Kişisel Verilerin İşlenmesi Bağlamında Açık Rıza

Kişisel Verilerin İşlenmesi Bağlamında Açık Rıza
(Consent in the Context of Processing Personal Data)

Öz
Kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ikinci
bölümünde düzenlenmiş olup belirli genel ilkelere ve şartlara bağlanmıştır. Kişisel Verilerin
Korunması Kanunu’nun 4. maddesinde genel ilkeler belirtilmiş, 5. ve 6.maddelerinde verilerin
işlenme şartları düzenlenmiştir. Verilerin işlenme şartı, kural olarak açık rızadır. İstisnaları
Kanun’da sayılmıştır. Bu çalışmanın temel amacı kişisel veriler hakkında genel bilgi vermek,
kişisel verilerin hangi şartlar altında işlenebileceğini ve kişisel verilerin işlenmesinin
şartlarından biri olan açık rızayı detaylı olarak anlatmaktır.

Anahtar Kelimeler: Kişisel Veriler, Kişisel Verilerin Korunması, Kişisel Verilerin İşlenmesi,
Açık Rıza.

Abstract
Processing is regulated in the second chapter of Code No. 6698 on Protection of
Personal Data. It is subject to some general principles and conditions. The general principles
are set out in Article 4 of the Code on Protection of Personal Data. The processing conditions
of the data are regulated in Articles 5 and 6. The processing of the data depends on consent.
Exceptions are listed in the Code. The main purpose of this study is; to give information about
personal data, to explain the conditions under which personal data can be processed and the
consent, which is one of the conditions of processing personal data, in detail.
Keywords: Personal Data, Personal Data Protection, Data Processing, Consent.

Giriş
Günümüzde devlet kurumları ve çeşitli özel kuruluşlar, teknolojinin gelişmesiyle
birlikte çok sayıda kişinin bilgilerine kolayca ulaşmaktadır. Bu bilgiler, teknolojide yaşanan
gelişmelerin de etkisiyle kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bahsedilen bilgilerin
arasında gittikçe artan kişisel verilerin de yer alması, söz konusu verilerin korunması ihtiyacını
gündeme getirmiştir.[1] Bu ihtiyaçları karşılamak adına 2010 yılında 1982 Anayasası’nda yapılan
değişiklikle birlikte Anayasa’nın 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin
korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak
kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına
ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenmiştir. Eklenen düzenlemeyle birlikte
kişisel verilerin korunması hakkı anayasal güvence altına girmiştir. “Kişisel verilerin
korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Lafzından da anlaşılacağı üzere 1982
Anayasası, kişisel verilerin korunması ile ilgili bir kanun yapılmasını öngörmüştür. 2016
yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu[2]
1982 Anayasası’nın
bahsettiği kanundur.
Bu çalışmada genel olarak 6698 sayılı Kanun ve bazı uluslararası düzenlemeler
çerçevesinde; ilk bölümde kişisel verilerin amaç, kapsam ve temel kavramlarından, ikinci
bölümde kişisel verilerin işlenmesinin genel ilkelerinden ve şartlarından, üçüncü bölümde ise
ayrıntılı olarak açık rıza kavramından bahsedeceğiz.

1. Genel Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun Amacı, Kapsamı
ve Tanımları

1.1. Kişisel Veri
Kanun’un tanımıyla “Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin
her türlü bilgidir.”
Bu kısa tanımdan anlaşılan üç kesin bilgi ise:

[1]Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunmasına İlişkin Uygulama Rehberi” , KVKK
Yayınları, Ankara 2018, s. 11.
[2]Bundan sonra “Kanun” olarak anılacaktır.

