KVKK'ya göre, bir veri sorumlusunun kişisel verileri işleyebilmesi için 'ilgili kişinin açık rızası' kural olmakla birlikte, bu rızanın aranmadığı istisnai hallerden üç tanesini belirtiniz.

KVKK m. 5/2'de düzenlenen ve açık rızanın aranmadığı istisnai hallerden üç tanesi şunlardır: 1) **Kanunlarda açıkça öngörülmesi:** Örneğin, Vergi Usul Kanunu gereği işverenin, çalışanının kimlik ve maaş bilgilerini Maliye'ye bildirmesi. 2) **Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması:** Örneğin, bir e-ticaret sitesinin, satılan ürünü teslim edebilmek için alıcının adres ve iletişim bilgilerini işlemesi. 3) **Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması:** Örneğin, bir bankanın, şüpheli bir işlemi MASAK'a bildirmek için müşteri verilerini işlemesi.