G-B7N2H7TNZP
top of page

Battaniye Rıza Nedir?

Güncelleme tarihi: 13 Ağu 2021


Kişisel verilerin korunmasına ilişkin gerek Türk hukukunda, gerek uluslararası hukukta, kişisel verilerin işlenmesi veya aktarılması için öngörülmüş olan en temel şart, ilgili kişinin açık rızasıdır.


Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. Maddesinde “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” denilerek rızanın verilerin işlenebilmesi için en temel şart olduğu ifade edilmiştir. Buna göre, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Aynı maddenin 2. Fıkrasında ise, açık rıza aranmaksızın kişisel verilerin işlenebileceği diğer hukuka uygunluk sebepleri sıralanmıştır. Ayrıca Anayasanın 20. maddesinin 3. Fıkrasında kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.


Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3. maddesi açık rızayı “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlamaktadır. Kanunun bu tanımından açıkça anlaşılacağı üzere, açık rızanın 3 ana unsuru vardır:


  • Belirli Bir Konuya İlişkin Olması: Geçerli bir rıza beyanından söz edebilmemiz için açık rızanın belirli bir konuya ilişkin ve o konuyla sınırlı olması gerekir. Açık rıza beyanının hangi konuya ilişkin istendiği, veri sorumlusu tarafından açıkça belirtilmelidir. İlgili kişiden kişisel verilerinin işlenmesine ilişkin olarak rıza alınırken, ilgili kişinin tüm verilerinin işlenmesine ilişkin ve tüm işleme durumlarıyla ilgili olarak rıza alınmaması gerekir. Yani ilgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez. İlgili kişinin rıza beyanında rızanın kapsamı ve sonuçları da açıkça belirtilmeli, açık uçlu işleme aktivitelerine yer verilmemeli, diğer bir anlatımla ilgili kişiden alınacak rıza sınırlı olmalıdır.

  • Bilgilendirmeye Dayanması: Kişinin bilinçli bir şekilde ve serbest iradeyle rıza gösterebilmesi için, neye rıza gösterdiğini bilmesi, sadece veri işlemenin konusu, amacı ve kapsamı üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Bilgilendirme mutlaka verinin işlemesinden önce yapılmalıdır. Bilgilendirme kapsamında, veri sorumlusunun kimliği, kişisel verilerin hangi amaçlarla işleneceği, ilgili kişinin rızasına neden ihtiyaç duyulduğu, hangi tür verilerin işleneceği, veri işlemenin kapsamı, sonuçları ve açık rızayı geri alma hakkı olduğu hususlarına yer verilmelidir. İlgili kişi neye rıza gösterdiğini anlamış olmalıdır. “Kişisel verilerinizi yeni hizmetler geliştirmek için işlemekteyiz” ya da “Kişisel verilerinizi araştırma amaçlı olarak kullanabiliriz” şeklinde muğlak ifadelerden ve olasılık belirten kelimelerden kaçınılmalıdır. Kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

  • Özgür İradeyle Açıklanması: Kişinin açık rızasının geçerli olabilmesi için yaptığı davranışın bilincinde olması ve gerçekten bir seçim hakkı olması gerekir. Cebir, tehdit, hata, aldatma, korkutma gibi iradesini sakatlayacak haller bulunmamalı ve kişi kendisini rıza vermeye mecbur hissetmemelidir. Rıza vermediği veya verdiği rızayı geri çektiği takdirde bir hizmetten mahrum bırakılmak, ekstra bir masraf yapmak gibi bir sonuçla karşılaşmamalıdır.


Yukarıda belirtilen açık rızanın geçerlilik şartlarından özellikle “belirli bir konuya ilişkin olma” şartı gerçekleşmediğinde karşımıza “battaniye rıza” kavramı çıkmaktadır. Battaniye rıza, veri sahibinden kapsamı ve sınırları belirli olmayacak şekilde kişisel verisinin işlenmesine ilişkin rızasının alınmasıdır. Bu ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır. Bu gibi durumlarda ilgili kişinin işlenecek veya işlenmiş kişisel verileri için önceden toplu bir rıza beyanında bulunmuş olması hukuken geçersiz sayılmalı, bu açık rızaya dayanarak veri işlenmemelidir.