• Kimliği belirli ya da belirlenebilir olmasıdır. Kimliği doğrudan ulaşılan bilgilerle
belirlenmiş veya dolaylı yoldan başka bilgilerle ilişkilendirilerek kimliği belirlenebilir olma
durumudur.
• Gerçek kişiye ait olmasıdır. Kişisel verilerin özel veya kamu tüzel kişiliklerine ait
olamayacağının, sadece gerçek kişilere ait olabileceğinin göstergesidir. Tüzel kişilere ait
bilgiler ancak gerçek kişilerle ilişkilendirildiklerinde kişisel veri sayılabilir. Zaten bu durum
yine bir gerçek kişiyle alakalı olduğundan somut olaya bakılarak karar verilecektir.
• Kişiyle ilişkili olan her türlü bilgidir. Bu kapsamda kanunda sınırlı sayı ilkesi yoluna
başvurulmadığı için kapsamın genişletilmesi mümkündür.[3] Kişisel verinin en önemli
noktası, kişiyle ilişkilendirilebilir olmasıdır. Kişinin adı, soyadı, numarası, ev adresi, iş
adresi, kimlik numarası, sağlık bilgileri, aile bilgileri vb. akla gelen ve gerçek kişiyle
ilişkilendirilebilen her türlü bilgi kişisel veridir. Verilerin kişisel veri olup olmadığı somut
olay bazında değerlendirilmelidir.

1.2. Kişisel Verilerin Korunması Kanunu’nun Amacı
6698 sayılı Kanun’un 1. maddesinde “Bu Kanunun amacı, kişisel verilerin işlenmesinde
başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemektir.” denmektedir. Uluslararası statülere uyum sağlama amacı ile birlikte her şeyin
üstünde olarak kanunun amacı özel hayatın gizliliğini korumaktır. Kişilerin temel hak ve
özgürlükleri çerçevesinde kişisel verilerinin korunmasını istemesi anayasal bir hakkıdır.
Kanunun amacı, bu sebeplerin yanında gerçek kişilerin veri güvenliğini sağlamak, veri işleyen
gerçek ve tüzel kişileri disiplin altına almak, verilerin gelişigüzel toplanmasını ve bu durumlara
benzer durumlardan etkilenen veri sahiplerini korumak amacıyla yürürlüğe girmiştir.

1.3. Kişisel Verilerin Korunması Kanunu’nun Kapsamı
Kanun’un kapsamı 2. maddede açıkça belirtilmiştir. 2. maddede “Kişisel verileri işlenen
gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler
hakkında uygulanır.” denmiştir. Kanun özel hukuk tüzel kişisi ve kamu hukuku tüzel kişisi
arasında herhangi bir ayrım yapmamıştır. İkisine de aynı usul ve esaslar uygulanacaktır.
Bahsedilen veri kayıt sistemi, kişisel verilere ulaşımı kolaylaştıracak şekilde ve belirli bir ölçüte göre yapılandırılmış kayıt sistemini ifade etmektedir. Bu sistem sadece dijital bir sistem olmak
zorunda değildir. Veri kayıt sistemi fiziki ortamda oluşturulan kayıtlar bakımından da
geçerlidir[4] Örnek olarak bir defterde belirli meslek gruplarının sınıflara ayrılıp düzenlenmesi
verilebilir. Önemli olan bu mesleklerin belirli ölçütlere göre sınıflandırılmasıdır.

[3] Kişisel Verileri Koruma Kurumu, “100 Soruda Kişisel Verilerin Korunması Kanunu”, KVKK Yayınları,
Ankara 2018, s. 19.

[4] Kişisel Verileri Koruma Kurumu, “Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi
Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözcüğü”, KVKK Yayınları, Ankara 2018, s. 8.

1.4. Kişisel Verilerin Korunması Kanunu’nun Tanımları
Kanun’un 3. maddesinde tanımlar bulunmaktadır.
“Bu Kanun’un uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.”

