KVKK’ya Göre Açık Rıza, Onayın Geri Alınması ve İtiraz Hakkı
Bir zamanlar gözetim, çoğunlukla sınır kontrolleri veya kolluk kuvvetlerinin yürüttüğü, kişisel verilere ilişkin rastgele sorgulamalardan ibaretti. Mahremiyet, birçok ülkede olduğu gibi Türkiye’de de saygı duyulan temel bir değer olarak kabul edilir; yalnızca kamu düzeni veya ortak yarar adına sınırlı değişikliklere konu olurdu. Dijitalleşme, büyük veri ve sürekli çevrimiçi olma hâli ile birlikte, bireylerin kişisel verileri üzerinde etkin kontrol sahibi olması artık KVKK ve GDPR gibi düzenlemelerin merkezinde yer alıyor.
KVKK’ya göre, “onay yoksa, veri işleme yok” ilkesi; belirli şartlar altında açık rıza, onayın geri alınması ve itiraz hakkı ile somutlaşır. Bir şirketin pazarlama çalışmaları, bir bankanın risk analizleri, bir e-ticaret şirketinin müşteri verilerini saklama süreleri veya çocukların çevrimiçi oyun ve sosyal medya hesapları, tamamında hukuka uygun, bilinçli ve özgür iradeye dayalı bir rıza kurgusu gerektirir.
Temel prensip: Açık, özgür irade ile verilmiş, belirli bir amaca bağlı ve gerektiğinde
kolayca geri alınabilir bir rıza olmadan kişisel veri işlenemez.
Haklar: Onay vermeme, verdiği onayı istediği an geri alma, meşru menfaat
veya kamu yararı dayanağıyla işleme yapılan durumlarda itiraz etme hakkı.
Odak alanlar: Doğrudan pazarlama, müşteri ilişkileri, çevrimiçi hizmetler, özellikle
çocuklara sunulan dijital hizmetler ve sosyal medya platformları.
Türkiye perspektifi: KVKK, GDPR ile paralel şekilde, veri sorumlusuna değil ilgili kişiye
kontrol ve şeffaflık merkezli bir yapı öngörür.
1. Hukuki Dayanak: KVKK, GDPR ve Açık Rıza
KVKK ve GDPR, kişisel verilerin işlenmesi için sınırlı sayıda hukuki sebep öngörür. Bunlar arasında açık rıza, hem Türkiye’de hem Avrupa Birliği’nde en bilinen ve en sık atıf yapılan hukuki sebeplerden biridir. Ancak tek başına “her durumda başvurulması gereken” bir yol değildir.
KVKK bakımından açık rıza, ilgili kişinin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradesiyle açıklanan onayıdır. GDPR’da da benzer şekilde, açık rıza açık, özgür iradeye dayalı, belirli ve bilgilendirilmiş bir beyan ya da açık olumlu irade açıklaması olmalıdır.
Diğer hukuki sebepler arasında:
- Bir sözleşmenin kurulması veya ifası için veri işlemenin zorunlu olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu veri işleme,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sorumlusunun meşru menfaati, kamu yararı veya resmi yetkinin kullanılması gibi sebepler yer alır.
Dolayısıyla, bir veri işleme faaliyeti planlanırken ilk soru; “Bu işleme için gerçekten açık rızaya ihtiyaç var mı, yoksa KVKK m.5/2 kapsamındaki diğer hukuki sebeplerden biri uygulanabilir mi?” olmalıdır. Açık rıza alınacaksa, sürecin tasarımı, bilgilendirme yükümlülüğü ve geri alma mekanizmaları baştan kurgulanmalıdır.
2. “Onay Yok, Veri İşleme Yok” İlkesi ve Açık Rızanın Koşulları
Bir şirket veya kuruluş sizden izin istediğinde, örneğin bir onay formu imzalayarak veya bir web sayfasındaki net “evet/hayır” seçeneğinden “evet”i işaretleyerek, bunu kabul ettiğinizi gösteren açık bir eylemde bulunmanız gerekir. Özellikle e-ticaret siteleri, mobil uygulamalar ve e-posta pazarlaması için Türkiye’de de benimsenen yaklaşım; önceden işaretli kutulara dayanmayan, aktif onay modelidir.
Örneğin, pazarlama e-postaları almak istemediğinizi söyleyen bir kutuyu işaretleyerek yalnızca devre dışı bırakma (opt-out) seçeneği sunulması yeterli değildir. Kişisel verilerinizin bu amaçla saklanmasını ve/veya yeniden kullanılmasını, sizin açık ve olumlu bir eylemle seçmeniz ve kabul etmeniz gerekir.
