aslında bize üç temel kriteri işaret eder: Rıza, belirli bir işlemle sınırlı olmalı, ilgili kişi rıza vermeden önce yeterli şekilde bilgilendirilmiş olmalı ve kararını özgür iradesiyle verebilmelidir. Bu üç unsurdan herhangi birinin eksik olması, alınan açık rızayı geçersiz kılar. Örneğin, belirsiz ve kapsamı net olmayan genel rıza beyanları – “battaniye rızalar”– hukuken geçerli sayılmaz. “Tüm işlemler için onay veriyorum” gibi bir ifade, belirli bir veri işleme faaliyetini tanımlamadığı için geçersizdir.

Bir diğer önemli nokta, açık rızanın bilgilendirmeye dayanması gerektiğidir. Veri sorumlusu, kişinin hangi kişisel verilerinin işleneceğini, hangi amaçlarla kullanılacağını, ne kadar süreyle saklanacağını ve kimlerle paylaşılacağını açık ve anlaşılır bir dille bildirmelidir. Aydınlatma metinlerinin kolay anlaşılır, sade ve şeffaf olması önem arz etmektedir. Kişi, veri işleme faaliyeti hakkında gerçekten bilgi sahibi olmadan rıza veriyorsa bu rıza geçerli sayılmamaktadır.

Açık rızanın özgür iradeyle verilmesi şarttır. Rıza, herhangi bir zorlamaya, baskıya veya hizmete erişimin koşullandırılmasına dayalı olmamalıdır. Açık rıza, kişinin tercihiyle, hiçbir hizmetten veya haktan mahrum bırakılmadan verilebilmelidir.

Açık rıza, yazılı olarak, elektronik ortamda, çağrı merkezi aracılığıyla veya dijital formlar üzerinden alınabilir. Burada önemli olan, rızanın alınmış olduğunun veri sorumlusu tarafından ispatlanabilmesidir.

Bir diğer hayati konu da açık rızanın geri alınabilir olmasıdır. Kişisel veriler üzerinde tasarruf hakkı, ilgili kişiye aittir. Bu doğrultuda, kişi dilediği anda verdiği açık rızayı geri çekme hakkına sahiptir. Açık rızanın geri çekilmesine ilişkin beyan veri sorumlusuna ulaştığı anda geçerlilik kazanır ve bu andan itibaren açık rızaya dayanılarak sürdürülen tüm veri işleme veya aktarma faaliyetleri derhal durdurulmalıdır. Bu kapsamda veri sorumlusu, ilgili kişinin kişisel verilerini, KVKK ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca silmek, yok etmek veya anonimleştirmekle yükümlüdür. Öte yandan, açık rızanın geri çekilmesinden önce gerçekleştirilen veri işleme faaliyetleri hukuka uygun kabul edilmeye devam eder.

Veri sorumlusu açısından açık rızaların takibi önemlidir ve uygulamada elektronik ortamda, açık rıza takip yazılımları aracılığıyla sistematik bir işlem takibi yürütülmektedir.

Açıklanan nedenlerle, açık rıza süreçlerinin dikkatle kurgulanması, şirketlerin veri sorumlusu olarak yükümlülüklerini yerine getirebilmeleri açısından kritik öneme sahip olup doğru yapılandırılmış açık rıza yönetimi, şirketlerin veri güvenliği kültürünü güçlendirmesi bakımından da büyük önem arz etmektedir.”