2. Kişisel Verilerin İşlenmesi
2.1. Verilerin İşlenmesi ve Genel İlkeleri
2.1.1. Veri İşlemeKanun’un 3. maddesinde de tanımlanan kişisel verilerin işlenmesini, kişisel veriler
üzerinde gerçekleştirilen her türlü işlem olarak ifade edebiliriz. 95/46/EC Kişisel Verilerin
İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’nde[5]
de
6698 sayılı Kanun’a benzer bir tanım yer almaktadır. Direktif’in 2. maddesinde “işleme” adı
altında kişisel verilerin işlenmesinin tanımı yapılmıştır. Bu tanımda “Otomatik yöntemlerle
olsun veya olmasın, kişisel veri veya kişisel veri dizini üzerinde gerçekleştirilen toplama,
kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma,
kullanma, açıklama, yayma ya da kullanıma sunma, uygunlaştırma ya da birleştirme, kısıtlama,
silme veya imha gibi herhangi bir işlem veya işlem dizisidir.”[6]
. Bu tanımlarda dikkat çeken
noktalardan biri otomatik olmayan kavramıdır. Bu kavram herhangi bir fiziki ortamda
saklanılan verileri ifade eder ancak bu veriler bir veri kayıt sisteminin parçası olmak kaydıyla
kanunda işleme kavramına dâhil edilmiştir.[7] Veri kayıt sisteminin parçası olmayan kişisel
veriler ise Kanun kapsamında değildir. Bu verilere ilişkin hukuka aykırı fiiller 5237 sayılı Türk
Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.[8]

2.1.2. Genel İlkeler
Kişisel Verilerin Korunması Kanunu kural olarak kişisel verilerin işlenmesini
yasaklamıştır.[9] Kanunun 4. maddesinin 2. fıkrasında “Kişisel veriler, ancak bu Kanun’da ve
diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” denmiştir ve ayrıca
kişisel veriler işlenirken belirli ilkelere uyma zorunluluğu getirmiştir.

[5] Bundan sonra “Direktif” olarak anılacaktır.
[6] https://eur-lex.europa.eu/eli/reg/2016/679/oj , DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL.
[7] ANI, Nevzat Ali: Kişisel Verileri İşlenmesi ve Açık Rıza, Yüksek Lisans Tezi, İstanbul 2018, s. 87.
[8] Kişisel Verileri Koruma Kurumu, “Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi
Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözcüğü”, s. 8.
[9] ÇEKİN, Mesut Serdar: “6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri)
ve İrade Serbestisi Açısından Değerlendirilmesi”, İÜHFM, Cilt LXXIV, Sayı 2, 2016, ss. 629-644, s. 7.

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Yukarıda verilen ilkeler çerçevesinde veri işlemesi yapılabilecektir.[10]

2.2. Kişisel Verilerin İşlenmesinin Şartları
Kanun’un 5. ve 6. maddesinde verilerin işlenme şartlarına yer verilmiştir. 5. maddesinde
genel olarak veri işleme şartları, 6. maddesinde ise özel nitelikli kişisel verilerin işlenme şartları
düzenlenmiştir. 5. maddenin ilk kısmında “Kişisel veriler kişinin açık rızası olmadan
işlenemez.” denilmiştir. Kural olarak açık rıza aranmıştır. Kanun maddenin devam eden
bölümünde, açık rıza aranmaksızın bazı durumlarda verilerin işlenmesini mümkün kılmıştır.
• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun, yukarıdaki durumlarda kişilerin açık rızası alınmadan verilerinin işlenmesine
olanak sağlamaktadır. Kişisel verilerin işlenebilmesi için yukarıda sayılan hukuka uygunluk
sebeplerinden en az birinin varlığı aranmaktadır. Bunların dışında yukarıda bahsettiğimiz genel ilkelere uygunluğu da unutmamak gerekir. Kanunda sınırlı sayı ilkesi benimsendiği için bu
şartlar hiçbir şekilde genişletilemez.

[10]Genel ilkeleri ayrıntılı olarak incelemek için bkz. GÖÇMEN UYARER, Sinem: Kişisel Verilerin Korunması
Kanunu ve Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Seçkin Yayıncılık, Ankara 2019, s.
120-125; ANI, Nevzat Ali, s. 89-101.