2.1. Açık Rızadan Önce Zorunlu Bilgilendirme
Katılmaya karar vermeden önce, ilgili kişiye aşağıdaki bilgilerin açık, anlaşılır ve sade bir dille sunulması gerekir:
- Verilerinizi işleyecek şirket/kuruluşun unvanı ve iletişim bilgileri,
- Varsa Veri Koruma Görevlisi’nin (DPO) iletişim bilgileri,
- Şirket/kuruluşun kişisel verilerinizi kullanma nedeni (işleme amaçları),
- Kişisel verilerinizi ne kadar süreyle saklamayı planladıkları veya bu süreyi belirleyen kriterler,
- Kişisel verilerinizi alacak olan üçüncü taraf şirket veya kuruluşların kategorileri,
- Veri koruma haklarınız (erişim, düzeltme, silme, işleme kısıtlama, itiraz, onayın geri alınması, şikâyet hakkı) hakkında bilgi.
| Bilgilendirme Başlığı | Açıklama | Uygulama Örneği (TR) |
|---|---|---|
| Veri sorumlusu ve iletişim | Şirket unvanı, adres, iletişim kanalları ve varsa DPO bilgisi | İstanbul merkezli bir e-ticaret şirketinin iletişim sayfası ve KVKK aydınlatma metni |
| İşleme amaçları | Verilerin hangi amaçla kullanılacağı (pazarlama, müşteri hizmetleri, analiz vb.) | Müşterilere kampanya ve duyuru göndermek için e-posta adresinin kullanılması |
| Saklama süresi | Verilerin ne kadar süre tutulacağı veya süre belirleme kriterleri | Son etkileşimden itibaren 2 yıl boyunca pazarlama verisinin saklanması |
| Alıcılar | Verilerin paylaşıldığı grup veya şirket kategorileri | Türkiye içindeki bulut hizmet sağlayıcısı ve pazarlama ajansı |
| Haklar ve şikâyet | Veri koruma hakları ve başvuru/şikâyet mekanizmaları | KVKK başvuru formu, e-posta adresi ve Kişisel Verileri Koruma Kurumu’na şikâyet kanalları |
2.2. Açık Rızanın Geçerli Sayılması İçin Aranılan Özellikler
Açık rızanın geçerli olabilmesi için aşağıdaki şartları birlikte taşıması beklenir:
- Belirli: Rıza, genel ve belirsiz bir ifadeye değil, belirli bir işleme amacına yönelik olmalıdır.
- Bilgilendirmeye dayalı: İlgili kişi, neye rıza verdiğini anlayabilecek düzeyde bilgilendirilmiş olmalıdır.
- Özgür irade: Rıza, baskı, zorlama veya hizmetten dışlanma tehdidi altında verilmemeli; “hizmeti kullanabilmek için mecburen onaylamak zorunda kalma” durumu yaratılmamalıdır.
- Açık olumlu eylem: Kutunun işaretlenmesi, butona basılması gibi aktif bir eylem içererek verilmelidir; sessizlik veya hareketsizlik rıza sayılmaz.
- Geri alınabilir: Rızanın geri alınmasının, verilmesi kadar kolay olması gerekir.
3. Rızanın Geri Alınması ve İtiraz Hakkının Kullanılması
Daha önce bir şirket veya kuruluşun kişisel verilerinizi kullanmasına izin verdiyseniz, veri sorumlusu ile iletişime geçerek bu izni dilediğiniz zaman geri alabilirsiniz. Rızanızı geri çektiğiniz andan itibaren şirket, ilgili amaç bakımından kişisel verilerinizi artık kullanamaz; bu durum KVKK ve GDPR’da temel bir hak olarak korunur.
3.1. Rızanın Geri Alınması: Pratik Örnekler
- E-posta alt kısmındaki “abonelikten çık” linkine tıklayarak pazarlama iletilerini durdurma,
- Mobil uygulama içi ayarlardan kişiselleştirilmiş reklam iznini kapatma,
- Müşteri hizmetlerine e-posta göndererek kampanya ve duyuru amaçlı veri işlenmesini sonlandırma talebinde bulunma,
- Veri sorumlusunun web sitesindeki KVKK başvuru formu aracılığıyla rızanın geri alındığını bildirme.
Bu taleplerin, KVKK’ya uygun şekilde makul süre içinde ve ücretsiz olarak sonuçlandırılması; ilgili kişiye yazılı veya elektronik ortamda yanıt verilmesi beklenir.
