Sanırım Kişisel Verileri Koruma Kanununa (KVKKn) uyum açısından en temel problem, belki de risk, “rıza” alınması durumunda Kanuna uyumun tamamlandığı düşüncesinin hâkim olması.

Rıza alınması, kişisel verilerin "işlenmesi" açısından en temel gereklilik ya da işlemeye en geniş haliyle imkân sağlayan unsur. KVKK'nun 5 ve 6 ncı maddelerinde sırasıyla kişisel ve özel nitelikteki kişisel verilerin işlenmesi; 8 ve 9 uncu maddelerinde ise kişisel ve özel nitelikteki kişisel verilerin aktarılması açısından veri sahibinin rızasının alınması temel şart olarak kaleme alınmış. Genel kural kişisel verilerin işlenmesi ve aktarılması için veri sahibinin rızasının olması. Konu bu açıdan bakıldığında evet, rızanın alınması aslında KVKKnuna uyum konusunda yeterli gibi duruyor.

Ama aslında "rıza" meselesi iki ayrı nedenden ötürü kafaları karıştırıyor gibi.

Bunlardan ilki, rızanın sanki KVKKn da yer alan yegâne yükümlülükmüş gibi algılanması. Hâlbuki en az rıza kuralı kadar önemli başka yükümlülükler var. Örneğin, 12 nci maddedeki verilerin güvenliğinin sağlanmasına ilişkin yükümlülük, 10 uncu maddede düzenlenen "aydınlatma yükümlülüğü", 11 inci maddede düzenlenen bilgi alma hakkı, 13 üncü maddede yer alan veri sorumluları siciline ilişkin yükümlülük, 7nci maddede yer alan imha politikası oluşturma yükümlülüğü vs...velhasıl rıza almanız tek başına KVKKnuna uyum sağladığınız anlamına, ne yazık ki, gelmiyor.

Kaldı ki, kişisel verilerin işlenmesi ve aktarılması için rıza en temel şart olarak öngörülmekle birlikte, KVKKnun 5 inci maddesinde sayılan durumların varlığı halinde kişisel verilerin rıza almaksızın da işlenebileceği (aktarılabileceği) düzenlenmiş. Ancak rıza alınmasına gerek olmaksızın kişisel verilerin işlenebiliyor olması, aynı rıza alınması durumunda olduğu üzere yine KVKKnun tam bir uyum anlamına gelmiyor. Diğer yükümlülükler her iki durumda da varlığını koruyor.

Aslında KVKKnunu sadece kişisel verilerin işlenmesine rıza olarak algılamak sanırım en büyük hatalardan birisi. Rıza olsun ya da olmasın bir kere her şey bir yana kişisel verilerin güvenliğini sağlamanız gerekiyor. Bu anlamda rıza KVKKnuna uyum açısından ne yazık ki sihirli değnek değil.

İkinci ancak daha da önemli sıkıntı ise, rıza alma yaklaşımının tamamen hatalı bir algı üzerine kurgulanmış olması. Evet KVKKn 5, 6, 8 ve 9 uncu maddelerde gerek kişisel verilerin işlenmesi gerekse de aktarılması konusunda veri sahibinin rızası aranmakla birlikte, her durumda rıza alınması da sıkıntılı.

Neyi kast ediyorum açıklayayım. KVKK’nun 5inci maddesinde kişisel verilerin işlenmesi (ve aktarılması) açısından rıza gerekli görülmekle birlikte ikinci fıkrada rıza olmaksızın verilerin işlenebileceği hallere yer verilmiş durumda. İkinci fıkradaki şartların varlığı halinde rıza alınmasına gerek olmaksızın verilerin işlenmesi mümkün.

5nci maddenin ikinci fıkrasında 7 adet istisna sayılmış durumda. Bu istisnalar kişisel verilerin işlenmesinde rıza alınması zorunluluğunu ortadan kaldıran, veri sahibinin rızası olmasa da verilerin işlenebildiği (ya da 8nci madde çerçevesinde aktarılabildiği) durumları tanımlıyor. Tabi bu noktada özel nitelikteki kişisel verilerin işlenmesinde bazı farklılıkların olduğunu söylemek yerine olacaktır ancak konuyu dağıtmamak adına buraya girmek istemiyorum.

Peki istisnalar neler? Özetle; i) veri işlemenin kanunda açıkça öngörülmesi, ii) fiili imkânsızlık, iii) sözleşmenin kurulması ya da ifası için zorunlu olması, iv) herhangi bir hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, v) verinin zaten alenileştirilmiş olması, vi) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, vii) temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Bu istisnaların anlamı kabaca şu; örneğin bir verinin işlenmesi (örneğin alınması) eğer kanuni bir zorunluluk ise bu durumda veri sahibinin rızasının alınması gerekmiyor. Örneklendirmek gerekirse, MASAK mevzuatı açısından finansal kuruluşların hesap açılışında kimlik tespiti yasal bir zorunluluk; yani kişisel veri niteliğindeki kimlik bilgilerinin alınması (işlenmesi) için veri sahibinin rızasının alınmasına gerek bulunmuyor.

