Açık rıza, gereken ehliyeti haiz ilgili kişi tarafından verilmiş olmalıdır. Buna göre tam ehliyetli ilgili kişilerin kendilerine ait kişisel verilerin işlenmesine açık rıza gösterebilmeleri önünde bir engel bulunmamaktadır. Aynı esas kural olarak sınırlı ehliyetliler bakımından da geçerlidir.  Ayırt etme gücüne sahip olmayan (tam ehliyetsiz) ilgili kişinin rızası ise bu anlamda geçerli değildir (TMK m.15). Bunların yasal temsilcilerinin rızası da (hakkaniyetin gerektirdiği ayrık durumlar ile velâyetin kullanılmasından kaynaklanan kimi istisnalar bir tarafa bırakılırsa) kural olarak veri işleme faaliyetini hukuka uygun hâle getirmez. Ancak bu durumun her somut olay bakımından ayrıca tahlili isabetli olur.

Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

Genel Veri Koruma Tüzüğünde çocukların (sınırlı ehliyetsizlerin) durumu “Çocuğun bilgi toplumu hizmetlerine rıza göstermesine uygulanacak koşullar – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft / Conditions applicable to child’s consent in relation to information society services” başlığı altında özel olarak düzenlenmiştir. Buna göre sınırlı ehliyetsiz bir ilgili kişinin (çocuğun) açık rızasına dayanılarak gerçekleştirilen kimi veri işleme faaliyetlerinde (çocuğa doğrudan sunulan bilgi toplumu hizmetlerinde) bu rızanın geçerli olabilmesi için çocuğun en az 16 yaşını doldurmuş olması gerekmektedir. Bu yaştan küçük çocukların kişisel verilerinin, bizzat verecekleri açık rızaya dayalı olarak işlenmesine imkân verilmemiştir. Öte yandan çocuğun 16 yaşından küçük olduğu durumlarda kişisel verilerinin veri işlenmesi faaliyetinin, yasal temsilcisinin buna rıza göstermesi hâlinde hukuka uygun olacağı hükme bağlanmıştır. İlgili düzenlemede ayrıca, âkit devletlerin kendi veri koruma düzenlemelerinde, 13’ün altında olmamak kaydıyla daha düşük bir yaş ihdas edebilmelerine cevaz verilmiştir.

Kanun’da ise konu hakkında özel bir düzenleme olmadığı için Türk veri koruma hukukunda sınırlı ehliyetsizler bakımından durum netlik arz etmemektedir. Bu nedenle her somut olay bakımından sorunun (öncelikle) ulusal genel hükümlere göre çözülmesi gerekmektedir. Bu çerçevede kişilik hakkına (konu özelinde kişisel verilere) yönelik davranışa (işlemeye) yasal temsilcinin rızasının, hak sahibinin rızasının yerini tutmayacağı ifade edilmekte ancak yine de sınırlı ehliyetsizin çıkarlarının gerektiği gibi korunabilmesi bakımından yasal temsilcinin rızasının da (belirli veri işleme faaliyetleri bakımından) aranması gerektiği belirtilmektedir. Gerçekten de kişilik hakkı, niteliği gereği kişiye sıkı sıkıya bağlı olduğundan, kural olarak hak sahibi tarafından şahsen kullanılması ve/veya üzerinde tasarruf edilmesi gerekir (TMK m.16/ I). Kişilik hakkına yönelik davranışa rıza gösterilerek bunun hukuka uygun kılınması da kişilik hakkı üzerinde tasarruf niteliğinde olduğundan, öncelikle sınırlı ehliyetsizin (ayırt etme gücüne sahip küçüğün) bu davranışa rıza göstermiş olması gerekir. Ancak veri işleme faaliyetleri özelinde düşünüldüğünde, sadece sınırlı ehliyetsizlerin ilgili kişi sıfatıyla veri işleme faaliyetlerine rıza göstermelerinin, bunların kişilik haklarının korunması bakımından her zaman tek başına yeterli görülemeyebileceği aşikârdır. Bu nedenle bazı veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için, ilgili mümeyyiz küçüğün (aynı şekilde kısıtlının) açık rızasının yanı sıra, yasal temsilcisinin de buna onay vermesi yahut bunu yasaklamamış olması gerekir.

Bununla birlikte günümüz bilgi toplumunda sınırlı ehliyetsizlerin internet üzerinden gerçekleştirdikleri her faaliyet için yasal temsilcinin rızasının aranması pratik açıdan mümkün ve isabetli olmayabilir. Örneğin uzaktan eğitim için kişisel verilerinin işlenmesi gereken bir sınırlı ehliyetsizin, bu hususta yasal temsilcisinin rızası olmadığı gerekçesiyle eğitimden mahrum bırakılması kabul edilemez. Dolayısıyla hangi somut veri işleme faaliyetleri bakımından yasal temsilcinin rızasının aranması gerektiği hangilerine ise sınırlı ehliyetsizin kendi açık rızasının yeterli olacağı belirlenirken, somut veri işleme faaliyetinin konusunun, amacının, niteliğinin yanı sıra, ilgili kişinin bu faaliyetin sonuçlarını idrak edip etmediği ile onun yaşına ilişkin Genel Veri Koruma Tüzüğü Art.8/ I düzenlemesinin de (doğrudan doğruya olmasa da dolaylı ve yorumlayıcı olarak) nazara alınması isabetli görülmektedir.

Kişisel Verilerin Korunmasına Akademik Bakış

Editör: ELİF KÖSEDAĞ