Kanun’da özel nitelikli kişisel verilerin işlenmesi ayrıca yer almaktadır. Bu veriler
hassas veriler olmasından dolayı daha özel korunmuştur. Kişiye ayrımcılık yapılması,
toplumdan dışlanması vb. sebeplerle mağduriyet oluşacağı düşünülerek açıkça düzenlenmiştir.
Kanun’un 6. maddesinin ilk fıkrasında özel nitelikli kişisel veriler tek tek sayılmıştır. “Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel
veridir.” 2. fıkrasında ise “Sayılan özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın
işlenmesi yasaktır.” denmiştir. 3. Fıkranın ilk bölümü “sağlık ve cinsel hayat dışındaki kişisel
veriler kanunlarda öngörülen hâllerde kişinin açık rıza aranmaksızın işlenebilir.” şeklinde
düzenlenmiştir. Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği
tutulması[11]
, kanunlarda öngörülen hâle örnek olarak verilebilir. Yukarıda belirtilen iki farklı
durum; sağlık ve cinsel hayata ilişkin verilerin 3. fıkranın devamında açık rıza olmaksızın
işlenebileceği hâller düzenlenmiştir. Bu fıkrada “Sağlık ve cinsel hayata ilişkin kişisel veriler
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” denmiştir. Gündemde olan covid-19
salgınından dolayı, kamu sağlığı açısından hastaların bazı verilerinin işlenmesi [12] bu duruma
örnek olarak gösterilebilir.
6. maddenin son fıkrasında, ayrıca Kurul[13] tarafından belirlenen yeterli önlemlerin
alınması şarttır denmiştir. Bu hüküm çerçevesinde KVKK’nin 31/01/2018 tarihli ve 2018/10
sayılı kararı incelenebilir.[14]

[11]Kişisel Verileri Koruma Kurumu, “Özel Nitelikte Kişisel Verilerin İşlenmesi”, KVKK Yayınları, Ankara
2018, s. 5.
[12]Konuyla ilgili Kurul kararı değerlendirmesi ve ayrıntılı bilgi için bkz. DÜLGER, Murat Volkan: “COVID-19
Pandemisine İlişkin Kişisel Verileri Koruma Kurulu’nun Son Duyurusu Hakkında Değerlendirme”, İstanbul
2020.
[13] Kişisel Verileri Koruma Kurulu.
[14] “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile
ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı bkz.
https://www.kvkk.gov.tr/Icerik/4110/2018-10 

3. Açık Rıza
3.1. Genel Olarak Açık Rıza Kavramı
Rıza kavramı sözlükte razı olma, isteme, istek[15] anlamına gelmektedir. Açık rıza
kavramı, Kanun’da: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle
açıklanan rızayı ifade eder.” şeklinde açıklanmıştır. Direktif’e göre rıza; “kendisiyle ilgili veri
işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak
açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır”. Kanun’un gerekçesinde de[16]
Direktif’in tanımının neredeyse aynısı kullanılmıştır.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile
ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın diğer
önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Rıza açıklaması,
ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini
de belirlemesini sağlayacaktır.[17]

3.2. Açık Rızanın Unsurları
Kanun’un yaptığı tanımda açık rızanın üç geçerlilik unsuru bulunmaktadır. Belirli bir
konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması. Bu üç
unsuru ayrı başlıklar altında inceleyeceğiz.

3.2.1. Belirli Bir Konuya İlişkin Olması
Genel ilkeler konusunda bahsettiğimiz amaca bağlılık ilkesi ile bağlantılı olan bu
madde, rızanın konusunun ne olduğunun açıkça düzenlenmesi için konulmuş bir maddedir.
Rıza belirli olan bir konu için verilmiş olmalıdır. Birbiriyle uyumlu olmayan, çok farklı amaçlar
için kullanılacak verilerin, tek bir rızayla alınması mümkün olmayacak, her bir durum için ayrı
ayrı rıza alınacaktır. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil
işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekecektir.
Aynı durum, verilerin işlenme amaçlarının değişmesi hâlinde de geçerlidir.[18]

[15] https://sozluk.gov.tr/
[16] Türkiye Büyük Millet Meclisi, “Kişisel Verilerin Korunması Kanunu Tasarısı ve Adalet Komisyonu
Raporu”, https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf , Eylül 2018.
[17] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, KVKK Yayınları, Ankara 2018, s. 3.
[18] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 3.

