Genel olarak Türk kişisel veri koruma hukukunun ve somut olarak 6698 sayılı Kişisel Verilerin Koruması Kanunu’nun (KVKK) ilham kaynağı olan AB kişisel veri koruma hukukunda yakın zamanda önemli bir reform süreci yaşandı. Birliğin kişisel veri koruma hukukunun omurgasını oluşturan 95/46 sayılı Direktif yerine 2016/679 sayılı Genel Kişisel Veri Koruma Tüzüğü (GDPR) ikame edildi. GDPR, 95/46 sayılı direktifin öngördüğü ana ilkeleri benimseyen ve sürdüren bir metin olmakla birlikte yeni teknolojilerin ortaya çıkardığı yeni ihtiyaçlara yönelik günün gereksinimleriyle daha uyumlu olmak amacıyla bazı konularda daha ayrıntılı düzenlemeler getirdi. GDPR’ın rıza konusundaki düzenlemelerinin de bu kapsamda ele alınması gerekir. Kişisel verilerin korunması hukukunun en temel kavramları arasında yer alan rıza, kişisel verilerin işlenmesine hukuki meşruiyet sağlar. Kişisel veri koruma hukukunda hukuki bir neden bir başka deyişle hukuka uygunluk nedeni olmadıkça verilerin işlenmesi yasaktır. Dolayısıyla bu bakış açısıyla kişisel verilerin işlenmemesi kural, işlenmesi ise istisnadır. Bu genel yasak karşısında veri ilgilisinin rızasının yani kişisel verilerinin işlenmesine yönelik onayının bulunması genel bir istisna ya da genel bir hukuka uygunluk nedeni oluşturur. Bu nedenle “rıza”, kapsamı ve anlamı iyi incelenmesi ve anlaşılması gereken bir kavramdır. GDPR’ın yürürlüğe girmesiyle 95/46 sayılı Direktif yürürlükten kalkmış olsa da rıza kavramına ilişkin eski müktesebat geçerliliğini korumaktadır. Zira rıza kavramı (GDPR’da daha ayrıntılı olsa da) öncelikle 95/46 sayılı Direktif ile GDPR ile aynı doğrultuda düzenlenmiştir. Buna bağlı olarak da Birlik hukukunda rıza kavramına yönelik içtihatlar, kurum ve komisyonların tavsiye kararları ve görüşleri geçerliliğini korumaktadır 2. 1. Kavramın İsim Sorunu Rıza kavramı 95/46 sayılı Direktif’te “rıza” (consent) şeklinde isimlendirilmekte, ancak “muğlak olmayan şekilde verilmiş” (unumbiguously given) olma koşuluyla birlikte kullanılmaktadır.

logo-footer