3.2. Meşru Menfaat, Kamu Yararı ve İtiraz Hakkı
Bir kuruluş kişisel verilerinizi, kendi meşru menfaati temelinde veya kamu yararı ya da resmi bir makam adına yürütülen bir görevin parçası olarak işlediğinde, itiraz etme hakkınız olabilir. Örneğin:
- Dolandırıcılık önleme amacıyla yapılan risk analizlerine,
- Kurumsal itibar yönetimi veya güvenlik kamerası kayıtları gibi güvenlik süreçlerine,
- İstatistiki raporlama veya bilimsel araştırma çalışmalarına
veri sorumlusunun dayanağı meşru menfaat veya kamu yararı olabilir. Bazı özel durumlarda, kamu yararı ağır bastığı için veri işleme faaliyeti devam edebilir; özellikle bilimsel araştırma ve istatistik gibi alanlarda bu durum söz konusu olabilir. Buna rağmen, veri minimizasyonu, anonimleştirme ve şeffaflık ilkeleri her zaman geçerliliğini korur.
3.3. İlk İletişim Anında İtiraz Hakkının Bildirilmesi
Her durumda, bir şirket veya kuruluş sizinle ilk kez iletişime geçtiğinde, kişisel verilerinizin kullanımına itiraz etme hakkınız konusunda bilgilendirilmeniz gerekir. Özellikle doğrudan pazarlama mesajları, çağrı merkezleri veya SMS/e-posta kampanyalarında;
- Kolayca erişilebilen bir “vazgeç/abonelikten çık” linki,
- Açıkça belirtilmiş itiraz kanalları (e-posta, form, çağrı merkezi),
- Gereksiz kişisel veriler olmadan hızlı işlemeye imkân veren süreç tasarımları
itiraz hakkının etkin şekilde kullanılabilmesi için kritik öneme sahiptir.
4. Doğrudan Pazarlama, Meşru Menfaat ve Örnek Senaryolar
Belirli markaları veya ürünleri tanıtan doğrudan pazarlama e-postaları için kural olarak önceden onayınız gerekir. Bu, e-bültenler, kampanya SMS’leri, mobil bildirimler ve sosyal medya üzerinden yapılan kişiselleştirilmiş reklam çalışmaları için de geçerlidir.
4.1. Mevcut Müşteriler ve Benzer Ürün/Hizmet Pazarlaması
Eğer belirli bir şirketin mevcut müşterisiyseniz, şirket size kendi benzer ürün veya hizmetleri hakkında doğrudan pazarlama e-postaları gönderebilir. Örneğin:
- İstanbul’da faaliyet gösteren bir perakende markasından yaptığınız alışveriş sonrasında, markanın size benzer ürünler için kampanya bilgisi göndermesi,
- Bir SaaS hizmeti için kaydolduktan sonra, aynı hizmete ilişkin üst paket kampanyalarının duyurulması
meşru menfaat kapsamında değerlendirilebilir. Ancak her durumda; istediğiniz anda doğrudan pazarlamaya itiraz edebilme ve verilerinizin bu amaçla kullanılmasını durdurabilme hakkınız vardır. Şirket, bu tür doğrudan pazarlamaya itiraz ettiğiniz anda verilerinizi pazarlama amacıyla kullanmayı derhal durdurmak zorundadır.
4.2. Kurumsal Örnek Senaryolar
Türkiye’de KVKK’ya uyum sağlamak isteyen şirketler için, doğrudan pazarlama ve meşru menfaat ilişkisi şu örneklerde somutlaştırılabilir:
- Senaryo 1 – E-ticaret: Ankara merkezli bir e-ticaret şirketi, yalnızca onay vermiş müşterilere kampanya e-postası gönderir; abonelikten çıkan müşterinin verisini pazarlama amaçlı kullanmayı durdurur, ancak fatura ve muhasebe kayıtlarını hukuki yükümlülük gereği saklamaya devam eder.
- Senaryo 2 – Finans: Bir banka, mevcut müşterisine sunduğu kredi kartının limit güncellemeleri için bilgilendirme yaparken, yeni ürün tanıtımları için ayrıca açık rıza alır.
- Senaryo 3 – B2B Pazarlama: Bir yazılım şirketi, ticari e-posta adreslerine çözümlerini tanıtırken, alıcıya kolayca erişilebilir bir itiraz/çıkış mekanizması sunar ve talep hâlinde veri işlenmesini durdurur.
5. Uyum, Riskler ve Çocuklara Yönelik Özel Kurallar
Açık rıza, onayın geri alınması ve itiraz hakkı süreçlerinin yanlış veya eksik kurgulanması; hem KVKK’ya aykırılık riski hem de kurumsal itibar kaybı anlamına gelir. Özellikle büyükşehirlerde (İstanbul, Ankara, İzmir vb.) yoğun müşteri verisi işleyen şirketler için, veri koruma uyumu artık bir rekabet avantajı hâline gelmiştir.
5.1. Başlıca Uyum Riskleri
- Açık rızanın, genel ve belirsiz ifadelerle alınması; belirli bir amaca bağlanmaması.
- Rızanın geri alınmasını, verilmesinden daha zor hâle getiren süreç ve arayüz tasarımları.
