Kişisel verilerin korunmasına ilişkin Anayasa m.20/3'ün, 'kişinin açık rızası' şartını, veri işleme faaliyetleri için bir hukuka uygunluk nedeni olarak düzenlemesinin, bu rızanın geçerlilik koşulları (özgür irade, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olma) açısından ne anlama geldiğini, AB Genel Veri Koruma Tüzüğü (GDPR) ilkeleriyle de ilişkilendirerek tartışınız.

Anayasa m.20/3'te belirtilen 'kişinin açık rızası', kişisel verilerin işlenmesini hukuka uygun hale getiren temel hukuka uygunluk nedenlerinden biridir. Ancak bu rızanın geçerli sayılabilmesi için, uluslararası standartlar ve özellikle GDPR ilkeleriyle de uyumlu olarak bazı koşulları taşıması gerekir: **1) Özgür İradeye Dayanma:** Rıza, herhangi bir baskı, zorlama veya yanıltma olmaksızın, kişinin özgür iradesiyle verilmelidir. Örneğin, bir hizmetin sunulmasının, o hizmetle ilgisi olmayan bir veri işleme faaliyetine rıza verilmesi şartına bağlanması (bağlı rıza), rızanın özgürce verilmediğini gösterir. **2) Belirli Bir Konuya İlişkin Olma:** Rızanın, hangi verilerin, hangi amaçla, ne kadar süreyle işleneceği gibi konuları kapsayacak şekilde 'belirli' olması gerekir. 'Tüm kişisel verilerimin her türlü amaçla işlenmesine rıza gösteriyorum' gibi genel ve kapsamı belirsiz bir rıza, geçerli kabul edilmez. **3) Bilgilendirmeye Dayalı Olma (Aydınlatılmış Onam):** Veri sahibinin, rıza vermeden önce, veri sorumlusu tarafından veri işleme faaliyetinin tüm detayları hakkında (kimin işleyeceği, amaç, süre, aktarılacağı yerler, hakları vb.) açık ve anlaşılır bir şekilde bilgilendirilmesi (aydınlatılması) zorunludur. Kişi, neye rıza gösterdiğini tam olarak bilmelidir. Bu koşulları taşımayan bir 'açık rıza', hukuken geçersizdir ve veri işleme faaliyetini hukuka uygun hale getirmez (sen.av.tr/tr/makale/kisisel-verilerin-kaydedilmesi).