3.2.2. Bilgilendirmeye Dayanması
Bilgilendirme, mutlaka verinin işlenmesinden önce; açık ve anlaşılır bir dille
yapılmalıdır. Kanun hükmü gereği veri sorumlusu; verilerin hangi amaçla işleneceği, işlenen
kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve
hukuki sebebi, ilgili kişinin hakları hakkında bilgi vermekle yükümlüdür[19] . Yukarıda sayılan
bilgiler veri sorumlusu tarafından doğru ve tam olarak verilmelidir. Günümüzde bilgilendirme
metinlerinin karmaşık ve aşırı uzunlukta olduğunu hepimiz görmekteyiz. ABD’de yapılan bir
araştırmaya göre ortalama bir vatandaş, internet ortamında kişisel verilerin işlenmesiyle alakalı
karşısına çıkan her bilgilendirmeyi okumak istemesi hâlinde yılda 200 saatini bu işe ayırmak
zorunda kalacaktır.[20] Dolayısıyla açık rıza, uygulamada görünen farklılıklardan dolayı
eleştirilmektedir.[21]

3.2.3. Özgür İradeyle Açıklanması
Belirli bir konuya ilişkin olması ve bilgilendirmeye dayalı olmasından sonra açık rızanın
geçerlilik kazanması için özgür irade ile açıklanması gerekmektedir. Kişi davranışının farkında
ve davranışını kendi kararıyla yapıyorsa açık rızası geçerlidir. Rızanın ilgili kişinin özgür
iradesiyle ve serbest bir şekilde verilmesi gerekmektedir. Bu nedenle de kişinin rıza göstermeye
zorlanmaması ve üzerinde dışsal herhangi bir baskı olmaması gerekir. Cebir, tehdit, hata ve hile
gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir.
Dolayısıyla, bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez ancak, buradaki
her sebep kendi içerisinde değerlendirilmeli, rızayı etkileme derecesi belirlenmelidir.[22]
Taraflar eşit konumda değilse rızanın özgür iradeyle verildiğine dikkat edilmelidir. Bu
duruma örnek olarak işçi ve işveren verilebilir. Taraflardan biri diğerine göre açık ara üstün
olduğu için özgür iradenin varlığı sorgulanmalıdır.
Bazı durumlarda işçi ile işveren arasında açık rızadan önce diğer hukuka uygunluk
nedenlerinin sorgulanması daha yerinde olacaktır. Açık rızaya gerek olmamasına rağmen
işçisinin bilgilerini Sosyal Güvenlik Kurumu ile paylaşmak için işçiden açık rıza alan bir işveren, işçinin daha sonra vermiş olduğu açık rızayı geri alması hâlinde veri işlemenin yasal
bir dayanağı olmayacağı için hukuki yükümlülüğünü de yerine getiremeyecektir[23]

[19] 6698 sayılı Kişisel Verilerin Korunması Kanunu, Madde 10 ve Madde 11.
[2] ÇEKİN, Mesut Serdar, ss. 639, s. 11.
[21]Ayrıntılı bilgi için bkz. ÇEKİN, Mesut Serdar: “6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un
Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi”, İÜHFM, Cilt LXXIV, Sayı 2, 2016, ss.
629-644.
[22] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 6.

[23] ANI, Nevzat Ali, s. 142.

Kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya
hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Hizmetten ya da üründen
faydalanmak zorunda olan kişi, mecbur olduğu durumlarda buna rıza gösterecek fakat rızası
özgür iradesiyle olmayacaktır. Örneğin, bir hizmetten yararlanılmasının üyelik şartına
bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin
üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır.
Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük
ilkesine aykırı olacaktır.[24]

