(Bu bilgi notu Madde 29 Çalışma Grubu’nun 10.4.2018 tarihli “2016/679 Sayılı Tüzük Uyarınca Rıza Rehberi” esas alınarak hazırlanmıştır.)

Giriş

Genel olarak Türk kişisel veri koruma hukukunun ve somut olarak 6698 sayılı Kişisel Verilerin Koruması Kanunu’nun (KVKK) ilham kaynağı olan AB kişisel veri koruma hukukunda yakın zamanda önemli bir reform süreci yaşandı. Birliğin kişisel veri koruma hukukunun omurgasını oluşturan 95/46 sayılı Direktif yerine 2016/679 sayılı Genel Kişisel Veri Koruma Tüzüğü (GDPR) ikame edildi. GDPR, 95/46 sayılı direktifin öngördüğü ana ilkeleri benimseyen ve sürdüren bir metin olmakla birlikte yeni teknolojilerin ortaya çıkardığı yeni ihtiyaçlara yönelik günün gereksinimleriyle daha uyumlu olmak amacıyla bazı konularda daha ayrıntılı düzenlemeler getirdi[1]. GDPR’ın rıza konusundaki düzenlemelerinin de bu kapsamda ele alınması gerekir.

Kişisel verilerin korunması hukukunun en temel kavramları arasında yer alan rıza, kişisel verilerin işlenmesine hukuki meşruiyet sağlar. Kişisel veri koruma hukukunda hukuki bir neden bir başka deyişle hukuka uygunluk nedeni olmadıkça verilerin işlenmesi yasaktır. Dolayısıyla bu bakış açısıyla kişisel verilerin işlenmemesi kural, işlenmesi ise istisnadır. Bu genel yasak karşısında veri ilgilisinin rızasının yani kişisel verilerinin işlenmesine yönelik onayının bulunması genel bir istisna ya da genel bir hukuka uygunluk nedeni oluşturur. Bu nedenle “rıza”, kapsamı ve anlamı iyi incelenmesi ve anlaşılması gereken bir kavramdır.

GDPR’ın yürürlüğe girmesiyle 95/46 sayılı Direktif yürürlükten kalkmış olsa da rıza kavramına ilişkin eski müktesebat geçerliliğini korumaktadır. Zira rıza kavramı (GDPR’da daha ayrıntılı olsa da) öncelikle 95/46 sayılı Direktif ile GDPR ile aynı doğrultuda düzenlenmiştir. Buna bağlı olarak da Birlik hukukunda rıza kavramına yönelik içtihatlar, kurum ve komisyonların tavsiye kararları ve görüşleri geçerliliğini korumaktadır[2].

1. Kavramın İsim Sorunu

Rıza kavramı 95/46 sayılı Direktif’te “rıza” (consent) şeklinde isimlendirilmekte, ancak “muğlak olmayan şekilde verilmiş” (unumbiguously given) olma koşuluyla birlikte kullanılmaktadır. Bu kullanım rızanın geçerli olması için taşıması gereken niteliği ve koşullarını da ifade ettiği için AB kişisel veri koruma hukukunda kavram sıklıkla “muğlak olmayan rıza” (unumbiguous consent) olarak anılmaktadır. GDPR ise kavramı yalnızca “rıza” (consent) şeklinde kullanmış, rızanın sahip olması gereken nitelik ve sağlaması gereken koşulları ayrıca düzenlemeyi tercih etmiştir.

Özel nitelikli kişisel veriler bakımından ise 95/46 sayılı Direktif’te “açık rıza” (explicit consent) koşulundan söz edilmektedir. GDPR’da özel nitelikli kişisel veriler bakımından “açık rıza” (explicit consent) kavramını kullanmayı sürdürmüştür. GDPR’da ayrıca yurtdışına transfer edilecek ve otomatik karar almaya konu olacak veriler bakımından da “açık rıza” (explicit consent) koşulundan söz edilmektedir.

