KVKK’dan Yeni Karar: Açık Rıza ve Aydınlatma Ayrılıyor

Kişisel verilerin korunması süreçlerinde dijital dönüşüm ve kullanıcı hakları ön plana çıkarken, Kişiisel Verileri Koruma Kurulu (KVKK) veri sorumlularını doğrudan ilgilendiren kritik bir ilke kararına imza attı. Artık internet sitelerinden fiziksel formlara kadar her alanda karşımıza çıkan onay metinlerinde yeni bir dönem başlıyor.

Veri Güvenliğinde Şeffaflık Dönemi: Kurulun İlke Kararı Ne Anlama Geliyor?

Türkiye’de kişisel verilerin korunması mevzuatı, 2016 yılından bu yana sürekli bir gelişim ve denetim süreci içerisinde bulunuyor. Bu sürecin en son ve belki de en somut adımlarından biri, Kişisel Verileri Koruma Kurulu’nun (KVKK) Resmî Gazete’de yayımlanan yeni ilke kararı oldu. Uzun süredir uygulayıcılar arasında tartışma konusu olan ve kullanıcıların “okumadan onayladığı” uzun metinlerin karmaşıklığı, bu kararla birlikte hukuki bir süzgeçten geçiyor. Kurulun tespitlerine göre, birçok veri sorumlusu (şirketler, kamu kurumları, dernekler vb.), kullanıcıya sunduğu bilgilendirme metni ile kullanıcıdan aldığı onay metnini tek bir potada eritiyordu. Bu durum, vatandaşın hangi verisinin neden işlendiğini anlamadan, sadece hizmet alabilmek adına her şeye onay vermesine neden oluyordu.

Yeni kararla birlikte, kişisel veri işleme süreçlerinde “aydınlatma yükümlülüğü” ile “açık rıza” unsurlarının birbirine karıştırılması kesin bir dille yasaklandı. Bu hamle, aslında dijital dünyada sıkça eleştirilen “karanlık tasarımlar” (dark patterns) olarak adlandırılan, kullanıcıyı yanıltmaya yönelik arayüzlerin de önüne geçmeyi hedefliyor. Artık bir platforma üye olurken veya bir hizmet alırken karşımıza çıkan metinler, birbirinden bağımsız ve net birer parça olarak sunulmak zorunda.

Aydınlatma Metni ve Açık Rıza Arasındaki İnce Çizgi

Pek çok kişi için bu iki kavram benzer görünse de, hukuk terminolojisinde ve 6698 sayılı Kanun kapsamında aralarında devasa bir fark bulunmaktadır. Aydınlatma metni, bir veri sorumlusunun veri sahibine karşı yerine getirmekle yükümlü olduğu tek taraflı bir bilgilendirme borcudur. Yani veri sorumlusu size “Ben senin şu verilerini, şu amaçla topluyorum” demek zorundadır. Açık rıza ise, veri sahibinin özgür iradesiyle verdiği bir onaydır.

Bugüne kadar yapılan en büyük hata, bu bilgilendirme metninin sonuna “Okudum, anladım, kabul ediyorum” kutucuğu eklenerek hem bilgilendirmenin yapılmış sayılması hem de rızanın alınmış kabul edilmesiydi. Kurul, bu “ikisi bir arada” modelinin veri sahibinin iradesini sakatladığına hükmetti. Çünkü aydınlatma bir yükümlülükken, rıza bir tercihtir. Kişi bilgilendirilmeyi kabul etmek zorunda değildir (zaten bilgilendirilmek onun hakkıdır), ancak rıza vermeme hakkına her zaman sahip olmalıdır.

[EDİTÖRÜN NOTU / BUNU BİLİYOR MUYDUNUZ?]

• Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
• Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
• Kurulun bu son kararı, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) standartlarıyla uyumu artırmayı hedeflemektedir.

İhbar ve Şikayetlerdeki Artış Kararı Tetikledi

KVKK tarafından yapılan açıklamada, bu kararın alınmasındaki en büyük etkenin kuruma yapılan yoğun ihbar ve şikayetler olduğu belirtildi. Vatandaşlar, özellikle e-ticaret siteleri, bankacılık uygulamaları ve sağlık kuruluşları gibi yoğun veri akışının olduğu alanlarda, metinlerin karmaşıklığından ve ayrıştırılamaz olmasından şikayetçiydi. Kurul, yaptığı incelemelerde veri sorumlularının bu iki metni iç içe sunarak “rıza”yı bir tür hizmet şartı haline getirdiğini saptadı.

Örneğin; bir uygulamanın gizlilik politikasını onaylamadan uygulamayı kullanamıyor olmanız, eğer o politikanın içinde pazarlama amaçlı veri işleme rızası da gizliyse, bu artık hukuka aykırı kabul edilecek. Kullanıcıya, “Aydınlatma metnini okudum” deme şansı verilirken, “Pazarlama verilerimin işlenmesine rıza gösteriyorum” seçeneği ayrı bir kutucuk veya onay mekanizması ile sunulmalıdır.