3.3. Açık Rızanın Şekli
Kanun herhangi bir açık rıza şekli öngörmemektedir. Kanun’un tasarısında açık rıza
“Belirli bir konuya ilişkin, açık bilgilendirilmeye dayanan ve özgür iradeyle açıklanan yazılı,
onaylanmış olmak kaydıyla sesli veya sözlü, elektronik rızayı ifade etmektedir.”[25] şeklinde
tanımlanmıştır. Fakat nihai olarak Kanun’da “yazılı, onaylanmış olmak kaydıyla sesli veya
sözlü” ifadeleri bulunmamaktadır.[26 ]Avrupa Veri Koruma Tüzüğü de Kanun gibi şekil şartına
yer vermemiştir.
Hem Kanun hem de Avrupa Veri Koruma Tüzüğü kapsamında zımni rıza kabul
edilmemiştir. Susma, bir hizmeti kullanmaya devam etme vb. açık olarak yapılmamış hareketler
rıza olarak kabul görmeyecektir. Uygulamada sık sık karşılaşılan, bir firmanın veya bankanın,
müşterilerine veri transferi yapacağı hakkında yaptığı bilgilendirme mektubunda, 2 hafta içinde
itiraz etmemeleri durumunda rıza vermiş sayılacaklarının bildirmesi üzerine müşterinin itiraz
etmemesi halinde, açık bir rızanın varlığından söz edilemez. Zira buradaki susma, birden çok
anlama gelebilir. Bu durumda rızanın varlığını ispatlamak durumunda olan veri sorumlusu
tereddüde yer bırakmayacak şekilde rızanın varlığını ortaya koymadığı için ispat yükünü yerine
getiremeyecektir.[27] Kişisel verilerin işlenmesi için alınacak açık rıza, herhangi bir sebeple
yapılan sözleşme ya da alınan hizmet çerçevesinde kabul edilen genel ve özel koşullar haricinde tutulmalıdır. Örneğin size bazı koşulları kabul etmeniz karşılığında üyelik açan bir internet
sitesi, bu koşullar kapsamında rızanızı alıp verilerinizi işleyemez. Koşullara ek ve başka
seçenekte, kişisel verilerinizi işleyeceklerine dair bilgilendirme yapıp, açık rızanızı almaları
gerekmektedir.
Sonuç olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu açık rıza için bir şekil
şartı öngörmemiştir fakat başka kanunlar kişisel verilerin işlenmesi bağlamında açık rızayı
çeşitli şekillere bağlayabilir. Rızanın yazılı bir şekilde verilmesi, rızanın geçerliliğini ispat
konusunda veri sorumlusu için güvenli bir yoldur.

[24] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 6.
[25] Türkiye Büyük Millet Meclisi, “Kişisel Verilerin Korunması Kanunu Tasarısı ve Adalet Komisyonu
Raporu”, https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf , Eylül 2018.
[26] Ayrıntılı bilgi için bkz. ANI, Nevzat Ali, s. 144.
[27] BRAUN, Cihan Avcı: Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi,
Cilt X, Sayı 1, 2018, ss. 13-33, s. 17.

3.4. Açık Rızanın Açıklanacağı Zaman
Açık rıza alınmadan kişisel verilerin işlenmesinin kural olarak yasak olduğunu
belirtmiştik. Açık rıza kesinlikle bilgilendirmeden sonra, veriler işlenmeye başlamadan önce
alınmış olmalıdır. Sonradan alınan rıza geçersizdir. Rıza, veriler işlenmeye başlandıktan sonra
alındığında, verilerin işlenmeye başlandığı tarih ile alınan rızanın tarihi arasında fark
oluşacağından bu veriler hukuka aykırı olarak işlenmiş sayılacaktır.

3.5. Açık Rızanın Süresi
Kanun’da rızanın süresiyle alakalı bir bilgi yoktur. Rızanın geçerlilik süresi, somut
olayın şartlarına göre belirlenmelidir. Veri işleme amacı değişmişse veya başta söylenen
amaçtan uzaklaşılmışsa tekrar rıza alınmalıdır. Amaç değişmese bile alınan rızaların belirli
süreler içinde yenilenmesi, hem veri sorumlusu hem de ilgili kişi için verimli olabilir.