AB hukukundan ve özellikle 95/46 sayılı Direktif’ten ilhamla kaleme alınmış olan KVKK’da ise rıza kavramı için daima “açık rıza” tabiri kullanılmaktadır. Hem Direktif hem de GDPR’da özel nitelikli kişisel veriler bakımından özel nitelikli rıza (açık rıza/explicit consent) aranmış olmasına mukabil; KVKK’da kavramın genel ismi olarak “açık rıza” dan bahsedildiği için özel nitelikli kişisel veriler bakımından ayrı ve farklı bir rıza türü yoktur[3]. Yani AB veri koruma hukukundaki “rıza/açık rıza” (consent/explicit consent) ayrımı ve “muğlak olmayan rıza” (unumbiguous consent) şeklindeki vurgulu ifade terk edilerek tümünün karşılığı olarak tek bir kavram; “açık rıza” benimsenmiştir.

Burada kavram kargaşasına yol açabilecek nokta Türk hukukundaki “açık rıza” kavramının AB Hukukundaki karşılığı konusudur. KVKK’nın “Tanımlar” başlıklı 3. maddesinde açık rızanın tanımı verilmiş olmakla birlikte, rızayı yine rıza üzerinden açıklayan bu tanım pek de yol gösterici nitelikte değildir[4]. Zira buradaki tanıma göre açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Bu tanıma göre “açık rıza”, AB hukukundaki kavramlardan hiçbirisinin tam karşılığı değildir. Gramatik olarak “açık rıza” ifadesi “explicit consent” kavramının karşılığıdır. Kavramlar arasında ayrım yapmak gerektiğinde “açık rıza”, “explicit consent” olarak çevrilmelidir. Fakat çeviri faaliyetinden bağımsız olarak mevzuat ve buna bağlı kavram karşılaştırması yapıldığında KVKK’da tek rıza türü olarak yer alan “açık rıza” tabiri, hem “consent” hem “unumbiguous consent” hem de “explicit consent” tabirlerinin karşılığıdır. Bu noktada mevzuatımızda kullanılan “açık rıza” ifadesinin çok da açık olmadığını ve kavram karışıklığına yol açabileceğini söylemek yanlış olmayacaktır.

“Açık rıza” ifadesinin karşılaştırmalı hukuk çalışmaları açısından yol açabileceği bir diğer potansiyel sorun da, bu ifadenin “explicit consent”in yanı sıra “open consent” kavramının da Türkçe karşılığı olmasıdır. Oysa “explicit consent” ve “open consent” kavramları bütünüyle farklı ve neredeyse zıt anlamlar içeren kavramlardır. “Open consent” veri sahibinin somut amaçlara yönelik olmayan genel rızasını ifade eden bir kavram olup, kişisel veri koruma hukuku açısından geçerli bir rıza türü değildir[5]. “General consent” (genel rıza), “broad consent” (geniş rıza) veya “blanked consent” (battaniye rıza) olarak da adlandırılan “open consent” kavramının Türkçe karşılığı olarak “genel rıza” ya da “beyaz rıza” tabirleri kullanılmalı ve kesinlikle Türk hukukundaki “açık rıza” kavramının İngilizce karşılığı olarak “open consent” tabiri kullanılmamalıdır.

Görüldüğü üzere rıza kavramı konusunda üç ayrı temel metnin (95/46 sayılı Direktif, GDPR ve KVKK) benimsediği farklı ifadeler vardır. Üstelik her birinin bu kavramlara yüklediği anlamalar da farklıdır. Örneğin GDPR’daki “rıza” (consent) kavramı 95/46 sayılı Direktifteki “açık rıza” (explicit consent) kavramından daha nitelikli bir rıza önermektedir. Bu çalışmanın asıl konusu GDPR olduğu için oradaki terminoloji esas alınacaktır. Çalışmanın sonunda ise bu üç farklı metindeki rıza kavramlarını karşılaştırmalı olarak ele alan bir tabloya yer verilmiştir.

2. GDPR Uyarınca Geçerli Rıza

95/46 sayılı Direktif’in tanımına göre: “rıza; kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı ifade etmektedir.” GDPR’ın “Tanımlar” başlıklı 4. maddesine göre: “veri sahibinin rızası; veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir.”

