Açık Rıza Nedir?
#3 Veri Güvenliği 101 Serisi
Kişisel verilerin işlenmesinin hukuka uygun olabilmesi için verinin sahibi olan ilgili kişinin, mevzuat tarafından verileri işleyecek olan kişi ya da kuruma izin vermesi gerekiyor.
Bu izinlerin veri güvenliği bakımından karşılığı da “rıza” kavramı olarak karşımıza çıkmakta.
Ancak dikkat edilmesi gereken husus; kişisel verileri işlemek için karşı tarafın rızasına sahip olmanız, bu verileri dilediğiniz gibi kullanabileceğiniz anlamına gelmediğidir.
Ayrıca rıza bakımından unutulmaması gereken bir diğer durum da verilen her rızanın maalesef geçerli olarak kabul edilmediğidir.
Kişisel verilerin işlenmesi için alınan bir rızanın geçerli sayılabilmesi için özgürce, sınırları ve kapsamı belirli bir amaç için, olumlu bir aksiyon alarak verilmiş olması ve gerekli tüm bilgiler verilerek alınmış olması gerekiyor.
Bunlara ek olarak, rızanın usulüne uygun olarak alındığını kanıtlama yükümlülüğü de beraberinde gelmekte.
Rızanın alınma aşamasında başka işlemlerin arasına sıkıştırılmaması, gerekirse ayrı bir belgede alınması, basit bir dil kullanılması, hukuka aykırı bir hüküm içermemesi ve kolayca erişilebilir olması koşullarının hepsi karşılanmalıdır.
Rızanın güç dengesizliği olan taraflar arasında uygulanmasında geçersizlik sebepleri ortaya çıkabiliyor.
İlk akla gelen örnek, işçi-işveren arasındaki güç dengesizliği göz önüne alındığında işçinin verdiği açık rızanın aslında özgür iradeyle verilmemesi sebebiyle geçerli olmayacağıdır. Bu nedenle işverenler çalışan verilerini işlerken açık rızaya dayanmaktan olabildiğince kaçınmalıdırlar.
Ayrıca, uygulamada yaşanan sıkıntılardan biri, aydınlatma metninde yaklaşık beş farklı veri işleme amacı sayıldığı halde, her bir veri işleme amacı için ayrı ayrı rıza alınması gerekirken tüm işleme faaliyetlerinin tek bir rıza üzerinden alınması.
Bu yanlış uygulama yüzünden aslında ben verilerimin bana özel içerik gösterilmesi için analiz edilmesine izin vermek isterken, yurt dışına aktarılmasına izin vermek istemediğim halde yurt dışına aktarım için verdiğim rıza geçerli bir rıza olmayacaktır.
Rızanın geçerliliğini tartışmak için ayrıca bilinmesi gereken kavramlar “opt-in” ve “opt-out” kavramlarıdır.
“Opt-in” dediğimiz husus aktif onay anlamına gelmektedir.
Yani “Kampanyalardan haberdar olmak ister misin?” sorusunu “Evet” olarak cevaplayan bir kişi opt-in yapmış olmaktadır. Ancak kampanya mesajı almak istemiyorsanız tıklayın sorusunu “Evet” olarak cevaplayan bir kişi opt-out yapmış olmaktadır.
Geçerli bir rızadan bahsedebilmek için aktif onay, yani opt-in şeklinde bir seçim sunulması gerekmektedir. Aksi takdirde opt-out seçeneği sunarak verilerin işlenmesi durumunda kullanıcının bu seçeneği görmediği senaryoda haberi olmadan kişisel verileri işleniyor olacaktır.
Bu gibi bir uygulama ile toplanan verilerin daha sonra kişilere pazarlama yapmak amacıyla kullanılması durumunda hukuka aykırı bir işlemeden bahsediyor oluruz.