Veri sorumlusu hangi konuya ilişkin, hangi amaçlarla rıza talep ettiğini açıkça belirtmeli, veri sahibi ilgili kişi de verilerinin sadece bu belirli amaçlar için işlendiğinden emin olarak bu doğrultuda çerçevesi belirli bir veri işlemeye rıza göstermelidir. Rıza anlaşılır olmalı, ilgili kişi rızanın kapsamının ve sonuçlarının farkında olmalıdır. Birden fazla kategoriye ilişkin verinin işlenmesi halinde açık rıza, hangi verilerin hangi amaçlarla işleneceği belirtilerek verilmiş olmalıdır.


İşverenlerin işe alım esnasında ya da devamında çalışanlardan, temel amacını belirtmeden tüm işleme faaliyetleri için onay içeren genel, kapsamlı bir açık rıza almaları, battaniye rızaya bir örnektir. Bu tür geniş kapsamlı bir rızanın belirli bir konuyla ilgili olmaması, çalışanların verdikleri rızanın sınırını ve veri işleme faaliyetinin sonuçlarını bilmediğinden verilen rızaya dayalı bir işlem yapılmamalı, verilen rıza hukuken geçersiz sayılmalıdır.


İnternette gezerken karşımıza çıkan “çerez kullanımını kabul ediyorum” seçeneği kabul edilerek açık rızanın alındığı algısını yaratan çerez kullanım şartlarının bulunduğu dijital metnin onaylanması da yine battaniye rıza örneğidir. Elde edilen kişisel verilerin kullanım alanlarındaki belirsizlik ve verilerin işlenmesindeki temel sebep belirtilmeden genel bir başlık altında rıza alınması ilgili kişiler açısından mağduriyet oluşturmaktadır.


Kişisel Verileri Koruma Kurulu da Amazon Türkiye ile ilgili verdiği 2020/173 Sayılı Kararında “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığını, “battaniye rıza” kabul edildiğini belirtmiştir. Özellikle Kanunun 9.Maddesinin 1.Fıkrasında yer alan “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” hükmü doğrultusunda yalnızca Amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının kişisel verilerin aktarılması için Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği kanaatine varılmıştır.


Sonuç

Kişisel verilerin kural olarak açık rıza alınmadan işlenmesi yasak olup, açık rızanın hangi geçerlilik şartlarıyla alınması gerektiği Kanunun 3. Maddesinde belirtilmiştir. Açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür irade ile açıklanmış olması gerekir. Açık rızanın belirli bir konuya ilişkin olması, veri işlemenin bu konu ve amaçla sınırlı olması gerekir. Belirli bir konu ve veri işleme amacı ile sınırlandırılmayan, ucu açık, belirsiz ve genel nitelikteki rıza beyanları “battaniye rıza” kabul edilir ve hukuken geçersizdir. Battaniye rızalar sınırı olmayan geniş kapsamlı rızalar olduğundan ilgili kişiler için mağduriyet yaratmaktadır. Bu rızalar açık rıza olarak nitelendirilemeyeceğinden, verilen battaniye rızaya dayalı işlem yapılmamalı, bu rızalar hukuken geçersiz kabul edilmelidir.


Hukuka uygun açık rıza metinleri ve veri işleme politikaları için Regis her zaman yanınızda.


KAYNAKÇA

'Article 29 Working Party: “Opinion 15/2011 On The Definition Of Consent”, WP 187, 13 Temmuz 2011. (Opinion On Consent)'


'KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Açık Rıza Alırken Dikkat Edilecek Hususlar' (Kvkk.gov.tr, 2021) <https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar>


'KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | “Amazon Turkey Perakende Hizmetleri Limited Şirketi Hakkındaki Başvuru Ile Ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli Ve 2020/173 Sayılı Karar Özeti'


Oastler K, and Fulford N, '"I Do" [Tick] - How To Get Consent Under The GDPR' (2017)


Taşkaya M, and Talay Ö, 'Dijital Gözetimin Pazarlama Amaçlı Aracıları: “Çerezler” Ve Çerez Kullanımında “Açık Rıza”' (2019)


Yiğit N, and Ertekin I, 'Is Explicit Consent A Safer Way Of Processing Data?' (2019)


Comments


bottom of page