Dijital dünyada veri gizliliğinin sağlanması kişilerin en temel haklarından biridir. İşte bu temel hakkımızı korumak için ise çeşitli onay mekanizmaları mevcuttur. Ülkemizde kişisel veri güvenliğinin sağlanması amacıyla KVKK 2016 yılından bu yana hayatımızda yer edinmiştir. KVKK’da ana hedef kişisel verilerin korunmasıyken, veri sorumlularına da bu anlamda bazı yükümlülükler yükler.
Bu bağlamda, gizlilik onayları alınırken süreç KVKK ile uyumlu ilerlemelidir. Gelin Kişisel Verileri Koruma Kanunu kapsamındaki onay türlerine göz atalım:
Açık Onay
Kullanıcıların veri işlemeye aktif katılım göstererek onay vermeleri gerekir. KVKK, açık rızanın kullanıcının aktif bir eylemi ile verilmesi gerektiğini belirtir (Madde 3/a).
Bilgilendirilmiş Onay
Kullanıcılara, verilerinin nasıl kullanılacağı hakkında bilgi verildikten sonra onay alınır. KVKK, kullanıcıların bu bilgilere sahip olarak bilinçli bir karar verebilmeleri gerektiğini belirtir (Madde 10). Bu onay türü, veri işlemede şeffaflık sağlanarak kullanıcı güvenini artırır.
Granüler Onay (Detaylı Rıza)
Kullanıcıların verileri üzerinde daha fazla kontrol sahibi olmaları amacıyla hangi verilerin işleneceğini seçmelerine imkan tanınır. KVKK, her bir veri işleme faaliyeti için ayrı ayrı onay alınmasını destekler (Madde 4/2-ç). Ayrıca bu tür bir onay, kullanıcının veri güvenliği üzerindeki kontrolünü artırır.
Açık Rıza
KVKK gereği, kişisel verilerin işlenmesi için kullanıcının özgür iradesiyle açık bir onay vermesi gerekmektedir (Madde 5/1). Bu nedenle, pasif onay yöntemleri, örneğin önceden işaretlenmiş kutucuklar, kabul edilmemektedir. Kullanıcılar, verilerinin işlenmesi için aktif bir onay verdiğinde sürecin şeffaflığı sağlanmış olur.
Reddetme & Çıkış Hakkı
Varsayılan olarak veri toplama sürecine dahil olunan durumlarda, kullanıcılara reddetme hakkı tanınır. Meşru menfaatlere dayalı veri işleme durumlarında bu yaklaşım kabul edilebilir (Madde 5/2-f). Açıklamak gerekirse kullanıcıların bu tür veri işleme faaliyetlerini reddetme hakkı olması, veri sorumluları ve kullanıcı hakları arasında denge sağlar.
Şartlı Onay
Kullanıcılar, belirli bir hizmet karşılığında pazarlama mesajlarını almayı kabul edebilir. Bu tür bir onay, kullanıcının rızasıyla yapılmalıdır (Madde 5/2-c). Kullanıcı, hangi verilerin kullanılacağını bilmelidir.
Geri Çekilebilir Onay
Kullanıcılar, verdikleri onayı diledikleri zaman geri çekebilir ve veri işleme durdurulur (Madde 7). Özetle bu, kullanıcıların veri üzerindeki kontrolünü korumalarına yardımcı olur.
Özel Nitelikli Kişisel Veriler İçin Onay
Sağlık veya biyometrik gibi hassas verilerin işlenmesi için ek onay gereklidir. KVKK, özel nitelikli verilerin işlenmesini daha katı düzenlemelere tabi tutmaktadır (Madde 6).
Üçüncü Taraf Onayı
Verilerin üçüncü kişilerle paylaşılabilmesi için kullanıcı onayı gereklidir. KVKK, veri sahibinin açık bir şekilde bilgilendirilmesini ve rızasının alınmasını şart koşar (Madde 8).
Çerez Onayı
Web sitelerinde çerez kullanımı için kullanıcıdan spesifik onay istenir. Çerezlerin kullanıcı bilgisi dışında kullanılamayacağı belirtilmiştir (Madde 10).
Genel Onay
Ayrıca kullanıcılar, gelecekteki veri işlemlerine genel bir onay verebilir. Ancak KVKK, bu onayın hangi faaliyetler için verildiğinin açıkça belirtilmesini şart koşar (Madde 4/2-c).
Zaman Sınırlı Onay
Bu onay türü belirli bir süre için geçerlidir. Kesinlikle, süre sonunda onayın yenilenmesi gerekir, aksi takdirde veri işleme durdurulmalıdır (Madde 4/2-d).
Dinamik Onay
Kullanıcıların onaylarını istedikleri zaman güncelleyebilme veya geri çekebilme yetkisi vardır (Madde 11). Bu tür bir onay, kullanıcıların verileri üzerindeki kontrolünü sürekli olarak elde tutmalarına imkan tanır.
Ebeveyn Onayı
18 yaş altındaki bireylerden veri toplanması durumunda ebeveyn izni gereklidir. KVKK, çocukları korumak amacıyla bu düzenlemeyi getirmiştir (Madde 28).
Sonuç olarak bu onay türleri, dijital ortamda kullanıcıların veri güvenliğini koruma amaçlı geliştirilmiştir. Güvenli bir dijital deneyim için, kullanıcıların verilerinin işlenmesi konusunda bilgi sahibi olmaları ve kontrol yetkisini ellerinde bulundurmaları önemlidir. KVKK’ ya uyumlu şeffaf veri işleme süreçlerinden bir tanesini kullanarak veri sorumluları yükümlülüklerini yerine getirmiş olacaktır.
