Hizmetin Açık Rıza Şartına Bağlanması: “Ya Onay Ver Ya Hizmet Alma” Dönemi Kapandı
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli bu karar özetiyle, e-ticaret siteleri, mobil uygulamalar ve her türlü hizmet sağlayıcı için “açık rıza” kullanımının sınırlarını çizmiştir. Karar, özellikle üyelik sözleşmesiyle birlikte sunulan ve kullanıcıyı onay vermeye zorlayan “paket rıza” uygulamalarına karşı ağır yaptırımlar içermektedir.
1. Olayın Özeti: Rıza mı, Dayatma mı?
Olay: Bir veri sorumlusu (şirket/platform), sunduğu hizmetten yararlanmak veya üye olmak isteyen kullanıcılardan “açık rıza” talep etmiştir. Ancak bu rızayı, üyeliğin veya hizmetin bir ön koşulu olarak sunmuştur. Yani kullanıcı onay kutucuğunu işaretlemediği sürece sisteme üye olamamış veya hizmet alamamıştır.
Ayrıca şirket, zaten “sözleşmenin kurulması ve ifası” (Md. 5/2-c) gereği işlemesi gereken veriler için bile kullanıcıdan ekstradan “açık rıza” istemiştir.
2. Kurulun Hukuki Değerlendirmesi: “Sakatlanmış İrade”
Kurul, bu uygulamayı KVKK’nın temel felsefesi üzerinden şu şekilde analiz etmiştir:
- Hizmetin Şarta Bağlanması: Bir hizmetin sunulması, o hizmetle doğrudan ilgisi olmayan bir veri işleme faaliyeti için açık rıza verilmesi şartına bağlanamaz. Bu durum rızanın en temel unsuru olan **”özgür irade”**yi ortadan kaldırır. “Ya verini verirsin ya da bu hizmeti kullanamazsın” demek rıza değil, dayatmadır.
- İlgili Kişinin Yanıltılması: Eğer veri işleme faaliyeti zaten Kanun’daki bir şarta (örneğin sözleşmenin ifası veya kanuni yükümlülük) dayanıyorsa, kullanıcıdan ayrıca rıza istenmesi dürüstlük kuralına aykırıdır. Kullanıcı, “onay vermezsem işlem yapılmayacak” zannına kapılarak yanlış yönlendirilir.
- Hakkın Kötüye Kullanılması: Mevzuatta başka bir dayanak varken rıza istenmesi ve bunun bir “bariyer” olarak kullanılması hakkın kötüye kullanılmasıdır.
3. Karar Sonucu: İdari Para Cezası
Kurul, rızayı hizmet şartına bağlayan ve genel ilkeleri (hukuka uygunluk, dürüstlük, ölçülülük) ihlal eden veri sorumlusu hakkında KVKK Madde 18 uyarınca idari yaptırım uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Açık Rıza, Joker Kartı Değildir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, şirketlerin her şeyin altına bir “onay kutucuğu” koyarak kendilerini garantiye aldıklarını sandıklarını görüyoruz. Oysa bu karar gösteriyor ki; gereksiz alınan rıza, başınıza iş açar. Bir e-ticaret sitesinden ayakkabı almak için adresimi vermem “sözleşmenin ifası”dır; bunun için benden ayrıca rıza isteyemezsiniz. Ama o adresimi “reklam ortaklarımla paylaşacağım” diyorsanız, işte o zaman rıza istemelisiniz ve ben o rızayı vermesem bile o ayakkabıyı alabilmeliyim.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Üyelik ekranlarınızdaki onay kutucuklarını birbirinden ayırın. “Üyelik Sözleşmesini Okudum” kutucuğu zorunlu olabilir, ancak “Verilerimin işlenmesine ve pazarlama mesajlarına onay veriyorum” kutucuğu isteğe bağlı (opsiyonel) olmalıdır. Kullanıcıyı o kutucuğu işaretlemeye zorladığınız an, Kurul nezdinde “geçersiz rıza” ve “ölçüsüz veri işleme” suçlamasıyla karşı karşıya kalırsınız.
Sıkça Sorulan Sorular
1. Bir uygulamaya üye olurken “onay” vermezsem üye yapmıyorlar, bu yasal mı?
Eğer istenen onay sadece hizmetin verilmesi için zorunlu olan verileri (örneğin fatura için isim-adres) aşıp pazarlama gibi amaçlar taşıyorsa, bu uygulama Kurul kararına göre hukuka aykırıdır.
2. Sözleşmeyi kabul etmek “açık rıza” yerine geçer mi?
Hayır. Sözleşme onayı ile kişisel veri işleme rızası birbirinden farklı hukuki kavramlardır. Sözleşme, o işin yapılması için gerekenleri kapsar; açık rıza ise kişinin “ekstra” veri işleme faaliyetlerine izin vermesidir.
3. “Özgür irade” neden bu kadar önemli?
Çünkü rıza, bir kişinin verisi üzerindeki kontrol hakkıdır. Eğer önünüzde başka bir seçenek bırakılmıyorsa (hizmetten mahrum kalıyorsanız), o irade özgür değildir ve hukuken geçersizdir.
4. Şirketler bu cezadan nasıl kaçınabilir?
Hizmet için gerekli olan verileri “aydınlatma metni” ile bildirip işleyerek; pazarlama, analiz veya üçüncü tarafa aktarım gibi faaliyetleri ise ayrı, isteğe bağlı ve önceden işaretlenmemiş kutucuklarla kullanıcıya sunarak.
5. “Yanıltıcı veri işleme” ne demektir?
Kanunen alması gereken veri için (örneğin kargo göndermek için telefon numarası) “Rıza veriyor musun?” diye sormaktır. Kullanıcı orada bir seçeneği olduğunu sanır, oysa o veri her halükarda alınacaktır. Bu durum dürüstlük kuralına aykırıdır.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 4, 5, 12 ve 18)
- Kurulun Açık Rıza Rehberi
Etiketler
KVKK, Açık Rıza, Hizmet Şartı, Özgür İrade, Dürüstlük Kuralı, Ölçülülük İlkesi, İdari Para Cezası, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Sözleşmenin İfası, Veri İşleme Şartları, Kullanıcı Hakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),