Veri Sorumluları İçin Kritik Uyum Süreci Başlıyor

Kişisel Verileri Koruma Kurulu’nun bu kararı, sadece bir tavsiye niteliği taşımıyor; aynı zamanda veri sorumluları için yasal bir zorunluluk ve denetim kriteri haline geliyor. Şirketlerin, derneklerin ve tüm veri işleyen yapıların mevcut internet sitelerindeki “Üyelik Sözleşmesi”, “Gizlilik Politikası” ve “Kullanım Koşulları” gibi metinlerini acilen gözden geçirmesi gerekiyor. Özellikle dijital formlarda, kullanıcıdan alınan onayların “toptan” (bundle) şekilde alınması, yani tek bir onay kutucuğu ile hem bilgilendirme yapıldığının beyan edilmesi hem de rıza verilmesi uygulaması artık sona eriyor.

Bu noktada kişisel veri güvenliği uzmanları, teknik altyapıların da bu hukuki değişime ayak uydurması gerektiğini vurguluyor. Web sitelerinde ve mobil uygulamalarda yer alan “checkbox” (onay kutucuğu) tasarımlarının, aydınlatma metnine erişim sağlayan bir bağlantı ve açık rızayı temsil eden ayrı bir onay kutusu şeklinde dizayn edilmesi şart koşuluyor. Eğer bir veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini iddia ederken aynı metin bloğu içine rıza beyanını da gizlerse, bu durum “şeffaflık” ve “dürüstlük” ilkelerine aykırılık teşkil edecek.

Hukuki Yaptırımlar ve İdari İşlem Süreçleri

Resmî Gazete’de yayımlanan ilke kararıyla birlikte, KVKK denetim mekanizmalarını daha da sıkılaştıracağını duyurdu. Kararda açıkça belirtildiği üzere, aydınlatma ve açık rıza metinlerini birbirinden ayırmayan veri sorumluları hakkında Kurul tarafından resen (kendiliğinden) veya şikâyet üzerine idari işlem başlatılabilecek. 6698 sayılı Kanun kapsamında öngörülen idari para cezaları, ihlalin niteliğine ve veri sorumlusunun ölçeğine göre ciddi rakamlara ulaşabiliyor.

Özellikle büyük ölçekli veri işleyen kurumların, milyonlarca kullanıcının verisini toplarken bu ayrımı yapmaması, “hukuka ve dürüstlük kurallarına uygun olma” ilkesinin ihlali olarak değerlendirilecek. Bu durum, sadece para cezasıyla kalmayıp, ilgili veri işleme faaliyetinin durdurulmasına veya hukuka aykırı olarak elde edilen/işlenen verilerin imha edilmesine kadar gidebilecek yaptırımları beraberinde getirebilir. Kurulun bu sert tutumu, veri sorumlularını “kopyala-yapıştır” metinler yerine, her veri işleme amacına özel, spesifik ve anlaşılır metinler hazırlamaya zorluyor.

Açık Rıza Neden “Hizmet Şartı” Olmamalı?

KVKK’nın üzerinde durduğu en hassas noktalardan biri, açık rızanın bir hizmetin sunulması için ön şart haline getirilmemesidir. Örneğin; bir e-ticaret sitesinden alışveriş yapmak isteyen bir kullanıcıya, “Eğer kampanya SMS’leri almayı (açık rıza) kabul etmezsen alışveriş yapamazsın” denilemez. Yeni ilke kararı, aydınlatma metni ile rıza metninin ayrılmasını zorunlu kılarak bu dayatmanın önüne geçiyor.

Kullanıcı, alışveriş süreci için gerekli olan temel verilerin işlenmesine dair aydınlatma metnini okumalı, ancak pazarlama veya üçüncü taraflarla veri paylaşımı gibi “ekstra” rıza gerektiren alanlarda özgürce “Hayır” diyebilmelidir. Bu ayrım yapılmadığında, kullanıcı metnin tamamını onaylamak zorunda kaldığı için rızası “özgür iradeye dayalı” olmaktan çıkmaktadır. KVKK, bu karmaşıklığı gidererek vatandaşın kendi verisi üzerindeki kontrol gücünü artırmayı hedefliyor.

Gelecekte Veri Güvenliği ve Kullanıcı Hakları

Türkiye’de kişisel verilerin korunması bilinci her geçen gün artarken, KVKK’nın aldığı bu tip ilke kararları, veri koruma kültürünün tabana yayılmasında büyük rol oynuyor. Sadece büyük holdinglerin değil, en küçük dijital girişimlerin bile kullanıcı haklarına saygı duyan bir yapı kurması bekleniyor. Bu karar, aynı zamanda veri sorumlularına şu mesajı veriyor: “Veriyi işlemek bir hak değil, sınırları çizilmiş bir sorumluluktur.”

Önümüzdeki dönemde, benzer kararların çerez (cookie) politikaları ve yapay zeka tarafından işlenen veriler için de detaylandırılması bekleniyor. Vatandaşların ise bu yeni dönemde, onay verdikleri kutucuklara daha dikkatli bakmaları ve haklarını aramaları konusunda bilinçlenmeleri kritik önem taşıyor. Eğer bir platformda hala iç içe geçmiş, ayrıştırılmamış metinlerle karşılaşılıyorsa, vatandaşların KVKK’nın şikâyet modülü üzerinden bildirimde bulunma hakkı saklı kalıyor.

Kaynak: BHA