Açık Rıza Şekil Şartına Tabi mi? KVKK’ya Göre Açık Rıza Alma Yöntemleri

1. Açık Rıza Nedir?

Açık rıza; veri işleme faaliyetlerinde bireylerin özgür iradeleriyle, belirli bir konuya ilişkin ve yeterince bilgilendirilmiş olarak verdikleri onayı ifade eder.

Açık rızanın geçerli olabilmesi için:

• Belirli olmalı (hangi veri, hangi amaçla işleniyor?),
• Açık olmalı (örtülü, muğlak, zorlama içeren ifadelerden kaçınılmalı),
• Bilgilendirmeye dayanmalı (kişi, neye evet dediğini anlamalı),
• Özgür irade ile verilmeli (hizmetin haksız şekilde şartına bağlanmaması).

Bu yönüyle açık rıza, bireylerin kişisel verileri üzerindeki kontrol hakkının en görünür araçlarından biridir ve veri koruma hukukunun merkezinde yer alır.

2. Açık Rıza Şekil Şartına Tabi mi?

Açık rıza beyanı, mevzuat bakımından özel bir şekil şartına tabi değildir. Yani kanun, rızanın mutlaka yazılı bir form, belirli bir doküman veya imzalı belge ile alınmasını şart koşmaz.

Önemli olan, açık rızanın:

• Veri koruma yasalarında sayılan unsurları taşıması,
• İspatlanabilir nitelikte olması,
• Veri sahibinin gerçekten anladığı ve kabul ettiği bir irade beyanını yansıtmasıdır.

Bu nedenle:

• Yazılı, sözlü veya elektronik ortamda alınan rızalar geçerli olabilir,
• Ancak rızanın varlığı ve niteliğini sonradan ispatlayabilmek için kayıt altına alma pratikte zorunlu hale gelir.

Özetle: Açık rıza şekil şartına tabi değildir, fakat “nasıl alındığının” ispatı veri sorumlusunun üzerinde olduğu için uygulamada izlenebilir ve arşivlenebilir yöntemler tercih edilmelidir.

3. Açık Rızanın Geçerlilik Unsurları

Açık rıza; şekil şartına bağlı olmasa da, içermesi gereken bazı temel unsurlar vardır.

• Belirli olma:
  Rıza, belirli bir veri işleme faaliyetine yönelik olmalıdır. “Tüm verilerinizi dilediğimiz gibi işleriz” gibi genel ifadeler geçerli kabul edilmez.
• Bilgilendirmeye dayanma:
  Birey; hangi verilerinin, hangi amaçlarla, kimler tarafından, ne kadar süreyle işleneceği, aktarım olup olmayacağı gibi konularda açıkça bilgilendirilmiş olmalıdır.
• Özgür irade:
  Açık rıza, baskı, tehdit, haksız şartlandırma olmadan verilmelidir. “Hizmeti almak için mutlaka rıza vermek zorundasınız” gibi yaklaşımlar, çoğu durumda özgür irade unsurunu zayıflatır.
• Açık irade beyanı:
  Sessizlik, işaretlenmemiş kutucuklar, önceden işaretlenmiş kutucuklar, “çıkmadıysan kabul etmiş sayılırsın” türü mekanizmalar açık rıza sayılmaz. Rıza, olumlu bir irade beyanı içermelidir.

4. Açık Rıza Nasıl Alınabilir? Yöntemler ve Örnekler

Açık rıza, farklı kanallardan ve farklı tekniklerle alınabilir. Mevzuat, şekil konusunda esnek bir yaklaşım benimsemiştir; önemli olan rızanın ispatlanabilir ve geçerli olmasıdır.

4.1. Sözlü Rıza

Çağrı merkezi görüşmeleri, yüz yüze mülakatlar veya saha ziyaretlerinde sözlü rıza alınabilir. Bu durumda:

• Görüşmelerin kayıt altına alınması,
• İlgili kişiye bilgilendirme yapıldığının ses kaydından anlaşılması,
• Hangi amaç ve kapsam dahilinde rıza verildiğinin net duyulması

ispat açısından kritik önem taşır.

4.2. Yazılı Rıza

Islak imzalı formlar, sözleşmelerin ekleri, aydınlatma metni + açık rıza beyanı içeren dokümanlar en klasik yöntemlerdir. Özellikle:

• Hassas süreçlerde (sağlık verileri, pazarlama profillemesi vb.),
• Uzun süre saklanacak iş ilişkilerinde,
• Yüksek riskli işleme faaliyetlerinde

yazılı ve imzalı formlar hem hukuki güvenceyi hem de ispat kolaylığını artırır.

4.3. Elektronik ve Dijital Rıza

Web siteleri, mobil uygulamalar, üyelik formları, e-posta kampanyaları gibi ortamlarda açık rıza şu yollarla alınabilir:

• Boş kutucukların kişinin kendisi tarafından işaretlenmesi (opt-in),
• E-posta üzerinden doğrulama (double opt-in),
• Mobil uygulama içi izin ekranları,
• Çerez banner’larında kategorilere ayrılmış tercih ekranları.

