EDPB – 2016/679 Sayılı Tüzük (GDPR) Çerçevesinde Rıza Konulu Rehber (05/2020) – Örnekler

 

2016/679 Sayılı Tüzük Çerçevesinde Rıza Konulu Rehber (05/2020)

Versiyon 1.1.

4 Mayıs 2020 Tarihinde kabul edilmiştir.

Versiyon Geçmişi:

Versiyon 1.1.              13  Mayıs 2020                   Format düzeltmeleri

Versiyon 1.0.              04 Mayıs 2020                   Rehberin kabulü

Bu yazıda yalnızca rehberde yer alan örneklere, ilgili oldukları başlıklar aktarılarak yer verilmiştir. Rehberin tamamı için bkz.

1. GİRİŞ

Örnek bulunmamaktadır.

2. GDPR MADDE 4/11’E GÖRE RIZA

Örnek bulunmamaktadır.

3. GEÇERLİ RIZANIN UNSURLARI

3.1. Özgür İradeye Dayalı Olma

Örnek 1: Fotoğraf düzenleyen bir mobil uygulama hizmetlerinin kullanılması için kullanıcılarından GPS lokalizasyonunu etkinleştirmesini istemektedir. Ayrıca uygulama kullanıcıların toplanan verinin davranışsal reklamcılık amaçları için kullanılacağını da söylemektedir. Ne coğrafi konumlama, ne de çevrimiçi reklamcılık bir fotoğraf düzenleme hizmetinin kullanılması için gerekli değildir ve bu verilerin toplanması sağlanan temel hizmetin sunulması kapsamının ötesine geçmektedir. Kullanıcılar bu amaçlarla verinin kullanılmasına izin vermedikçe uygulamayı kullanamayacaklarından, rızanın özgürce verilmiş olduğu düşünülemez.

3.1.1. Güç Dengesizliği

Örnek 2: Yerel bir belediye, yol bakım çalışmalarını planlamaktadır. Yol çalışmaları uzun süre trafik akışını önleyebileceğinden belediye, vatandaşlarına çalışmalarının ilerleyişi ve çalışmalardaki gecikme beklentileri hakkında güncellemeler alabilmeleri adına bir e-posta listesine abone olma imkanı sunmaktadır. Belediye, bu listeye abone olunması konusunda herhangi bir zorunluluk bulunmadığını netleştirmiş olup, bu (belirli) amaçla e-posta adreslerinin kullanılması için katılımcılardan rıza istemiştir. Rıza vermeyen vatandaşlar belediyenin herhangi bir temel hizmetini kullanmaktan ya da herhangi bir hakkı kullanmaktan mahrum olmayacaktır, bu durumda bu verinin kullanımı konusunca özgürce rıza verebilecek ya da rıza vermekten kaçınabileceklerdir. Yol çalışmaları ile ilgili tüm bilgilere, ayrıca belediyenin internet sitesinden de erişilebilecektir.

Örnek 3: Arazi sahibi olan bir birey, hem yerel belediyeden hem de belediyenin bulunduğu ilçe yönetiminden belirli izinlere ihtiyaç duymaktadır. Her iki kamu kurumu da izin verebilmek için aynı bilgilere ihtiyaç durmaktadır fakat birbirlerinin veri tabanlarına erişmemektedirler. Bu nedenle, her ikisi de aynı bilgileri talep ederler ve arazi sahibi her iki kamu kurumuna da kendisi ile ilgili bu bilgileri gönderir. Belediye ve ilçe kurumu, mükerrer işlem ve yazışmalardan kaçınmak  adına bu dosyaları birleştirmek için, arazi sahibinin rızasını talep ederler. Her iki kamu kurumu da bunun ihtiyari olduğunu ve arazi sahini verilerinin birleştirilmesine izin vermemeye karar verirse izin talebi ile ilgili süreçlerin ayrı ayrı yürütüleceğini temin ederler. Bu çerçevede arazi sahibi dosyaların birleştirilmesi amacı için kamu kurumlarına özgürce rıza verebilecektir.

Örnek 4: Bir devlet okulu, basılı bir öğrenci dergisinde kullanmak üzere fotoğraflarını kullanmak için öğrencilerinden rıza talep eder. Öğrenciler, eğitim ya da hizmetlerden men edilmekleri ve herhangi bir zarara uğramaksızın bu fotoğrafların kullanılmasını reddedebilecekleri sürece verecekleri rıza, gerçek bir seçim olacaktır.

Örnek 5: Bir film ekibi, bir ofisin belirli bir kısmının filmini çekecektir. İşveren, bu alanda oturan tüm çalışanlarından, filmin arka planında görünebileceklerinden dolayı, filme alınmak için rızalarını talep etmiştir. Filme alınmak istemeyenler herhangi bir şekilde cezalandırılmayacak, bunun yerine bu kişilere çekim sürecinde binanın farklı bir yerinde eşdeğer bir masa verilecektir.

3.1.1. Şarta Bağlılık

Örnek 6: Bir banka, müşterilerinden  doğrudan pazarlama amaçları için ödeme detaylarının üçüncü kişilerce kullanılmasına rıza vermesini talep etmiştir. Bu işleme faaliyeti, bankanın müşterileri ile akdettiği sözleşmenin ifası ve olağan banka hesabı hizmetlerinin yerine getirilmesi için gerekli değildir. Şayet müşterinin bu amaçla işlemeye rıza vermeyi reddetmesi , bankacılık hizmetlerinden yararlanmasının önlenmesine, banka hesaplarının kapatılmasına ya da duruma bağlı olarak ücretlerde bir artışa yol açacaksa, rızanın özgürce verildiği söylenemez.

Örnek 6a: Bir internet sitesi, çerezleri kabul etme isteği ve çerezlerin neden yerleştirildiği ve hangi amaçlar işleneceği bilgisi dışında site içeriğinin görünebilir olmasını engelleyen bir komut dosyası koyar. “Çerezleri kabul et” butonuna tıklamadan içeriğe erişebilmenin imkanı yoktur. Veri ilgilisine gerçek bir seçim sunulmadığından, verdiği rıza özgürce verilmiş olmayacaktır.

Hizmetin sunulması veri ilgilisinin “çerezleri kabul et” butonuna tıklamasına dayandığından, bu geçerli bir rıza olarak değerlendirilemez. Bu, gerçek bir seçim sunmaz.

3.1.3. Ayrıntılı Olma

Örnek 7: Bir satıcı, aynı rıza talebiyle hem müşterilerine pazarlama amacıyla e-posta gönderebilmek hem de verilerini diğer grup şirketleriyle paylaşabilmek amacıyla verilerini kullanmak adına müşterilerinden talepte bulunmaktadır. Bu rıza iki ayrı amaç için ayrı rızalar içermediğinden ayrıntılı değildir, bu nedenle de geçerli olmayacaktır. Bu örnekte,  ticari ortaklara iletişim bilgilerini gönderebilmek için özel bir rıza alınmış olmalıdır. Bu tür bir özel rıza, aynı amaç (bu örnekte pazarlama amacı) için gönderildiği sürece, rızası alınırken veri ilgilisine kimlik bilgileri sağlanmış olan her bir ortak (3.3.1.’e ayrıca bakınız) için geçerli varsayılacaktır.

3.1.4. Zarar

Örnek 8: Bir yaşam tarzı mobil uygulaması yüklenirken, uygulama telefonun ivme ölçerine erişmek için rıza istemektedir. Uygulamanın çalışması için bu gerekli değildir, fakat kullanıcılarının hareketleri ve aktivite seviyeleri hakkında daha fazla bilgi edinmek isteyen veri sorumlusu için faydalıdır. Daha sonra rızasını geri alan kullanıcı, uygulamanın artık yalnızca sınırlı bir kapsamla çalıştığını fark etmiştir. Bu durum 42 no’lu gerekçenin kast ettiği anlamıyla zararın bir örneğidir, bu da rızanın hiçbir şekilde geçerli olarak elde edilmediği anlamına gelir (ve bu nedenle veri sorumlusu, bu şekilde topladığı kullanıcı hareketleri ile ilgili  tüm verileri silmek zorundadır).

Örnek 9: Bir veri ilgilisi, bir moda perakendecisinin genel indirimler ile ilgili bir bültenine abone olmuştur. Perakendeci, kullanıcının alışveriş geçmişine ya da gönüllü olarak doldurulacak anket sonuçlarına dayanarak kişiye özel teklifler sunabilmek adına alışveriş tercihleri hakkında daha fazla veri toplamak için veri ilgilisinden rızasını talep etmiştir. Veri ilgilisi rızasını geri aldığında, tekrardan kişiselleştirilmemiş moda indirimleri alabilmesi ise mümkündür. Yalnızca izin verilen ödül ortadan kalkacağı için bu bir zarar olarak kabul edilmez.

Örnek 10: Bir moda dergisi, okuyucularına resmi olarak piyasaya sunulmadan önce yeni makyaj ürünlerini satın alma imkanı sunmuştur.

Ürünler yalnızca kısa bir süre sonra satın alınabilir olacaktır, fakat derginin okuyucularına bu ürünleri önden alabilmek için özel bir teklif yapılmaktadır. Bu faydadan yararlanabilmek adına, insanlar posta adreslerini vermek ve derginin posta listesine abone olmak zorundadırlar. Yazışma adresi kargolama için gereklidir ve posta listesi, yıl içinde kozmetik ya da t-shirt gibi ürünlerle ilgili reklamlar gönderilmesi için kullanılmaktadır.

Şirket,  posta listesi bilgisinin yalnızca derginin kendisi tarafından ürün ve  basılı reklamın gönderilmesi için kullanılacağını ve başkaca herhangi bir kuruluşla paylaşılmayacağı açıklar.

Okuyucu bu nedenle adres bilgisini açıklamak istemezse, her halükarda ürünler kendisi için elde edilebilir olacağından, herhangi bir zarar yoktur.

3.2. Belirli Olma

Örnek 11: Bir kablolu TV ağı, izleme alışkanlıklarına dayalı olarak ilgilenebilecekleri yeni filmlerle ilgili kişisel tahminler sunabilmek adına abonelerinin rızalarına dayalı olarak kişisel verilerini toplamaktadır. Bir süre sonra, TV ağı, üçüncü kişilerin abonelerin izleme alışkanlıklarına dayalı olarak hedefli reklamlar göndermesine (ya da göstermesine) izin vermek istediğine karar verir. Bu durumda belirtilen bu amaç için yeni bir rıza alınması gerekir.

3.3. Bilgilendirilmiş Olma

3.3.1.Bilgilendirilmiş Rıza İçin Gerekli Asgari İçerik

Örnek bulunmamaktadır.

3.3.2. Bilginin Nasıl Sağlanacağı

Örnek 12: X şirketi, rıza verilmesi istenen veri kullanım amaçlarının veri ilgilileri için anlaşılır olmadığı konusunda şikayetler alan bir veri sorumlusudur. X şirketi, rıza taleplerinde yer alan bilgilerin veri ilgilileri için anlaşılır olup olmadığı konusunu teyit etmeye ihtiyaçları olduğunu görür. X , belirli kategorideki müşterilerine gönüllü deneme panoları (paneller) düzenler ve haricen onlarla iletişime geçmeden önce bu deneme seyircilerine güncellenmiş yeni rıza içeriğini sunar. Panoların seçimi bağımsızlık ilkesine uygundur ve seçim temsili, önyargısız sonuç sağlayan standartlar temelinde yapılmaktadır. Pano bir anket sunar ve içerikten ne anladıkları ile bilgiyi anlaşılabilir ve ilgili olma yönünden nasıl puanlayacağını deneme yapanlara gösterir. Veri sorumlusu bilginin anlaşılabilir olduğunu gösterene değin panoyu test etmeye devam eder. X, denemenin bir raporunu düzenler ve ileride başvurabilmek üzere hazır bulundurur. Bu örnek, X tarafından kişisel veri işlemek için rızalarını almadan önce veri ilgililerinin açık bilgi aldıklarını göstermek adına X için mümkün olan bir yolu göstermektedir.

Örnek 13: Bir şirket rıza temelinde veri işleme faaliyetlerini yürütmektedir. Şirket, rıza talebini içeren katmanlı bir gizlilik bildirimi kullanmaktadır. Şirket, veri sorumlusu hakkında temel bilgileri ve öngörülen veri işleme faaliyetlerinin tamamını açıklar. Buna karşılık şirket, bildirimin ilk bilgi katmanında veri sorumlusu görevlisine nasıl ulaşalacağını göstermez. 6. Maddede belirtildiği şekilde geçerli bir hukuki temele sahip olabilmek amacıyla, (ilk bilgi katmanında)  veri koruma görevlisinin iletişim bilgileri veri ilgilisine iletilmemiş olsa dahi, bu veri sorumlusu GDPR m 13/1-b veya 14/1-b gereğince  geçerli bir “bilgilendirilmiş” rıza elde etmiştir.

3.4. İsteğin (Rızanın) Açık Bir Şekilde Gösterilmesi

Örnek 14: Bir yazılım yüklenirken, uygulama yazılımı geliştirmek amacıyla anonim olmayan çökme raporlarını kullanmak için veri ilgililerinden rıza talep etmektedir. Rıza talebine, gerekli bilgileri içeren katmanlı bir gizlilik bildirimi eşlik etmektedir. “Rıza veriyorum” şeklindeki ihtiyari bir kutucuğu aktif bir hareketle tıklamakla, kullanıcı veri işlemeye rızasını açık bir olumlu hareketi ile geçerli şekilde verebilir olacaktır.

Örnek 15: Ekranda bir çubuğu kaydırma, akıllı kamera önünde feragat etme, akıllı bir telefonu saat yönünde döndürme ya da sekiz şeklinde bir hareket, net bilgi sağlandığı sürece anlaşmayı gösteren seçenekler olabilir ve  söz konusu hareketin belirli bir talebin (örn. çubuğu sola çekerseniz, Y amacı için X bilgisinin kullanımını kabul edersiniz. Onaylamak için hareket tekrar edin gibi) kabul edildiğini ortaya koyduğu açıktır. Veri sorumlusu, rızanın bu şekilde elde edildiğini ortaya koyabilir olmalıdır ve veri ilgilisi verdiği kadar kolay bir şekilde rızasını geri alabilmelidir.

Örnek 16: 32 no’lu gerekçeye göre, bir internet sayfasını kaydırmak ya da çekmek veya benzer bir kullanıcı hareketi, hiç bir koşulda net ve olumlu bir hareket gerekliliğini karşılamayacaktır: Bu tür hareketlerin, bir kullanıcının diğer hareketlerinden veya etkileşiminden ayırt edilebilmesi zor olabilir ve bu nedenle açık bir rıza alındığının kabul edilebilmesi de mümkün olmayacaktır. Bunun da ötesinde, böyle bir durumda, kullanıcıya elde edildiği kadar kolay bir yöntemle rızasını geri alma yolu sağlanması da zor olacaktır.

4. AÇIK RIZA ALMA/ELDE ETME

Örnek 17: Bir veri sorumlusu, internet sitesini ziyaret eden bir ziyaretçiden, rızayı açık bir şekilde gösteren metin sağlayan,  Evet ve Hayır kutularını gösteren bir açık rıza ekranı sunarak açık rıza elde edebilir. “Bu şekilde verimin işlenmesine rıza gösteriyorum” olumlu bir örnek iken,  “Verimin işleneceği benim için nettir” ifadesi olumsuz bir örnektir. Geçerli bir rıza elde etmek için bilgilendirilmiş rıza koşullarının yanı sıra diğer diğer koşulların da sağlanması gerektiğini söylemeye gerek bulunmamaktadır.

Örnek 18: Estetik cerrahi kliniği, hastasının durumu ile ilgili olarak ikinci bir görüş almak amacıyla hastasının sağlık kayıtlarını bir uzmana göndermek adına hastasından açık rıza talep etmektedir. Sağlık kayıtları, dijital bir dosyadadır. Söz konusu bilginin belirtilen özgün niteliği nedeniyle, klinik açık rızasını elde etmek ve açık rızanın elde edildiğinin ispat edebilir olmak adına veri ilgilisinden elektronik imza ister.

Örnek 19: Bir havayolu şirketi olan Holiday Havayolları, örneğin bir engel nedeniyle, destek olmaksızın seyahat edemeyecek yolculara destekli seyahat hizmeti sunmaktadır. Bir yolcu Amsterdam’dan Budapeşte’ye bir uçuş rezervasyonu yapar ve uçağa binebilmek için seyahat desteği talep eder. Holiday Havayolları, ona uygun hizmeti (zira, burada çok sayıda olasılık bulunmaktadır, örneği varış kapısında tekerlekli sandalye veya A’dan B’ye seyahatinde bir yardımcının onunla seyahat etmesi) ayarlayabilmek için sağlık durumu hakkında bilgi sunulmasına ihtiyaç duyar. Holiday Havayolları, talep edilen seyahat desteğini ayarlayabilmek amacıyla müşterisinden sağlık bilgisini işlemek adına açık rızasını talep eder. Rızaya dayalı veri işleme, talep edilen hizmet için gerekli olmalıdır. Bunun ötesinde, Budapeşte’ye uçuşlar seyahat desteği olmadan da mümkündür. Talep edilen hizmetin sağlanabilmesi için veri gerekli olduğundan, Madde 7/4’ün uygulanmayacağını lütfen unutmayın.

Örnek 20: Başarılı bir şirket kişiye özel kayak ve kar kayağı gözlükleri  ile açık hava sporları için diğer türlerde kişiye özel gözlükler yapma konusunda uzmanlaşmıştır. Fikir, kişilerin kendi gözlüklerini takmak zorunda olmaksızın bunları giyebilmesidir. Şirket, merkezi bir noktadan sipariş almakta ve tüm AB’ye tek bir lokasyondan ürün teslimi yapmaktadır.

Yakını göremeyen müşterilerine özel ürün sağlayabilmek adına, bu veri sorumlusu müşterilerinin göz durumları ile ilgili bilgiyi kullanabilmek için rıza ister. Müşteriler, sipariş verdiklerinde reçete bilgileri gibi gerekli olan sağlık verisini çevrimiçi ortamda verirler. Bu bilgi olmazsa, kişiye özel gözlük talebini sağlamak mümkün olmayacaktır. Şirket ayrıca, standart göz numaralarına sahip bir gözlük serisi de sunmaktadır. Sağlık bilgisini paylaşmak istemeyen müşteriler, standart versiyonları seçebilmektedirler. Bu nedenle 9. maddeye göre verilmiş açık rıza gerekmektedir ve rıza özgürce verilmiş kabul edilecektir.

5. GEÇERLİ BİR RIZA ALMAK İÇİN EK KOŞULLAR

5.1. Rızanın İspatı

Örnek 21: Bir hastane, gerçek hastaların diş kayıtlarına ihtiyaç duyan X Projesi adında bilimsel bir araştırma programı başlatır. Katılımcılar, bu amaçla ulaşılabilir bir adaylar listesinde olmayı gönüllü şekilde kabul etmiş hastalara yapılan telefon aramaları ile işe alınmaktadır. Veri sorumlusu diş kayıtlarını kullanabilmek için veri ilgililerinin açık rızasını istemektedir.  Rıza, X Projesinin amaçları doğrultusunda verinin kullanılmasını kabul eden veri ilgililerine yapılan telefon görüşmesinin kaydedilmesi sırasında sözlü beyan olarak elde edilmektedir.

5.2. Rızanın Geri Alınması

Örnek 22: Bir müzik festivali, online bilet acentesi aracılığıyla bilet satmaktadır.  Her bir online bilet satışında, pazarlama amacıyla iletişim bilgilerinin kullanılması için rıza talep edilmektedir. Bu rızayı göstermek için müşteriler Hayır ya da Evet arasında tercih yapmaktadırlar. Veri sorumlusu, rızalarını geri çekebilme imkanları bulunduğu konusunda müşterini bilgilendirmektedir. Bunu yapabilmek için, müşteriler çalışma günlerinde 08:00-17:00 saatleri arasında bir çağrı merkezini, ücretsiz olarak arayabilecektirler. Bu örnekte, veri sorumlusu GDPR’ın 7/3’ün maddesine uygun davranmamaktadır. Bu örnekte rızanın geri alınması için çalışma saatlerinde telefonla arama yapılması gerekliliğinin öngörülmesi, 7/24 açık olan bir online bilet satışı sırasında rıza vermek için yalnızca tek bir fare tıklaması aranmasından daha ağır bir yüktür.

6. RIZA İLE GDPR MADDE 6’DA BELİRTİLEN DİĞER HUKUKİ NEDENLER ARASINDAKİ İLİŞKİ

Örnek bulunmamaktadır.

7. GDPR’DA DÜZENLENEN ÖZEL İLGİ ALANLARI

Örnek bulunmamaktadır.

7.1. Çocuklar (Madde 8)

Örnek bulunmamaktadır.

7.1.1 Bilgi Toplumu Hizmeti

Örnek bulunmamaktadır.

7.1.2. Doğrudan Bir Çocuğa Sunulma

Örnek bulunmamaktadır.

7.1.3. Yaş

Örnek bulunmamaktadır.

7.1.4.  Çocuğu Rızası Ve Ebeveyn Sorumluluğu

Örnek 23: Bir çevrimiçi oyun platformu, küçük yaştaki müşterilerinin, yalnızca ebeveynleri yahut vasilerinin rızası ile hizmetlerine üye olabileceklerinden emin olmak istemektedir. Bu veri sorumlusu şu adımları izlemelidir:

Adım 1: Kullanıcılardan 16 yaşından büyük ya da küçük olup olmadıklarını belirtmelerini ister (ya da alternatif bir dijital rıza yaşı), şayet dijital rıza verme yaşının altında olduklarını belirtirlerse,

Adım 2: Çocuğa hizmet sunulmadan önce bir ebeveyn ya da vasinin işlemeye rıza vermesine ya da yetkilendirmesine ihtiyaç duyulduğu konusunda, çocuğu bilgilendirir. Kullanıcıdan ebeveyn ya da vasisinin e-posta adresini bildirmesi istenir.

Adım 3: Hizmet, ebeveyn ya da vasi ile iletişim kurar ve işleme için e-posta aracılığıyla rızalarını temin eder ve bu yetişkinin ebeveyn sorumluluğuna sahip olduğunu teyit edecek makul adımları atar.

Adım 4: Şikayet durumunda, platform abonenin yaşını doğrulayacak ek adımları atar.

Şayet platform diğer rıza gerekliliklerini karşılamış ise, bu adımları takip ederek GDPR’ın 8. maddesinde belirtilen ek kriterlere de uyum sağlayabilir.

7.2. Bilimsel Araştırma

Örnek bulunmamaktadır.

7.2. İlgili Kişinin Hakları

Örnek bulunmamaktadır.

8.  95/46/EC SAYILI DİREKTİF’E GÖRE ALINMIŞ RIZA

Örnek bulunmamaktadır.