Görüldüğü üzere geliştirilmiş olsa da GDPR’ın rıza tanımı Direktif’inkiyle benzerdir. Ancak, özellikle rızanın geçerliliğine ilişkin 7. maddesi ve girişteki genel gerekçedeki açıklamalar göz önüne alındığında GDPR’ın rıza kavramının geri alınabilir nitelikte olan, kontrolünün açık bir şekilde veri sahibinde olduğu yeni ve gelişmiş bir kavram olduğu görülmektedir.

GDPR m. 4/11’deki tanım uyarınca geçerli rızanın şartları şunlardır:

- Özgür bir biçimde verilmiş,

- Spesifik,

- Bilinçli (bilgilendirilmeye dayalı) olma ve

- Veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösterme.

2.1. Özgür bir biçimde

“Özgür bir biçimde” olma veri sahibinin gerçek anlamda bir seçim yapmasını ve kontrole sahip olmasını ifade eder. Eğer veri sahibinin gerçek anlamda bir seçimi söz konusu değilse, kendisini rıza vermeye zorlanmış ya da rıza vermemesi durumunda olumsuz sonuçlara maruz kalacağını hissediyorsa rıza geçersizdir[6]. Müzakere edilemez bir seçenek olarak genel işlem koşulları arasında yer alan rızanın özgür bir biçimde verilmemiş olduğu kabul edilir. Bu itibarla veri sahibi hiçbir sıkıntı olmadan rıza vermeyi reddedebilecek ya da rızasını geri alabilecek olmadıkça özgür bir biçimde verilmiş bir rıza söz konusu olmaz[7].

Bu doğrultuda kamu otoritelerinin ve işverenlerin açık rızaya dayanarak veri işlemeleri ilke olarak reddedilmekte ve rızanın sözleşme hükümleri ile “paket halinde” ya da “bağlı” olarak istenmesi geçersizlik nedeni olarak kabul edilmektedir[8]. Ayrıca birden fazla amaca yönelik veri işleme faaliyeti söz konusu olduğunda veri sahibinin bu amaçlar bakımından ayrı ayrı rıza verme veya reddetme seçeneğine sahip olması şart koşulmaktadır[9]. Veri sahibinin rıza verirken özgür koşullarda olduğu ve hiçbir sıkıntı olmadan rızasını verdiğinin ispat yükü veri sorumlusuna aittir[10].

Örneğin bir bankanın müşterileriyle yaptığı hizmet sözleşmesinin bir parçası olarak müşterinin ödeme detaylarının üçüncü kişilerle pazarlama amaçlı paylaşılmasına yönelik rıza alması durumunda özgür bir biçimde verilmiş rızadan söz edilemez. Sözleşme konusu bankacılık hizmeti açısından doğrudan gerekli olmayan bu veri işleme faaliyetine yönelik rıza, bankacılık hizmet sözleşmesiyle bağlı ve paket olarak alınmıştır. Ayrıca müşteri, rıza vermemesi durumunda bankacılık hizmetlerinden yararlanamayacaktır. Bu şekilde alınan rıza özgür bir biçimde verilmiş olma koşulunu sağlamadığı için geçersizdir.

2.2. Spesifik

Madde 6/1-a hükmü veri sahibinin rızasının “bir ya da daha fazla spesifik amaca yönelik” olması gerektiğini açıkça belirtmektedir. Burada metnin vurguladığı önemli bir nokta, yukarıda da belirttiğimiz gibi bu amaçlar arasında seçim yapma hakkı bulunmasıdır. Rızanın “spesifik” olma özelliği, veri sahibi bakımından kontrolün ve şeffaflığın derecesini garanti etmeyi ifade eder[11]. “Kişisel verilerin işlenmesine ilişkin ilkeler” başlıklı 5/1-b maddesinde kişisel verilerin “belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmeyeceği” belirtilmiştir. Burada sınırlı amaç ilkesine ilave olarak “spesifik” olma koşulunun aranması, rıza verilen bir amacın zamanla aşamalı olarak genişletilmesine karşı bir güvence oluşturma amacına yöneliktir[12]. Daha somut ifade etmek gerekirse veri sorumlusu her bir ayrı amaç için ayrı ve açık bilgilendirmede bulunmalı ve her bir ayrı amaç için ayrı ayrı rıza seçeneği sunarak rıza almalıdır.