- İtiraz hakkı hakkında ilk iletişimde bilgilendirme yapılmaması ve şeffaflık ilkesinin ihlali.
- Çocuklara yönelik çevrimiçi hizmetlerde ebeveyn onayı alınmadan kişisel verilerin işlenmesi.
- Meşru menfaat gerekçesiyle aşırı ve orantısız veri işleme uygulamaları.
5.2. Çocuklar İçin Özel Kurallar
Çocuklarınız sosyal medya, müzik veya oyun indirme gibi çevrimiçi hizmetleri kullanmak istediğinde, bu hizmetler çocuğun kişisel verilerini işlediği için çoğu durumda ebeveynlerin veya yasal vasilerin onayı gerekir. KVKK ve GDPR yaklaşımı, çocukların kişisel verileri söz konusu olduğunda daha yüksek koruma standardı benimser.
Genel olarak:
- Çocuğun belirli bir yaştan küçük olması hâlinde (örneğin 16 yaş), hizmet sağlayıcı ebeveyn/yasal vasi onayı almak zorundadır.
- Avrupa Birliği’nde bu yaş sınırı ülkelere göre 13–16 arasında değişebilir; benzer şekilde Türkiye’de de çocukların kişisel verilerinin işlenmesinde ebeveyn rızası ve üstün yarar ilkesi esas alınır.
- Onayın gerçekten ebeveyn tarafından verildiğini doğrulamak için, örneğin ebeveynin e-posta adresine gönderilen doğrulama mesajı gibi kontrollerin etkin şekilde tasarlanması gerekir.
Çocuk 16 yaşından (veya ilgili ülkenin belirlediği yaştan) sonra belirli durumlarda kendi açık rızasını verebilecek duruma gelse bile; ilgili hizmet sağlayıcılar, çocuklara yönelik pazarlama ve profil çıkarma faaliyetlerinde ölçülülük, şeffaflık ve üstün yarar ilkelerine sıkı sıkıya bağlı kalmalıdır.
6. Sık Sorulan Sorular
Onay vermediysem kişisel verilerim yine de işlenebilir mi?
Bir veri işleme faaliyeti yalnızca açık rızaya dayanıyorsa, onay vermediğiniz sürece işlenmemelidir. Ancak bazı durumlarda; sözleşmenin ifası, hukuki yükümlülük, kamu yararı veya meşru menfaat gibi diğer hukuki sebepler nedeniyle verileriniz rızanız olmaksızın da işlenebilir. Önemli olan, hangi amaç için hangi hukuki sebebe dayanıldığı ve bunun size şeffaf biçimde açıklanmış olmasıdır.
Onayımı geri alırsam geçmişte yapılan işlemler ne olacak?
Rızanızı geri almanız, kural olarak ileriye dönük sonuç doğurur. Şirket, rızaya dayalı işleme faaliyetini sona erdirmeli ve ilgili amaç bakımından veri işlemeyi durdurmalıdır. Ancak mevzuattan doğan saklama yükümlülükleri (örneğin vergi mevzuatı, ticari defterler, fatura kayıtları gibi) kapsamında bazı veriler, rızadan bağımsız olarak belirli sürelerle saklanmaya devam edebilir.
İtiraz hakkımı nasıl kullanabilirim?
İtiraz hakkınızı; veri sorumlusuna yazılı olarak, e-posta yoluyla veya ilgili şirketin sunduğu KVKK başvuru kanalları üzerinden kullanabilirsiniz. Doğrudan pazarlama özelinde ise, e-postalardaki “abonelikten çık” linkleri, SMS’lerdeki iptal kodları veya mobil uygulama ayarları üzerinden pratik şekilde itiraz hakkınızı kullanmanız mümkündür.
Çocuğumun verileri için özelleşmiş bir koruma var mı?
Evet. Çocuklara sunulan çevrimiçi hizmetlerde, çocukların kişisel verileri söz konusu olduğunda, ebeveyn veya yasal vasi onayı ve çocuğun üstün yararı esastır. Hizmet sağlayıcıların; yaş doğrulama mekanizmaları kurması, ebeveyn rızasını etkin biçimde kontrol etmesi ve hedefli pazarlama gibi faaliyetlerde çok daha ölçülü ve korumacı bir yaklaşım benimsemesi beklenir.
Mevcut müşterisi olduğum bir şirket bana onayım olmadan kampanya gönderebilir mi?
Belirli koşullar altında, mevcut müşterisi olduğunuz bir şirketin size benzer ürün veya hizmetleri için pazarlama mesajı göndermesi meşru menfaat kapsamında değerlendirilebilir. Ancak size, her iletişimde kolay erişilebilir bir vazgeç/itiraz kanalı sunulmalı ve itiraz ettiğiniz anda verileriniz pazarlama amacıyla işlenmeye son verilmelidir.
