Veri gizliliği, dijital dünyada bireylerin en temel haklarından biridir ve bu hakların korunması, farklı onay türleri ile sağlanmaktadır. Ülkemizde bu hakların korunması amacıyla Kişisel Verilerin Korunması Kanunu (KVKK) devreye girmiştir. KVKK, kişisel verilerin işlenmesi sırasında bireylerin haklarını korumayı ve veri sorumlularına çeşitli yükümlülükler getirmeyi amaçlar. Bu bağlamda gizlilik onayı türleri, KVKK ile uyumlu olacak şekilde önemli bir rol oynar. Gizlilik ve veri işleme süreçlerinde, kullanıcıların rızasının nasıl alınacağı ve bu rızanın ne kadar etkili olduğu, veri sorumlularının dikkat etmesi gereken başlıca konulardandır.
- 1. Opt-In Onayı (Açık Rıza)
- 2. Opt-Out Onayı (Reddetme Hakkı veya Çıkış Hakkı Onayı)
- 3. Bilgilendirilmiş Onay
- 4. Granüler Onay (Ayrıntılı Rıza)
- 5. Şartlı Onay
- 6. Geri Çekilebilir Onay
- 7. Açık Onay
- 8. Özel Nitelikli Veriler İçin Onay
- 9. Genel Onay
- 10. Çerez Onayı
- 11. Zaman Sınırlı Onay
- 12. Dinamik Onay
- 13. Ebeveyn Onayı
- 14. Üçüncü Taraf Onayı
- Kaynakça:
İşte KVKK çerçevesinde ele alınabilecek gizlilik onayı türleri ve karşınıza çıkabilecek örnekler;
1. Opt-In Onayı (Açık Rıza)
KVKK’ya göre, kişisel verilerin işlenebilmesi için kullanıcının özgür iradesiyle açıkça onay vermesi gerekmektedir (Madde 5/1). Bu nedenle, veri işleme faaliyetlerinde önceden işaretlenmiş kutucuklar gibi pasif onay yöntemleri yasal olarak geçerli değildir. Kullanıcıların aktif bir eylemde bulunarak onay vermesi, veri işleme sürecinin şeffaf ve kullanıcının kontrolünde olmasını sağlar. Bu tür onay mekanizmaları, kullanıcının verilerinin nasıl kullanılacağı üzerinde daha fazla farkındalık sahibi olmasına imkan tanır.
2. Opt-Out Onayı (Reddetme Hakkı veya Çıkış Hakkı Onayı)
Varsayılan olarak veri toplama işlemine izin verilir, ancak kullanıcılar bu durumu reddetme hakkına sahiptir. KVKK açısından, veri işleme faaliyetinin meşru menfaatlere dayandığı durumlarda bu tür bir yaklaşım benimsenebilir (Madde 5/2-f). Ancak kullanıcının açıkça bu durumu reddetme hakkına sahip olması sağlanmalıdır. Kullanıcıların veri toplama sürecinde otomatik olarak dahil edilmesi, ancak daha sonra bu işlemi durdurabilmesi, veri sorumlularının meşru menfaatleriyle kullanıcının gizlilik hakları arasında bir denge oluşturulmasını sağlar.
3. Bilgilendirilmiş Onay
Kullanıcılara verilerinin nasıl kullanılacağı hakkında detaylı bilgi verilir ve kullanıcılar bu bilgiyi aldıktan sonra onay verir. KVKK, veri sahibinin bilgilendirilmesi gerektiğini vurgulamaktadır (Madde 10); bu, kullanıcının hangi verilerin neden toplandığını ve nasıl kullanılacağını anlaması gerektiği anlamına gelir. Bilgilendirilmiş onay, kullanıcının veri işleme sürecine bilinçli bir şekilde katılmasını sağlar ve veri sorumlusunun şeffaflık yükümlülüğünü yerine getirmesine yardımcı olur. Bu tür bir onay, kullanıcıların veri güvenliği konusundaki farkındalığını artırır ve verilerin toplanma, saklanma ve işlenme süreçlerinde daha fazla güven sağlar.
4. Granüler Onay (Ayrıntılı Rıza)
Kullanıcılar, hangi verilerinin toplanacağı ve işleneceği konusunda tercih yapabilirler. KVKK’ya uygun olarak, veri sahibine belirli veri işleme faaliyetleri için ayrı ayrı onay verme imkânı sunulmalıdır (Madde 4/2-ç). Bu durum, kullanıcının veri üzerindeki kontrolünü artırır ve kanunun getirdiği şeffaflık ilkesine uygundur. Granüler onay, kullanıcılara verileri üzerinde daha fazla denetim sağlar, bu da kullanıcının belirli veri kategorilerini onaylayıp diğerlerini reddetmesine imkan verir. Bu sayede, veri işleme süreçleri daha hassas bir şekilde yönetilir ve kullanıcıların veri gizliliği konusundaki beklentileri daha iyi karşılanır.
