Açık Rıza Olmaksızın Kişisel Veri İşlemek Hangi Hukuki Sonuçları Doğurur?
Giriş
Kişisel verilerin işlenmesi, bireyin temel hak ve özgürlükleriyle doğrudan ilişkili olup, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde sıkı şekilde denetlenmektedir. Bu bağlamda “açık rıza” kavramı, veri işleme faaliyetlerinin hukuka uygunluğu açısından kritik bir eşiği ifade eder.
Bu makalede, açık rızanın ne olduğu, hangi hallerde gerekli olduğu, rıza olmaksızın yapılan veri işlemenin doğurduğu hukuki, cezai ve idari sonuçlar, örnek bir kurgu ile açıklanacak ve şirketler açısından riskler ele alınacaktır.
1. Açık Rıza Nedir?
KVKK m.3’te açık rıza şu şekilde tanımlanır:
“Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”
Açık Rızanın Unsurları:
-
Belirli olması: Hangi veriler, hangi amaçla, kim tarafından işlenecek?
-
Bilgilendirmeye dayanması: Kişiye aydınlatma yapılmış mı?
-
Özgür irade: Zorlama, aldatma veya dayatma olmadan verilmiş mi?
Örnek (Uyumlu Rıza):
Bir e-ticaret sitesine üye olurken “E-posta adresimi kampanyalardan haberdar olmak için işleyebilirsiniz.” kutucuğunu işaretleyen kişi açık rıza vermiş olur.
2. Açık Rıza Hangi Hallerde Gereklidir?
a) Genel Kural: Açık Rıza Şartı
KVKK m.5/1’e göre, kişisel veriler, ancak ilgili kişinin açık rızasıyla işlenebilir.
b) İstisnalar (Açık Rıza Aranmayan Haller)
KVKK m.5/2’de sayılan hallerde açık rıza aranmaz. Örnekler:
-
Kanunlarda açıkça öngörülmesi
-
Bir sözleşmenin kurulması veya ifası için zorunlu olması
-
Hukuki yükümlülüğün yerine getirilmesi
-
İlgili kişinin kendisi tarafından alenileştirilmiş olması
-
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için gerekli olması
Bu istisnalar dar yorumlanmalıdır. Her veri işleme, bu istisnalara dayandırılamaz.
3. Açık Rıza Olmaksızın Veri İşlemenin Hukuki Sonuçları
a) İdari Yaptırımlar
KVKK m.18 uyarınca;
-
Aydınlatma yükümlülüğüne aykırılık: TL bazında idari para cezası
-
Açık rıza olmadan veri işleme: Ciddi idari yaptırımlar
-
Silinmesi gereken verileri silmemek: Cezai yaptırımlar
2025 yılı için KVKK tarafından uygulanan idari para cezaları 1.000.000 TL’ye kadar çıkabilmektedir.
b) Hukuki Sorumluluk
İlgili kişi, kişisel verileri hukuka aykırı işleyen veri sorumlusuna karşı:
-
Maddi tazminat
-
Manevi tazminat
-
Verilerin silinmesi ve imhası
-
Kullanımın durdurulması
talebiyle Asliye Hukuk Mahkemesi nezdinde dava açabilir.
c) Cezai Sorumluluk
Her ne kadar KVKK doğrudan ceza hükmü içermese de, TCK m.135-140 kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, paylaşılması ve silinmemesi hallerinde sorumlular hakkında 1 yıldan 4 yıla kadar hapis cezası gündeme gelebilir.
4. Kurgusal Örnek Olay: Medika Güzellik Merkezi A.Ş.
Olay Özeti
İstanbul’da faaliyet gösteren Medika Güzellik Merkezi, danışanlarına sunduğu hizmetler sırasında onların:
-
Kimlik bilgilerini
-
Cilt analiz fotoğraflarını
-
Alerji geçmişlerini
-
Estetik geçmişlerini
toplamaktadır. Ayrıca sosyal medya hesabında “öncesi/sonrası” görsellerini açık rıza almadan paylaşmaktadır.
İhlalin Ortaya Çıkması
Bir danışan, kendi yüz fotoğrafının Instagram’da rızası olmadan yayımlandığını fark eder ve KVKK’ya şikâyette bulunur.
Denetim ve Tespitler
-
Aydınlatma metni yok
-
Açık rıza formları eksik veya bulunmuyor
-
Fotoğraflar alenileştirilmeden paylaşılmış
-
Veri envanteri oluşturulmamış
Sonuçlar
-
400.000 TL idari para cezası
-
İlgili danışanın açtığı manevi tazminat davasında 25.000 TL tazminata hükmedilir
-
Kurumsal itibar zarar görür
-
Instagram hesabı kapatılır
5. Pratikte Şirketler İçin Risk Yönetimi
a) Açık Rıza Sürecini Yazılı Hale Getirin
Her müşteriden alınacak veriler için ayrı ayrı kutucuklar, imzalı formlar, çift aşamalı dijital onaylar oluşturulmalıdır.
b) Aydınlatma Metnini Güncelleyin
Web sitesi, mobil uygulama ve fiziksel alanlarda açık ve sade aydınlatma metinleri kullanılmalıdır.
c) Özel Nitelikli Verilerde Ekstra Özen Gösterin
Sağlık, cinsel yaşam, biyometrik veri gibi bilgiler işleniyorsa, rıza daha katı biçimde alınmalı; veri saklama süresi net olarak belirlenmelidir.
d) Sosyal Medya Kullanımı İçin Ek Rıza Alın
Bir kişinin verisini dijital platformda paylaşmak için ayrık, açık ve yazılı onay alınmalıdır. “Whatsapp’ta gönderdim zaten” yeterli değildir.
6. GDPR Açısından Uyum Farkları
Avrupa merkezli müşterilerle çalışan şirketler için GDPR kapsamında ek yükümlülükler de doğar:
| Kriter | KVKK | GDPR |
|---|---|---|
| Açık Rıza | Belirli, açık, özgür | Ek olarak ayrıştırılmış, yazılı |
| Veri İhlal Bildirimi | Kurul’a bildirim, kamuya gerekmez | 72 saat içinde yetkili otoriteye ve ilgiliye bildirim şart |
| Veri Taşınabilirliği Hakkı | Kısıtlı | Geniş kapsamlı |
| Ceza Miktarları | 1 milyon TL’ye kadar | 20 milyon € veya cironun %4’ü |
7. Uyum Stratejileri: Kurumlar Ne Yapmalı?
-
Veri haritalaması yapılmalı
-
Rıza yönetim sistemleri kurulmalı (özellikle dijital ortamlarda)
-
Eğitim ve politika güncellemeleri yapılmalı
-
Denetim ve kayıt sistemleri aktif hale getirilmeli
-
Veri sorumlusu ve irtibat kişisi atanmalı
8. Sonuç
Açık rıza, kişisel verilerin işlenmesinde sadece bir formalite değil, bireyin anayasal düzeyde korunan kişilik hakkının teminatıdır. Şirketlerin “müşteri deneyimi” adı altında, ticari kaygılarla veya veri tabanı oluşturma amacıyla bireylerden açık rıza almadan veri işlemesi, çok ağır hukuki yaptırımlara yol açabilir. Bu nedenle, açık rızasız veri işlemektense, şeffaf ve hukuka uygun bir veri işleme prosedürü oluşturmak hem hukuki güvenlik hem de kurumsal sürdürülebilirlik açısından zorunluluktur.
Hukuk Fakültesi Öğrencisi Gamze Akbulut
About Post Author