Rızanın hukuka uygun olması için ilgili kişilerin kişisel verilerinin kim tarafından, nasıl, ne kadar süre ve hangi amaçlarla işleneceğine ilişkin bilgilendirilmiş olması gerekmektedir. Bu bilgilerin ilgili kişilere ne kadar anlaşılabilir bir şekilde sunulduğu ve bu amaçların sınırlarının keskin bir şekilde çizilmiş olması rızanın geçerliliğini etkilemektedir.
Bir diğer önemli nokta ise sunulan bilgilerin kişisel verilerin toplanmasından önce ilgili kişilere sunulması gerekliliğidir.
Websitelerin anasayfalarında kullanmakta olduğu çerezler önceden bilgilendirme kuralının uygulanması bakımından sorunlar yaratmaktadır.
Çoğu şirket, ziyaretçilerin websitelerine giriş yaptıkları anda çerez dosyalarını ilgili kişilerin cihazlarına kurmuş oluyor ve buna ilişkin bilgilendirmeyi sonrasında yapmayı seçiyor. Bunun en büyük nedeni kullanıcılara önceden bilgilendirme yapılması durumunda çoğu kullanıcının çerezlerin kendi tarayıcılarına yerleştirmesine izin vermeyeceğini düşünmeleri.
Çok az şirket çerez dosyalarını kullanıcının tarayacısına göndermeden önce çerez kullanımlarına ilişkin bilgilendirme yapıyor. Çok daha az şirket ise çerez gönderme için varsayılan ayarları kapalı tutuyor ve kullanıcının aktif onay vermesi durumunda çerezleri aktif hale getiriyor.
Çerezler ile toplanan veriler genellikle eşsiz tanımlayıcılar olmaktadır. Eşsiz tanımlayıcıları IP adresleri, MAC adresleri, cihaz isimleri gibi sistemleri ya da cihazlara ilişkin bilgileri içermektedir. Geçmişte bu bilgilerin kullanılması doğrudan tanımlanan kişisel verilerin işlenmesi ile eşit düzeyde tutulmamaktaydı.
Amerika’da çocuk kişisel verilerinin nasıl işlenmesi gerektiğini düzenleyen COPPA isimli düzenlemenin ilk halinde eşsiz tanımlayıcılar kişisel veri olarak kabul edilmemekteydi.
Bu da şirketlerin eşsiz tanımlayıcılar ile çocuklardan yoğun bir şekilde veri toplamasının önünü açtı.
Daha sonra COPPA metninin güncellenmesi ile eşsiz tanımlayıcıların da kişisel veri olduğu ve açık rıza olmadan işlenememesi sağlandı. Bu bilgiler şirketlere genellikle sistemlerin doğru çalışıp çalışmadığını anlamaları ya da hizmetlerin aksamadan sunulması gibi amaçlar için toplanmaktadır.
Aynı zamanda reklam ağları tarafından farklı websitelerinde gezinirken size atanan eşsiz numarayı takip ederek alışkanlıklarınız ve ilgilerinize ilişkin profilleme yapmak için kullanılmaktadır.
Ancak unutulmaması gereken önemli nokta, her eşsiz tanımlayıcının doğrudan kişisel veri olarak kabul edilmemesi gerektiğidir.
Eşsiz tanımlayıcının yalnızca doğrudan bir kişi ile bağlantı kurulmasını sağlaması ve kişinin kimliğini ya da cihazını belirlemeye elverişli olması durumunda kişisel veri olarak kabul edilmelidir.
Mesela bir cihaza ya da kullanıcıya statik bir tanımlayıcı atanması ve bu eşsiz tanımlayıcının bir veya daha fazla kaynaktan bilgi toplayarak bu bilgileri analiz ederek eşsiz tanımlayıcı hakkında bir profilleme yapılması durumunda doğrudan kişisel veri olarak kabul edilmelidir.
Kurum olarak açık rıza ve KVKK ile ilgili yardıma mı ihtiyacınız var?
Size sağladığımız hizmetleri öğrenmek için web sitemizi buradan ziyaret edebilirsiniz: https://verilogy.com
Sorularınız için bize yazmaktan çekinmeyin: info@verilogy.com