Önemli olan; rızanın önceden işaretli olarak sunulmaması, ilgili kişinin aktif bir eylemle (tıklama, kutucuk işaretleme, butona basma) rızasını vermesidir.

5. Açık Rıza Metinlerinin Nitelikleri

Açık rıza metinleri, açıklık ve anlaşılırlık ilkelerine uygun olarak kaleme alınmalıdır. Aşırı teknik, karmaşık veya hukuk jargonu ile dolu metinler; ilgili kişinin gerçekten neye “evet” dediğini anlamasını zorlaştırır.

İyi tasarlanmış bir açık rıza metni şunları içermelidir:

• İşlenecek kişisel veri türleri (ör. iletişim bilgileri, lokasyon verisi, alışveriş geçmişi),
• Verilerin işlenme amaçları (ör. pazarlama, kampanya bilgilendirmesi, profil analizi),
• Verilerin aktarılacağı alıcı grupları (iş ortakları, grup şirketleri, tedarikçiler),
• Veri işleme ve saklama süresine ilişkin genel çerçeve,
• Rızanın ne zaman ve nasıl geri çekilebileceği,
• İlgili kişinin diğer haklarına (erişim, düzeltme, silme vb.) kısa bir atıf.

Açık rıza beyanı mutlaka olumlu bir irade beyanını içermeli; “istemiyorsanız itiraz edin” şeklindeki opt-out kurgular tek başına açık rıza olarak kabul edilmemelidir.

Kısa, sade ve anlaşılır metinler; hem kullanıcı deneyimini iyileştirir hem de rızanın geçerliliğini güçlendirir. “Okunmayacak kadar uzun” rıza metinleri pratikte risk yaratır.

6. Açık Rızada İspat Yükümlülüğü

Açık rızanın varlığı ve niteliği konusundaki ispat yükümlülüğü, veri sorumlusuna aittir. Yani veri sorumlusu:

• Rızanın ne zaman alındığını,
• Hangi kanalla alındığını (form, çağrı merkezi, uygulama içi ekran vb.),
• Rıza verilirken hangi bilgilendirmenin yapıldığını,
• Rızanın hangi veri işleme faaliyetine ilişkin olduğunu

ortaya koyabilmelidir.

Bu nedenle, pratikte:

• Log kayıtları,
• Çağrı merkezi ses kayıtları,
• İmzalı formlar,
• Onay ekranı ekran görüntüleri, sürüm kayıtları,
• Onay tarih-saat damgası içeren veri tabanı kayıtları

gibi araçlarla rıza alma süreçlerinin belgelendirilmesi büyük önem taşır.

7. Uygulamada Açık Rıza Örnekleri

• E-posta pazarlama listesi:
  Üyelik formunda “Kampanya ve fırsatlardan e-posta yoluyla haberdar edilmek istiyorum.” şeklinde boş bir kutucuk yer alır. Kişi kutucuğu kendi iradesiyle işaretler. Kayıt; tarih, IP ve form versiyonu ile birlikte saklanır.
• Mobil uygulama konum izni:
  Uygulama, açılışta “Size en yakın şubeyi gösterebilmek için konum bilginize ihtiyaç duyuyoruz.” mesajını gösterir ve “Kabul ediyorum / Reddet” butonları sunar. Seçimler uygulama log’larında tutulur.
• Sağlık verisi işleme:
  Özel hastane, hastanın hassas nitelikli sağlık verilerini; tedavi, randevu hatırlatma ve memnuniyet ölçümü için kullanmak üzere ayrı bir açık rıza formu imzalatır ve asılları dosyada saklanır.

Her örnekte ortak nokta: Rıza; belirli bir amaca yönelik, bilgilendirme sonrasında ve ispatlanabilir şekilde kayıt altına alınmıştır.

8. Uyum İçin Kısa Kontrol Listesi

Açık rıza süreçlerinizin sağlıklı olup olmadığını görmek için şu soruları sorun:

• Açık rıza almadan önce ni sunuyor muyuz?
• Rıza metinlerimiz belirli, açık ve anlaşılır mı?
• Önceden işaretli kutucuk, varsayılan “kabul edildi” gibi kurgular kullanmıyor muyuz?
• Rızanın alındığı tarih, saat, kanal ve metin versiyonu kayıt altında mı?
• İlgili kişiye rızasını kolayca geri çekebileceği bir mekanizma sunuyor muyuz?
• Rızaya dayalı işleme yerine başka bir hukuki sebep uygunsa, gereksiz yere rıza istemiyor muyuz?

Bu sorulara “Evet” diyebildiğiniz ölçüde; açık rıza süreçleriniz hem hukuken daha güçlü, hem de kullanıcı deneyimi açısından daha sağlıklı hale gelir.