3.6. Açık Rızanın İspat Yükü
Geçerli bir rıza beyanının varlığını ispat yükü veri sorumlusuna aittir. Kanun’da bu
husus belirtilmemiştir fakat Kişisel Verileri Koruma Kurulu kararlarında ve yayınladığı
bilgilendirme yazılarında ispat yükünü veri sorumlusuna yüklemiştir.[28] “Veri sorumlusu, açık
rıza aldığını ispat edebilmek için her bir açık rıza alma yöntemine ilişkin olarak ayrı önlemler
alması gerekmektedir. Buna göre eğer açık rıza yazılı olarak alındıysa açık rıza metni, eğer açık
rıza sesli olarak alındıysa açık rızanın verildiği ses kaydı, eğer açık rıza KEP veya standart eposta yöntemiyle alındıysa ilgili e-posta kaydı, eğer güvenli elektronik imza veya mobil imza
ile alındıysa sistem tarafından yapılan işleme ilişkin oluşturulan özel kayıt ve zaman damgası ve son olarak açık rıza opt-in veya opt-out yöntemi ile elde edilmişse kullanıcının metni
onayladığını gösterir elektronik kayıtlar veri sorumlusu tarafından muhafaza edilmelidir”[29]

[28] Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular”,
KVKK Yayınları, Ankara 2018, s. 27.
[29] ANI, Nevzat Ali, s. 160.

3.7. Açık Rızada Ehliyet Unsuru
Kural olarak, rıza beyanında bulunma yetkisi, kişisel verileri işlenecek kişiye aittir. Rıza
beyanında bulunan kişinin mümeyyiz olması gerekmektedir. Rıza gösterme, kişiye sıkı sıkıya
bağlı bir haktır. Türk Medeni Kanunu madde 16’da “Ayırt etme gücüne sahip küçükler ve
kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler.
Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir.”
denmiştir. Açık rızanın kişiye sıkı sıkıya bağlı bir hak olduğu bağlamında, sınırlı
ehliyetsizlerden sayılan kısıtlılar rızalarını kendileri verebileceklerdir. Çocukların kişisel
verilerinin işlendiği hâller özel bir hâl olarak incelenmelidir. Kanun’da çocuklara ilişkin ayrı
bir hüküm bulunmamaktadır. Avrupa Birliği Veri Koruma Tüzüğü’nde ise çocuğun kişisel
verilerinin işlenmesi amacıyla açık rıza gösterebilmesi için en az 16 yaşında olmalıdır. 16
yaşından küçük olduğu takdirde yasal temsilcinin rızası gerekecektir. Üye devletler iç
hukuktaki düzenlemeleri ile yaşı 13’e kadar indirebilirler.
Tam ehliyetsizlerde kişisel verinin, mutlak sıkı sıkıya bağlı hak mı, nisbi sıkı sıkıya
bağlı hak mı olduğu tartışması dolayısıyla iki görüş mevcuttur. Bir görüş yasal temsilcinin
rızasının geçerli olduğunu savunurken diğeri bu görüşün zıtını savunur. Genel olarak kabul
gören görüş tam ehliyetsizler için rızanın yasal temsilci tarafından verilmesidir.

3.8. 6698 Sayılı Kişisel Verileri Koruma Kanunu’ndan Önce Alınan Rızalar
Kanun yürürlüğe girmeden önce alınan rızaların geçerliliğini, geçici madde 1’de
düzenlemiştir. “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı
tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun
hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle
getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir
yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.”
Düzenlemede “hukuka uygun olarak alınmış rızalar” ifadesi aydınlatılmaya muhtaçtır. Kanun
öncesinde rızanın tanımının yapıldığı veya geçerlilik şartlarının incelendiği bir düzenleme
yoktur. Bu durumda genel hükümlerden yola çıkarak rıza verme konusunda ehil olan kişinin; kanunun emredici hükümlerine, ahlaka, kamu düzenine, kişilik haklarına aykırı olmayan
rızasını geçerli kabul etmek gerekecektir.[30]

