Açık Rızaya Dayanılarak İşlenen Kişisel Verilerin İlk İşleme Amacından Farklı Bir Amaçla Kullanılabilmesi İçin Yeniden Açık Rıza Alınmalı Mıdır?

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7 Nisan 2016 yılında yürürlüğe girmesi ile birlikte, hayatımıza yeni kavramlar girmeye başlamıştır. Açık rıza da bu kavramlardan birisidir. KVKK'nın 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Ayrıca Anayasamızın 20. maddesinin 3. fıkrasında da, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Yine KVKK'nın 5 inci maddesine göre;

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Alışveriş Sırasında SMS ile Doğrulama Kodu Gönderilmesi KVKK’ya Aykırı mı? Alışveriş Sırasında SMS ile Doğrulama Kodu Gönderilmesi KVKK’ya Aykırı mı?

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Görüldüğü üzere veri sorumlusu ancak yukarıdaki şartların varlığı halinde ilgili kişinin açık rızası olmaksızın kişisel verisini işleyebilir.

Somut bir örnek verecek olursak; personel özlük süreçlerinde iş sözleşmesi imzalanırken personelden alınan kimlik bilgileri için ayrı bir açık rıza alınmasına gerek yoktur çünkü iş sözleşmesi 4857 sayılı İş Kanunu'na dayanılarak düzenlenen bir belgedir. Dolayısıyla burada veri işleme şartlarından "Kanunlarda açıkca öngörülmesi" şartı sağlanmaktadır. Fakat aynı iş yerine iş başvurusunda bulunan personel adaylarından alınan özgeçmişlerin ilgili alım yapıldığı halde belirli bir süre muhafaza edilmesi için personel adayından açık rıza alınması gerekecektir. Açık rıza süreçlerine ilişkin bu ve buna benzer bir çok örnek verilebilmektedir.

Peki Veri Sorumlusu Tüm Veri İşleme Faaliyetleri İçin Ayrı Ayrı Açık Rıza Almak Zorunda mı?

KVKK'nın 3 üncü maddesine göre açık rızanın 3 unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Görüldüğü üzere açık rızanın "belirli bir konuya ilişkin olması" açık rızanın düzenlenme koşullarından birisidir. “Her türlü veri işleme faaliyeti” ifadesi kullanılarak alınan açık rıza onamı her ne kadar veri sorumlusunun işini kolaylaştıracak gibi görünse de; belirli bir konu ile sınırlandırılmayan genelleştirilerek alınan açık rıza, “battaniye rıza” olarak kabul edilir ve geçersizdir.

İlgili kişi tarafından verilen açık rıza onamı sadece açık rıza metninde belirtilen veri işleme faaliyeti öncesinde belirtilen amaçlar için alınmıştır. Dolayısıyla veri sorumlusunun her yeni veri işleme faaliyeti için açık rızanın yeniden alınması gerekmektedir. Örneğin bir e-ticaret sitesinin; müşterilere indirim e-postaları göndermek için yine müşterilerden alınan açık rıza onamları aynı e-ticaret sitesinin yeni ürün tanıtımları için gönderilecek e-postalar için geçerli olmayacaktır. Veri sorumlusunun yeni ürünlerin tanıtımı için ayrı bir açık rıza alması gerekir.