Örneğin kablolu yayın hizmeti sunan bir servis sağlayıcı, müşterilerinin izleme tercihlerine ilişkin kişisel verilerini işlerken amaçlarını spesifik olarak belirtmeli ve bu şekilde rıza almalıdır. Müşterilerinin ilgilenebilecekleri yeni çıkan filmleri seçenek olarak sunmak ve ilgilenebilecekleri başka hizmetlere yönelik üçüncü kişi hizmet sağlayıcılarla bu verileri paylaşmak gibi birden fazla amaç söz konusu olduğunda, bu amaçlar konu itibariyle birbirlerine yakın ve benzer olsalar da bu amaçların ayrı ayrı belirtilmesi şarttır. Aksi halde, örneğin her iki amacı kapsamak niyetiyle “ilgilenilebilecek ürün ve hizmetleri seçenek olarak sunmak” şeklindeki “torba” amaç için alınan rıza spesifik olmadığı için geçerli değildir.

2.3. Bilinçli (bilgilendirilmeye dayalı)

Rızanın bilinçli olabilmesi için rıza alınmadan önce veri sahibine neye onay verdiği ve hakları konusunda bilgilendirme yapılması esastır. Veri sorumlusunun gerekli bilgiyi erişilebilir şekilde sunmaması durumunda veri sahibinin kontrolü hayali ve aldatıcı bir hal almakta ve bu şekilde alınan rıza geçersiz olmaktadır.

Rızanın bilinçli olabilesi için veri sahibinin karar almasına etki edecek bazı temel hususlarda bilgilendirilmesi gereklidir. Bunlar[13]:

- Veri sorumlusunun kimliği,

- Rıza istenen her bir veri işleme faaliyetinin amacı,

- Hangi (tür) verinin toplanacağı ve kullanılacağı,

- Rızayı geri alma hakkının mevcut olduğu,

- Otomatik karar almaya konu olacaksa buna ilişkin bilgi,

- Yurtdışına transfer halinde uygunluk kararı ve gerekli önlemlerin bulunmaması halinde söz konusu olabilecek riskler.

GDPR’da bilgilendirmenin ne şekilde yapılması gerektiği konusunda mutlak bir standart yoktur. Ancak, özellikle madde 7/2 ve Gerekçe paragraf 32 hükümleri bilgilendirmeye dayalı rızaya yönelik birçok koşul getirmiş, bilginin açıklığı ve erişilebilirliği konusunda daha yüksek bir standarda yol açmıştır. Buna göre bilgilendirme mutlaka açık ve anlaşılır bir dilde yapılmalı, hukuki terminolojiye boğulmuş, başka konular arasına gizlenmiş olmamalıdır. Bir sözleşmeyle (fiziksel belge) bağlantılı olarak istenen rıza diğer sözleşme belgelerinden bağımsız ve ayrı olmalıdır. İnternet ortamında alınan rıza da açık ve ayrı olmalı, genel gizlilik politikasının bir parçası olmamalıdır.

Bilgilendirmenin ne şekilde ve ne kadar ayrıntılı olarak yapılması gerektiği veri sorumlusunun faaliyet alanına, muhatap olunan veri sahibi profiline göre belirlenmelidir. Uygun bilgilendirmenin kapsam, yöntem ve dilinin belirlenmesi noktasında sorumluluğunu tam ve doğru olarak yerine getirdiğinden emin olmak isteyen veri sahibi gönüllü anket çalışmasıyla bilgilendirmenin anlaşılabilir ve erişilebilir olup olmadığını test edebilir. Bilgilendirme kademeli de olabilir. Örneğin internet ortamında alınan bir rıza için ilk aşamada, yani rıza verilirken görüntülenen sayfada veri sorumlusuna nasıl ulaşacağı ayrıntılı olarak anlatılmamış, fakat bu bilgiye erişilebilecek bir bağlantı (link) sunulmuşsa, söz konusu bağlantının fark edilebilir olması koşuluyla bilgilendirmeye dayalı ve geçerli bir rıza söz konusudur.

2.4. Muğlak olmayan bir biçimde iradeyi gösterme

Rıza, veri sahibinin bu yöndeki beyanı veya açık bir şekilde onaylayıcı eylemi ile olabilir. Yani rıza mutlaka veri sahibinin aktif bir hareketi veya bildirimiyle olmak zorundadır. Veri sahibinin somut veri işleme faaliyetine rıza gösterdiği aşikâr olmalıdır. GDPR bu noktada 95/46 sayılı Direktifle aynı yaklaşımı sürdürmekte, “beyan veya açık bir şekilde onaylayıcı eylem şeklinde muğlak olmayan irade göstergesinin” şart olduğunu açıkça düzenleyerek konuyu netleştirmektedir.

Buna göre aktif eylem içermeyen, örneğin onay vermeye yönelik kutucuğun işaretli olduğu ya da “onaylıyorsanız sayfada gezinmeye devam edebilirsiniz” şeklinde bir uyarıyla mevcut sayfada ilerleme veya sayfayı kaydırmaya “rıza sonucunun bağlandığı durumlarda”, rıza geçerli olmayacaktır. Ayrıca, Gerekçe Paragraf 40 uyarınca rızanın veri işleme faaliyetinden önce alınması zorunlu olup, icazet şeklinde sonradan alınan rızanın geçerliliği yoktur.

3. Açık Rıza Alınması

GDPR’da veri işleme süreçlerine ilişkin riskin daha yüksek olduğu bazı durumlarda veri sahibinin verileri üzerindeki kontrolünün daha güçlü olması uygun görülmüş ve bu nedenle açık rıza şart koşulmuştur. 9. madde uyarınca özel nitelikli kişisel veriler, 49. madde uyarınca yurtdışına transfer edilecek veriler ve 22. madde uyarınca otomatik karar alma süreçlerine konu olacak veriler bakımından veri sahibinin açık rızasının alınması şarttır.

GDPR, “bir beyan veya onaylayıcı eylem” bulunmasını “sıradan” rızanın ön koşulu olarak düzenlemiştir. 95/46 sayılı Direktife kıyasla “sıradan” rızanın standardının bu denli yükseltilmiş olması itibariyle “açık rızanın” ne anlama geldiği ve veri sahibinin GDPR uyarınca “açık rıza” almak için ne yapması gerektiği soruları gündeme gelmektedir.

Rızanın “açık” olması, veri sahibi tarafından rızasının ifade ediliş şeklini yönelik bir niteliktir. Rızanın açık olduğundan emin olmanın birincil yolu rızanın yazılı beyana dayanmasıdır. Veri sahibi mümkün olan durumlarda rıza beyanını ıslak imzalı olarak almalı ve bu yolla olası tüm şüpheleri ve gelecekte yaşanabilecek ispata ilişkin sorunları bertaraf etmelidir[14].

Islak imzalı beyan açık rıza almanın en doğru yolu olmakla birlikte tek yolu değildir. GDPR’ın açık rıza için her koşulda ıslak imzalı yazılı beyanı şart koştuğunu söylemek mümkün değildir. Örneğin internet ortamında ya da telefonda da açık rıza alınabilir. Ancak bu durumlarda veri sahibinin eyleminin rızaya yönelik olduğu açık olmalı ve mutlaka kimlik doğrulama prosedürü bulunmalıdır[15].

4. Geçerli Rızaya İlişkin İlave Koşullar

GDPR, rızanın doğru ve uygun bir şekilde alınmasının sonrasında da veri sahiplerine yönelik rızanın ispatı ve elde tutulmasına yönelik ilave koşullar öngörmüştür. 7. maddede düzenlenen bu koşullar rızayla ilgili diğer maddeler (örneğin 8. ve 9. maddeler) bakımından da geçerlidir.

Bu koşullardan ilki ispata ilişkindir. Madde 7/1 hükmü rızaya dayanarak kişisel veri işlenen durumlarda veri sahibinin rızanın varlığını ispatlama yükümlülüğünü açıkça ifade etmektedir. Gerekçe Paragraf 42 de aynı açıklıkla rızanın ispatı konusunda yükümlülüğün veri sorumlusuna ait olduğunu belirtmektedir. GDPR’da bu ispat faaliyetinin ne şekilde olacağına yönelik bir belirleme veya sınırlama yoktur. Buna göre ilgili ulusal hukuktaki ispat kurallarına göre her şekilde ispat yoluna gidilebilir.

Madde 7/1 hükmü ise rızanın geri alınmasına ilişkin ilave koşullar içermektedir. Öncelikle rızaya dayanarak veri işlenmesi durumunda veri sahibinin her zaman koşulsuz olarak rızasını geri alma hakkı vardır. Rızayı verirken bu konuda bilgilendirilmiş olan veri sahibi erişilebilir vasıtalar aracılığıyla rızasını geri alabilmelidir. Ayrıca rızanın geri alınması, rızanın verilmesi kadar kolay olmalıdır. Bu noktada rızanın birebir verildiği şekilde, örneğin bir butonun işaretlenmesi şeklinde geri alınması mümkün olmayabilir. Ancak her halükarda rızanın verilmesi ve geri alınması süreçlerinin zorluğu arasında bir orantılılık olmalıdır.

GDPR’da rızaya ilişkin öne çıkan bir diğer düzenleme çocukların bilgi toplumu hizmetlerine erişimlerinde rızaya dayanan veri işleme faaliyetlerine yöneliktir. Buna göre on altı yaşından küçük çocukların bilgi toplumu hizmetlerine erişimi esnasında toplanan veriler bakımından rıza ancak çocuğun veli ya da vasisi tarafından verilmiş veya onaylanmış olması koşuluyla geçerlidir. Burada ebeveyn rızasının ne şekilde alınacağına ilişkin açık bir düzenleme olmamakla birlikte veri sorumlularına ebeveyn kimliğini doğrulama yönünde çaba sarf etme yükümlülüğü yüklenmiştir.

5. GDPR Öncesi Alınan Rızaların Durumu

GDPR’ın yürürlük tarihi olan 25 Mayıs 2018 öncesinde ulusal veri koruma hukuku çerçevesinde elde edilmiş rızalar, GDPR’a uygun oldukları ölçüde geçerlidir. Veri sorumluları bu tarihten önce almış oldukları tüm rızaları otomatik olarak yenilemek zorunda olmayıp, bu tarihten sonra alacakları rızaları GDPR ile tam uyumlu almak zorundadırlar. Örneğin ispatlayıcı kayıtları bulunmayan varsayılan rızalar yenilenmek zorundadır. Aynı şekilde işaretlenmiş kutucuk yoluyla alınmış rızalar, aktif eylem yoluyla ifade edilme koşulunu sağlamadığı için yenilenmedikçe geçerli sayılmayacak ve veri işleme faaliyetine hukuki zemin sağlamayacaktır.

Sonuç olarak GDPR rıza kavramının anlamını ve koşullarını ayrıntılı bir şekilde düzenlemiş, 95/46 sayılı Direktife kıyasla kavramın standardını oldukça yükseltmiştir. Artık AB’de rızaya dayanarak veri işlemenin çok daha zor olduğunu söylemek yanlış olmayacaktır. Bu nedenle GDPR ile uyumlu olarak açık rıza elde etmek ve buna dayanarak kişisel veri işlemek isteyen veri sorumlularının yalnızca rıza formlarında değil kapsamlı bir şekilde iş süreçlerinde değişikliğe gitmeleri gerekmektedir[16]. Rızanın amaca yönelik ve spesifik olması, beyan ya da aktif onaylayıcı eyleme dayanması, veri sorumlusu tarafından ispatlanabilir olması gibi yeni koşullar sağlanmıyorsa daha önce alınmış rızaların güncellenmesi gerekir. Bunun dışında rızanın geri alınmasına ve yalnızca yönelik olduğu amaçlara özgülenmesine yönelik iş süreçleri de mutlaka kurgulanmak zorundadır.

TABLO: KARŞILAŞTIRMALI RIZA MATRİSİ (GDPR – 95/46 sayılı Direktif – KVKK)

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

Kaynakça

Küzeci, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi,  Ankara, 2019, s. 193.

Braun, Cihan Avcı “Kişisel Verilerin İşlenmesinde Rıza”, YÜHFD, C.XV, 2018/1, s.13-33.

Article 29 Working Party Guidelines on consent under Regulation 2016/679, Adopted on 28 November 2017 As last Revised and Adopted on 10 April 2018.

Hallinan, Dara / Friedewald, Michael,   “Open consent, biobanking and data protection law: can open consent be ‘informed’ under the forthcoming data protection regulation?”, Life Sciences, Society and Policy (2015) 11:1 DOI 10.1186/s40504-014-0020-9.

Article 29 Working Party Opinion 15/2011 on the definition of consent, adopted on 13 July 2011, (WP 187).

Dülger, M. Volkan, Kişisel Verilerin Korunması Hukuku,  Hukuk Akademisi, İstanbul, 2019.

Fatema, Kaniz/Hadziselimovic, Ensar/Pandit, Harshvardhan/Debruyne, Christophe/ Lewis, Dave / O’Sullivan, Declan,  “Compliance through Informed Consent: Semantic Based Consent Permission and Data Management Model”, , Proceedings of the 5th Workshop on Society, Privacy and the Semantic Web - Policy and Technology (PrivOn2017), Vienna, Austria, October 22, 2017.

------------------------------------

[1]     Elif Küzeci, Kişisel Verilerin Korunması, 3. Bası, Turhan Kitabevi, Ankara, 2019, s. 193.

[2]     Article 29 Working Party Guidelines on consent under Regulation 2016/679, Adopted on 28 November 2017 As last Revised and Adopted on 10 April 2018, s. 3.

[3]     Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, İstanbul, 2019, s. 220.

[4]     Cihan Avcı Braun, “Kişisel Verilerin İşlenmesinde Rıza”, YÜHFD, C. XV, 2018/1, s. 19.

[5]     Dara Hallinan / Michael Friedewald, “Open consent, biobanking and data protection law: can open consent be ‘informed’ under the forthcoming data protection regulation?”, Life Sciences, Society and Policy (2015) 11:1 DOI 10.1186/s40504-014-0020-9, s. 16.

[6]     Article 29 Working Party Opinion 15/2011 on the definition of consent, adopted on 13 July 2011, (WP 187), s. 12.

[7]     GDPR Gerekçe 42 ve 43. Paragraflar; Article 29 Working Party Opinion 15/2011, s. 12.

[8]     GDPR Gerekçe 42 ve 43. Paragraflar.

[9]     GDPR Gerekçe 32, 42 ve 43. Paragraflar.

[10]    Article 29 Working Party Guidelines on consent under Regulation 2016/679, s. 10.

[11]    Article 29 Working Party Guidelines on consent under Regulation 2016/679, s. 11.

[12]    Article 29 Working Party Guidelines on consent under Regulation 2016/679, s. 12.

[13]    Article 29 Working Party Guidelines on consent under Regulation 2016/679, s. 13.

[14]    Article 29 Working Party Opinion 15/2011, s. 12.

[15]    Article 29 Working Party Guidelines on consent under Regulation 2016/679, s. 19.

[16]    Kaniz Fatema / Ensar Hadziselimovic / Harshvardhan Pandit / Christophe Debruyne / Dave Lewis / Declan O’Sullivan, “Compliance through Informed Consent: Semantic Based Consent Permission and Data Management Model”, Proceedings of the 5th Workshop on Society, Privacy and the Semantic Web - Policy and Technology (PrivOn2017), Vienna, Austria, October 22, 2017, s. 11.