KVKK ve GDPR arasındaki temel prensiplerden biri olan 'açık rıza'nın, siber güvenlik bağlamında bir veri ihlali yaşanması durumunda veri sorumlusunun hukuki ve cezai sorumluluğuna etkisi nedir? Veri sorumlusunun, verileri işlemek için geçerli bir açık rıza almış olması, ancak sonrasında yetersiz güvenlik önlemleri nedeniyle verilerin sızdırılması durumunda sorumluluktan kurtulabilir mi?

Hayır, veri sorumlusu sorumluluktan kurtulamaz. 'Açık rıza' ve 'veri güvenliği' KVKK ve GDPR kapsamında iki ayrı ve bağımsız yükümlülüktür. Birinin yerine getirilmiş olması, diğerinin ihlalinden doğan sorumluluğu ortadan kaldırmaz. 1. **Açık Rıza Yükümlülüğü:** KVKK m. 5 ve GDPR m. 6 uyarınca, kişisel verilerin işlenmesinin hukuka uygunluk şartlarından biri, belirli durumlar için veri sahibinden 'açık rıza' alınmasıdır. Bu, verinin işlenmesinin 'hukuki dayanağı' ile ilgilidir. Veri sorumlusu, geçerli bir açık rıza alarak veri işleme faaliyetini hukuka uygun bir temele oturtmuş olur. 2. **Veri Güvenliği Yükümlülüğü:** KVKK m. 12 ve GDPR m. 32 uyarınca, veri sorumlusu, işlediği kişisel verilerin güvenliğini sağlamak için 'gerekli her türlü teknik ve idari tedbiri almakla' yükümlüdür. Bu, verilerin hukuka aykırı olarak işlenmesini, erişilmesini, kaybolmasını veya zarar görmesini önlemeyi amaçlayan pozitif bir yükümlülüktür. **İki Yükümlülüğün İlişkisi:** Bir veri ihlali yaşandığında, veri sorumlusunun sorumluluğu, veri güvenliği yükümlülüğünü yerine getirip getirmediği üzerinden değerlendirilir. Verileri işlemek için başlangıçta geçerli bir açık rıza alınmış olması, veri sorumlusunun sonradan bu verileri koruma görevini ihmal etmesini meşrulaştırmaz. Eğer veri sızıntısı, veri sorumlusunun 'güçlü şifre politikaları, iki faktörlü kimlik doğrulama, güncel antivirüs yazılımları, veri şifreleme' gibi makul ve gerekli güvenlik önlemlerini almaması nedeniyle gerçekleşmişse, veri sorumlusu KVKK m. 12'yi ihlal etmiş sayılır. Bu ihlal, Kişisel Verileri Koruma Kurulu tarafından idari para cezaları (KVKK m. 18) ile yaptırıma tabi tutulabilir. Ayrıca, zarar gören veri sahipleri, maddi ve manevi tazminat davası açma hakkına da sahip olurlar. Dolayısıyla, açık rıza, veriyi işleme iznidir; veriyi koruma yükümlülüğünü ortadan kaldıran bir kalkan değildir.