3.9. Açık Rızanın Geri Alınması
Açık rıza kişiye sıkı sıkıya bağlı bir haktır ve kesinlikle geri alınabilir. Ayrıca kişisel
verilerin geleceğini belirleme hakkı ilgili kişiye aittir. Bu bağlamda kişi dilediği zaman veri
sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik
sonuç doğurur. Geri alma beyanın veri sorumlusuna ulaştığı andan itibaren veri sorumlusu
tarafından açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır. Geri alma
beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.[31] Açık rızayı geri alma işlemi,
Kanun’un 13. maddesinde açıklanan veri sorumlusuna başvuru yöntemi ile yapılacaktır. Açık
rızanın geri alınmasının açık rıza alınmasından daha zor olmaması gerekmektedir.
Sonuç
Kişisel verilerin işlenmesinin temel şartı olan açık rıza, hem veri işleyen hem de veri
sahibi için kritik bir öneme sahiptir. Oluşan bu büyük veri pazarında bilgilerimizin nereye
gittiğini ve hangi şekilde pazarlandığını bilmemiz için bireye sağlanan hak, açık rızadır; çünkü
açık rıza, belirli bir konuya ilişkin olma, rızanın bilgilendirmeye dayanması ve özgür iradeyle
açıklanması gibi unsurlara sahiptir. Devletin bu ikili ilişkiye müdahale ederek açıkça zayıf olan
veri sahibini koruyarak veri işleyeni disiplin altına alması da açık rızaya ek olarak veri işleyene
sorumluluklar yüklemiştir.

[30] ANI, Nevzat Ali, s. 138.
[31]Kişisel Verileri Koruma Kurumu, “100 Soruda Kişisel Verilerin Korunması Kanunu”, s. 29.

Kaynakça
• ANI, Nevzat Ali: Kişisel Verileri İşlenmesi ve Açık Rıza, Yüksek Lisans Tezi, İstanbul
2018.
• BRAUN, Cihan Avcı: Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi
Hukuk Fakültesi Dergisi, Cilt X, Sayı 1, İstanbul 2018.
• ÇEKİN, Mesut Serdar: “6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un
Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi”, İÜHFM, Cilt
LXXIV, Sayı 2, 2016.
• DÜLGER, Murat Volkan: “COVID-19 Pandemisine İlişkin Kişisel Verileri Koruma
Kurulu’nun Son Duyurusu Hakkında Değerlendirme”, İstanbul 2020.
• GÖÇMEN UYARER, Sinem: Kişisel Verilerin Korunması Kanunu ve Türk Ceza
Kanunu Kapsamında Kişisel Verilerin Korunması, Seçkin Yayıncılık, Ankara 2019.
• https://eur-lex.europa.eu/eli/reg/2016/679/oj , DIRECTIVE 95/46/EC OF THE
EUROPEAN PARLIAMENT AND OF THE COUNCIL.
• https://sozluk.gov.tr/ TDK Sözlük
• https://www.kvkk.gov.tr/Icerik/4110/2018-10 “Özel Nitelikli Kişisel Verilerin
İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili
Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
• https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf , Türkiye Büyük
Millet Meclisi, “Kişisel Verilerin Korunması Kanunu Tasarısı ve Adalet Komisyonu
Raporu”, Eylül 2018.
• Kişisel Verileri Koruma Kurumu, “100 Soruda Kişisel Verilerin Korunması
Kanunu”, KVKK Yayınları, Ankara 2018.
• Kişisel Verileri Koruma Kurumu, “Açık Rıza”, KVKK Yayınları, Ankara 2018.
• Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunmasına İlişkin Uygulama
Rehberi” , KVKK Yayınları, Ankara 2018.
• Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanunu Hakkında
Sıkça Sorulan Sorular”, KVKK Yayınları, Ankara 2018.
• Kişisel Verileri Koruma Kurumu, “Madde ve Gerekçesi ile Kişisel Verilerin
Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler
Sözcüğü”, KVKK Yayınları, Ankara 2018.
• Kişisel Verileri Koruma Kurumu, “Özel Nitelikte Kişisel Verilerin İşlenmesi”,
KVKK Yayınları, Ankara 2018.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir