Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Açık rıza, kişisel veri işleme şartlarından birisidir. Veri sorumlusu tarafından veri işleme faaliyetinin gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağı değerlendirilmeli, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna gidilmelidir.
“Herkes tarafından bilinir kılma” anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.
Kanuna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Aydınlatma yükümlülüğüne ilişkin hükümlerin yer aldığı Kanunun 10. maddesine göre ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken veri sorumlusu veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki şartları içermesi gerekmektedir:
1. Veri sorumlusunun ve varsa temsilcisinin kimliği
2 Kişisel verilerin hangi amaçla işleneceği
3 Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
4 Kişisel veri toplamanın yöntemi ve hukuki sebebi
5 İlgili kişinin, Kanunun 11. maddesinde sayılan diğer hakları
Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır
Kişisel verilerin yurt dışına aktarımı ise 9. madde kapsamında düzenlenmiş olup, aktarımın gerçekleşeceği ticari faaliyete ilişkin esas sözleşmelerin bu maddelere uygun olarak revize edilmesi gerekmektedir.
Kanunun 13. maddesine göre; ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, veri sorumlusuna bilgilendirilme talebi ile başvurma hakları mevcuttur.Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi gerekmektedir.
İlgili kişinin başvurusuna 30 gün içinde cevap verilmemesi yahut yetersiz cevap verilmesi halinde, veri sorumlusunu şikayet etme hakkı saklıdır.
Kişisel Verileri Koruma Kurumu bu şikayetleri inceleyip karara bağlar.
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder.
Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