Bu detayın ötesinde, daha da ilginç olan, yukarıdaki istisnalar kapsamında verilerin işlenebildiği bir durumda rıza alınmasının KVKKr tarafından “hukuka aykırı” bir veri işleme olarak kabul edilmesi. KVKKr son dönemde paylaşmış olduğu karar özetleri incelendiğinde bir olayda, istisnalardan faydalanmak suretiyle veri işlenebilecek iken rıza alınmasını haksız ve hukuka aykırı bir eylem olarak değerlendirdiği ve veriyi işleyen hakkında idari yaptırıma karar verdiği görülüyor. Bu anlamda olmak üzere, eğer veri işleme (ya da aktarım) sayılan istisnalar kapsamında gerçekleştiril(ebil)iyor ise kesinlikle rıza alınmaması gerekiyor.

Aslında bu yaklaşım gerek genel gerekse de kurumlara verdiğim özel eğitimlerde ısrarla üstünde durduğum bir konunun KVKKr tarafından da teyidi anlamına geliyor.

Temel mantık şu; verilerin işlenmesi sırasında akılda tutulması gerekli 6 adet genel veri işleme ilkesi var. Bu ilkelere Kanunun 4üncü maddesinde yer verilmiş. Bunlar sadece ulusal mevzuatımızda değil aynı zamanda Avrupa Birliği bölgesinde de Mayıs ayı sonunda yürürlüğe girecek GDPR’da da neredeyse aynı şekilde düzenlenmiş. Bunlardan ilki ise, veri işlemenin “hukuka uygun ve dürüstlük kuralları içerisinde” gerçekleştirilmesi… yabancıların “lawfully” ve “fair” olarak ifade ettikleri işlem kalıpları. Veri işleme, hukuk tarafından kabul edilen bir eylem olarak gerçekleştirilmeli ve verisi işlenen kişilere karşı dürüst davranılmalı.

Peki bu ilkenin gereksiz yere rıza alınmasıyla ne alakası var? Şöyle, aslında rıza almanıza gerek yokken rıza alıyor iseniz, veri sahibine karşı dürüst davranmıyorsunuz demektir. Keza veri sahibinin, kendisinden rıza istemeniz nedeniyle, algısı, söz konusu rızayı vermezse verisini işleyemeyeceğiniz şeklinde…halbuki gerçekte slz, o veriyi veri sahibinin rızası olmasa da zaten işliyor ya da işleyebiliyorsunuz…üstüne üstlük rıza vermeme durumunda veri sahibinin karşı karşıya kalabileceği durum ilgili ürün ya da hizmeti alamayacak olması…bu bile başlı başına KVKKr tarafından kabul edilmeyen bir sonuç. KVKKr, herhangi bir ürün veya hizmet sunumunun veri sahibinin kişisel verilerinin işlenmesine rıza vermesi şartına bağlanmasını, rızaya ilişkin iradenin sakatlanacağından hareketle kesinlikle sıcak bakmıyor. Bu nedenle gerek AB bölgesindeki uygulamada gerekse de yayımlanan KVKKr karar özetinden anlaşıldığı kadarıyla, ülkemizde de istisnalardan faydalanmak suretiyle verilerin işlenmesi mümkünken rıza alınması uygulaması hukuka ve dürüstlük kurallarına aykırı bir uygulama olarak kabul edilecek görünüyor.

Peki bunun yaptırımı ne? Aslında 6698 sayılı Kanunda “veri işleme ilkeleri”ne aykırılık açısından öngörülmüş bir idari para cezası bulunmuyor. Ancak KVKKr karar özetinde, ilginç belki de biraz zorlama yoluyla, Kanunun 12nci maddesindeki “veri güvenliği” yükümlülüğüne atıf yapılmış. Özetten detayı anlamak mümkün değil ancak 12nci madde incelendiğinde birinci fıkranın (a) alt bendinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmemesi nedeniyle idari para cezasına hükmedildiğini düşünmek yanlış olmayacaktır sanırım. Keza madem atıf 12nci madde, diğer alt bentler “daha uygulanamaz” gibi geliyor. 12/I(b) hukuka aykırı olarak erişim, 12/I(c) ise kişisel verilerin muhafazasını düzenliyor.

Sonuçta ne yapmak lazım? İlk olarak rıza alıp her şeyi hallettim varsayımını evvel emirde terk etmek gerekiyor…üstüne üstlük işimizi sağlama alıp rıza alalım derken daha sıkıntılı durumlar ile karşılaşmak mümkün…yapılması gereken, Kanunun da aslında istediği, işlenen her verinin hangi hukuki dayanak ile işlendiğini tek tek ortaya koymak, eğer gerçekten istisnalardan faydalanmak söz konusu olamıyorsa ancak bu durumda “rıza” ya başvurmak. Peki rıza nasıl alınacak derseniz, onun da kuralları var…öyle muğlak ve geniş yetkilerle rıza alınması da mümkün değil…bu konu KVKKrnun üzerinde hassasiyetle durduğu bir nokta...rızanın taşıması gereken unsurlar ise ayrı bir tartışma konusu…KVKKnuna uyum o kadar da kolay olmayacak gibi…