5. Şartlı Onay
Kullanıcılar, belirli bir ücretsiz hizmet veya indirme karşılığında pazarlama mesajlarını almayı kabul ederler. KVKK kapsamında, bu tür bir onay, kullanıcının bilgilendirilmiş ve özgür iradesiyle verilmiş olması durumunda geçerli kabul edilir (Madde 5/2-c). Şartlı onay, kullanıcının belirli bir avantaj elde etmesi karşılığında veri işlenmesine izin vermesi anlamına gelir. Bu tür bir onayın geçerli olabilmesi için, kullanıcının bu işlem sonucunda hangi verilerin kullanılacağını ve ne tür pazarlama faaliyetleri ile karşılaşacağını net bir şekilde bilmesi gerekmektedir.
6. Geri Çekilebilir Onay
Kullanıcılar istedikleri zaman onaylarını geri çekebilir ve bu durumda veri işleme işlemi durdurulmalıdır. KVKK’ya göre, kullanıcıların verdikleri açık rızayı diledikleri zaman geri çekme hakkı bulunmaktadır (Madde 7) ve veri sorumlusu bu durumu yerine getirmelidir. Geri çekilebilir onay, kullanıcının veri üzerindeki kontrolünü korumasına olanak tanır ve bu hak, kullanıcıların veri gizliliğine yönelik güvencelerini artırır. Veri sorumlularının, bu tür taleplerin hızlı ve etkili bir şekilde yerine getirilmesini sağlamaları gerekmektedir.
7. Açık Onay
Kullanıcılar, veri işleme işlemine aktif olarak onay verirler, örneğin bir kutucuğu işaretleyerek. KVKK, açık rızanın kullanıcının aktif bir aksiyonu ile verilmiş olmasını şart koşar (Madde 3/a). Bu, kullanıcının gönüllü olarak ve net bir şekilde onay verdiğini gösterir. Açık onay, kullanıcının veri işlemenin her aşamasında bilinçli bir şekilde dahil olduğunu ifade eder ve veri işleme sürecinin şeffaf bir şekilde yürütülmesine katkıda bulunur.
8. Özel Nitelikli Veriler İçin Onay
Sağlık veya biyometrik gibi hassas veriler için ek onay gereklidir. KVKK, bu tür özel nitelikli kişisel verilerin işlenmesinde daha katı düzenlemeler öngörmekte ve kullanıcının açık rızasının alınmasını zorunlu kılmaktadır (Madde 6). Özel kategori verilerin işlenmesi, kullanıcının mahremiyetine ciddi bir etki yaratabileceğinden, bu konuda ekstra koruma ve bilgilendirme gereklidir. Kullanıcıların bu tür hassas veriler üzerindeki haklarının korunması, veri güvenliğinin sağlanmasında kritik bir öneme sahiptir.
Bu tarz özel nitelikli verilerin kullanılmasına yönelik onayların alttaki örnekler gibi kolayca verilmemesi gerektiğine ve bu gibi durumların e-imza veya ıslak imza ile alınmasının zorunlu olması gerektiğini düşünüyorum.
9. Genel Onay
Gelecekteki tüm veri işleme faaliyetleri için geniş ve genel bir onay anlamına gelir. Ancak KVKK, bu tür genel rızaların belirsizliğe yol açmaması gerektiğini ve rızanın hangi veri işleme faaliyetleri için verildiğinin açıkça belirtilmesini şart koşar (Madde 4/2-c). Genel onay, kullanıcının veri işleme süreçlerine toplu bir onay vermesi olarak tanımlanabilir, ancak bu tür bir onayın kullanımı sınırlı ve dikkatli bir şekilde yapılmalıdır. Kullanıcıların hangi amaçlar için onay verdiklerini net bir şekilde anlamaları, veri güvenliği ve gizliliğinin sağlanması açısından önemlidir.
10. Çerez Onayı
Web sitelerinde çerez kullanımı için spesifik onay talep edilir. KVKK ve Kişisel Verileri Koruma Kurumu (KVKKK), özellikle çerezlerin kullanıcı izni olmadan kullanılamayacağını belirtmiştir. Bu nedenle, kullanıcıların çerezler hakkında bilgilendirilmesi ve onaylarının alınması zorunludur (Madde 10). Çerez onayı, kullanıcıların çevrimiçi izlenme süreçlerini kontrol etmesine imkan tanır ve bu süreçlerin şeffaf bir şekilde yürütülmesini sağlar. Çerezlerin, kullanıcı deneyimini iyileştirmek amacıyla nasıl kullanıldığı ve hangi verilerin toplandığı konusunda net bilgiler sunulmalıdır. Heralde en çok karşılaşılan ve en dikkatsizce verilen onaylardan birisi olduğunu biliyorsunuzdur.
