Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Yönetmeliği (GDPR) uyarınca, veri işleme faaliyetinin hukuka uygun sayılabilmesi için 'Açık Rıza'nın taşıması gereken unsurlar nelerdir? Her durumda açık rıza alınması zorunlu mudur?

Açık rıza, hem KVKK'da (m. 3) hem de GDPR'da veri işlemenin temel hukuki dayanaklarından biridir. Açık rızanın geçerli sayılabilmesi için şu üç unsuru bir arada taşıması gerekir: 1) Belirli Bir Konuya İlişkin Olma: Rıza, genel bir 'verilerimi işleyebilirsiniz' şeklinde olamaz. Hangi verilerin, hangi amaçla, kim tarafından, ne kadar süreyle işleneceği gibi konuların açıkça belirtilmesi ve rızanın bu belirli konu için alınması gerekir. 2) Bilgilendirmeye Dayanma: Veri sahibine, rıza vermeden önce, veri işlemenin tüm detayları hakkında açık, anlaşılır ve kolayca erişilebilir bir şekilde aydınlatma yapılmış olmalıdır. Veri sahibi neye rıza verdiğini tam olarak bilmelidir. 3) Özgür İradeyle Açıklanma: Rıza, herhangi bir baskı, zorlama veya yanıltma olmaksızın, veri sahibinin serbest iradesiyle verilmelidir. Bir hizmetin veya ürünün sunulmasının, rıza verilmesine şart koşulması (örneğin, 'bu kutucuğu işaretlemezseniz uygulamayı kullanamazsınız') genellikle özgür iradeyi zedeler. Her durumda açık rıza alınması zorunlu değildir. KVKK'nın 5. maddesi ve GDPR'ın 6. maddesi, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi gibi durumlarda açık rıza olmaksızın da veri işlenebileceğini düzenlemiştir. Açık rıza, bu istisnai haller dışında başvurulan bir hukuki sebeptir. (Bkz: KVKK m. 3, m. 5; kalemci.av.tr)