Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) Tanımlar başlıklı 3. maddesi açık rızayı “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlamaktadır. Kanunun bu tanımından açıkça anlaşılacağı üzere, açık rızanın 3 ana unsuru vardır:
Ø Belirli bir konuya ilişkin olması
Ø Rızanın bilgilendirmeye dayalı olması
Ø Özgür irade ile açıklanması
Açık rıza, ilgili kişinin olumlu irade beyanını yansıtmaktadır. Bu sayede veri sahibi açık rıza vererek, işlenecek kişisel verisinin hangi kapsamda, ne amaçla, ne şekilde ve ne süre ile işleneceğini bildiği konusundaki iradesini ortaya koymaktadır. Ancak unutulmamalıdır ki; açık rızanın kanuna ve hukuka uygun şekilde alındığının ispatı veri sorumlusuna aittir. Rızanın yazılı şekilde alınması bir geçerlilik şartı olmamakla birlikte, ispat bakımından büyük önem taşımaktadır.
KVKK, mehaz kanun olan 95/46 EC sayılı Avrupa Birliği Direktifine bağlı kalarak, açık rızanın belirli bir konuya ilişkin olması gerektiğini esas almıştır. Böylelikle veri sahiplerinden alınacak rızanın “battaniye rıza” şeklinde alınmasının önüne geçilmiş olacaktır. Battaniye rıza, veri sahibinden kapsamı ve sınırları belirli olmayacak şekilde kişisel verisinin işlenmesine ilişkin rıza alınmasıdır. Örneğin; “Her türlü bankacılık işlemi kapsamında verilerimin işlenmesine onay veriyorum.” şeklinde bir rıza, belirli bir konuya ilişkin olmadığı için hukuken geçersiz sayılacaktır. Bu nedenle, ilgili kişinin kendisi hakkında halihazırda işlenen ve/veya işlenecek olan verileri için önceden toplu bir rıza beyanında bulunmuş olmasına itibar edilmemeli ve bu geniş rızaya dayanarak işlem tesis edilmemelidir. Bunun yanı sıra, ilgili kişinin sonradan kişisel verilerinin işlenmesine rıza göstermesi, rıza vermesinden önceki işlemleri de geçerli kılmayacaktır.
İkinci olarak, alınan rızanın bilgilendirmeye dayalı olması gerekir. Bu gereklilik, veri sahibinin ne kapsamda ve ne hakkında rıza verdiğini bilmesi ile ilgilidir. Ancak unutulmamalıdır ki, açık rıza veri sahibi bilgilendirildikten sonra alınmalıdır. Açık rıza veren veri sahibi, ne için rıza verdiğini bilmesinin yanında aynı zamanda rıza vermesinin sonuçlarını da bu şekilde öğrenecektir. İlgili kişiler, açık rıza alınmadan önce (i) kişisel verilerinin işlenme şekli, (ii) kişisel verilerinin kim tarafından işleneceği, (iii) kişisel verilerinin hangi süre ile işleneceği hakkında bilgilendirilmelidir.
Son olarak, veri sahibinin olumlu irade beyanını ifade eden açık rıza her türlü irade sakatlığından ari olmalı ve veri sahibinin özgür düşüncesini temsil etmelidir. Veri sahibinin iradesini sakatlayan her türlü durum, rızanın özgür irade ile alınmamış olduğu anlamına gelebilir. Özellikle de tarafların eşit durumlarda bulunmadığı; açık rıza talep edenin, veri sahibine göre daha üst durumda bulunduğu ilişkilerde açık rızanın tamamen özgür iradeye dayalı olarak alınması önem teşkil edecektir. Örneğin; işçi-işveren ilişkilerinde, işçinin gerektiği hallerde verilerinin işlenmesine açık rıza vermediği durumlarda, bu durumun işçinin iş ilişkisi bakımından aleyhine bir durum olacağı düşüncesi hakim ise ve işçiye açık rıza göstermeme imkanının hatırlatılmadığı durumlarda söz konusu rızanın ne derecede özgür irade ile verileceği konusu tartışmaya açık olacaktır. Dolayısıyla; işçinin işe alım esnasında ya da iş ilişkisinin devamı süresince “Her türlü verimin işlenmesine peşinen rıza gösteriyorum.” şeklindeki beyanı da geçerli bir açık rıza sayılmayacaktır.
Yukarıda da belirtildiği gibi açık rızanın alınması KVKK tarafından herhangi bir şekil şartına bağlanmamıştır. Bu nedenle, açık rıza yazılı şekilde ıslak imza ile alınabileceği gibi, opt-in, güvenli elektronik imza gibi yöntemlerle de alınabilir; ancak unutulmamalıdır ki rızanın kanuna ve hukuka uygun olarak alındığının ispatı veri sorumlusuna aittir.
Bu kapsamda, açık rıza metnini hazırlayacak veri sorumluları için dikkat edilmesi gereken noktalardan belli başlıları şunlar olacaktır:
Ø Veri sahibinin açık rızası, kişisel verileri işlenmeye başlamadan önce alınmalıdır.
Ø Alınacak rıza olabildiğince açık ve muğlaklıktan uzak olmalıdır.
Ø Önemli olan açık rıza metninin uzunluğu değil; rızanın ne için alındığının kesin bir dille ifade edilmesidir.
Ø Battaniye rızalardan kaçınılmalıdır.
Ø Rıza hiçbir hizmetin ön koşulu olmamalıdır.
Ø Veri sorumlusunun halihazırda kullandığı açık rıza metinleri kontrol edilmelidir.
Ø Açık rıza metinlerinde veri sorumlusunun kim olduğu açıkça belirtilmelidir.
Ø Matbu rıza metinlerinden kaçınılmalı; rıza metinleri her bir veri sahibi ve işleme şekil ve amacı doğrultusunda şekillendirilmelidir.
Ø Açık rızanın özgür iradeye dayanacak şekilde alındığından emin olunmalıdır. Bu nedenle önceden hazırlanmış ve veri sahibinin rıza verdiğini gösterir metinlerden kaçınılmalıdır.
Ø Veri sahibi tarafından verilerin rızaların her zaman geri çekilebileceği unutulmamalıdır.