11. Zaman Sınırlı Onay
Belirli bir süre için verilen onay türüdür. Bu sürenin sonunda onayın yenilenmesi gerekmektedir, aksi takdirde veri işleme durdurulur. KVKK kapsamında, veri işleme süreleri konusunda kullanıcının bilgilendirilmesi ve gerektiğinde onayın yenilenmesi esastır (Madde 4/2-d). Zaman sınırlı onay, kullanıcının verilerinin ne kadar süreyle işleneceğini bilmesini ve bu süre sonunda onayını yenilemek ya da geri çekmek konusunda karar vermesini sağlar. Bu tür onaylar, verilerin gereğinden fazla süreyle işlenmesinin önüne geçer ve veri minimizasyonunu destekler.
12. Dinamik Onay
Kullanıcıların onaylarını istedikleri zaman güncelleyebilmelerini veya geri çekebilmelerini sağlayan onay türüdür. KVKK, kullanıcının veri üzerindeki haklarını kullanabilmesi adına, bu tür dinamik bir kontrol imkanı tanınmasını destekler (Madde 11). Dinamik onay, kullanıcıların veri işleme sürecindeki değişikliklere aktif bir şekilde katılmasını ve gerektiğinde bu süreçleri değiştirmesini sağlar. Bu, kullanıcının veri üzerindeki kontrolünü sürekli olarak elinde tutmasını mümkün kılar ve veri güvenliği konusunda daha esnek bir yaklaşım sunar.
13. Ebeveyn Onayı
Çocuklardan veri toplanması durumunda, genellikle 18 yaşın altındaki bireyler için ebeveyn izni gereklidir. KVKK da bu konuda açık düzenlemeler getirerek, küçük yaştaki bireylerin korunmasını amaçlamaktadır. Ebeveyn onayı, çocukların dijital dünyada güvende kalmasını sağlamak adına gereklidir ve ebeveynlerin çocuklarının verileri üzerinde kontrol sahibi olmasına imkan tanır (Madde 28). Çocukların dijital platformlarda karşılaşabileceği riskler göz önüne alındığında, bu tür bir onay mekanizması son derece önemlidir. Bu konuda Kanunun bazı eklemeler ile detaylandırılması gerekebilir diye düşünüyorum. Zira gelecekte bu detaylandırmalara ihtiyaç olabilir. Bu onay özellikle Milli Eğitim Bakanlığındaki çalışmalarda veya araştırmalar için onay gerektirdiği durumlarda istenir.
Ebeveyn Onay Formu Örneği – (Edremit MTAL Veli Açık Rıza Onayı Formu)
14. Üçüncü Taraf Onayı
Verilerin üçüncü taraflarla paylaşılması veya toplanması için izin alınması gereklidir. KVKK, verilerin üçüncü kişilerle paylaşılması durumunda veri sahibinin açıkça bilgilendirilmesini ve bu paylaşıma rıza gösterdiğini ifade etmesini şart koşar (Madde 8). Üçüncü taraf onayı, kullanıcının verilerinin kimlerle ve hangi amaçlarla paylaşıldığını anlamasına olanak tanır. Bu tür onaylar, kullanıcıların veri paylaşım süreçlerine katılımını sağlar ve veri işleme sürecinde şeffaflığı artırır.
KVKK ile uyumlu olarak geliştirilen bu onay türleri, bireylerin kişisel verilerinin güvenliği ve mahremiyetinin korunmasına katkı sağlamaktadır. Kullanıcılar, hangi verilerinin nasıl toplandığını ve kullanıldığını bilme ve bu konuda kontrol sahibi olma hakkına sahiptir.
Gizlilik, modern dijital toplumun temel direklerinden biri olarak ele alınmakta ve bu kapsamda kullanıcılara sunulan seçenekler ve onay türleri, güvenli ve şeffaf bir dijital ortamın oluşturulmasında hayati bir rol oynamaktadır. Kullanıcılar, bu onay türleri sayesinde verilerinin işlenmesi üzerinde daha fazla kontrol sahibi olabilir ve böylece veri güvenliğinin temel ilkelerine uygun bir dijital deneyim yaşayabilirler.
Kaynakça:
6698 Sayılı Kişisel Verileri Koruma Kanunu https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
Kişisel Verilerin Korunması Üzerine: Gizlilik Onayı Türleri ve KVKK ile İlişkisi