Tüm yazılar
KVKK Temelleri12.02.2025 6 dk Hukuk Ekibi

Açık Rıza mı, Meşru Menfaat mi? KVKK'da Hukuki Sebep Seçimi

Veri işlerken hangi hukuki sebebe dayanacağınız uyumun temelidir. Açık rıza ile meşru menfaat arasındaki fark ve doğru tercih.

Neden hukuki sebep bu kadar önemli?

KVKK Madde 5, kişisel verinin işlenebilmesi için en az bir hukuki sebebin bulunmasını şart koşar. Hukuki sebep, işlemenin "iznidir": doğru sebep seçilmezse, işleme baştan hukuka aykırı hale gelir. En çok karıştırılan iki sebep ise açık rıza ile meşru menfaattir.

Açık rıza nedir?

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Üç unsuru birlikte taşımalıdır:

  • Belirli olmalı: "Her türlü işleme onay veriyorum" gibi genel bir ifade geçerli değildir.
  • Bilgilendirmeye dayanmalı: Kişi neye onay verdiğini anlamalıdır.
  • Özgür iradeyle verilmeli: Hizmetin ön koşulu haline getirilen, geri alınması zorlaştırılan rıza özgür sayılmaz.

Açık rızanın en kritik özelliği her zaman geri alınabilir olmasıdır. Kişi rızasını geri çektiğinde, o sebebe dayalı işleme durdurulmalıdır.

Meşru menfaat nedir?

Meşru menfaat; veri sorumlusunun, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatleri için zorunlu olan işlemeyi yapabilmesidir. Burada kişiden onay alınmaz; bunun yerine bir denge testi yapılır.

Denge testinin üç adımı:

  • Amaç testi: İşlemenin arkasında gerçek, meşru bir menfaat var mı?
  • Zorunluluk testi: Bu amaca daha az müdahaleci bir yolla ulaşılabilir mi? Ulaşılabiliyorsa meşru menfaate dayanılamaz.
  • Denge testi: Sorumlunun menfaati, ilgili kişinin hak ve özgürlüklerine ağır basıyor mu?

Hangisini seçmeliyim?

Pratik bir kural: açık rızayı son çare olarak görün. Madde 5'teki diğer sebeplerden biri uygulanabiliyorsa, genellikle rızadan daha sağlamdır, çünkü rıza her an geri alınabilir ve bu da işlemenin sürekliliğini riske atar.

Tipik tercihler:

  • Sözleşmenin ifası için zorunlu işleme (örneğin sipariş teslimi için adres) → rızaya gerek yok.
  • Hukuki yükümlülük (örneğin yasal saklama süreleri) → rızaya gerek yok.
  • Doğrudan pazarlama, profilleme, izleme gibi beklenmedik kullanımlar → çoğunlukla açık rıza gerekir.
  • Özel nitelikli veriler (sağlık, biyometrik vb.) → çok daha sıkı kurallara tabidir; çoğu durumda açık rıza veya açıkça öngörülmüş bir istisna aranır.

Sık yapılan hatalar

  • Her şeye rıza toplamak: Sözleşme için zaten işlenmesi gereken veriye rıza eklemek, kişiyi yanıltır ve rıza geri alındığında çelişki yaratır.
  • Meşru menfaati denge testi yapmadan ileri sürmek: Test belgelendirilmezse, denetimde "gerekçe yok" değerlendirmesiyle karşılaşılabilir.
  • Rızayı paket halinde dayatmak: Birden çok amaca tek kutucukla onay almak, "belirli" olma şartını zedeler.

Doğru yaklaşım

Her işleme faaliyeti için önce amacı, sonra en uygun hukuki sebebi belirleyin ve bu kararı yazılı olarak gerekçelendirin. Bu gerekçe, hem aydınlatma metninizin hem de denetim savunmanızın temelini oluşturur.

Wyverix'un veri işleme envanteri, her faaliyet için seçtiğiniz hukuki sebebi ve meşru menfaat denge testi notlarınızı kayıt altına alarak, gerektiğinde gerekçenizi tek bakışta sunmanızı sağlar.

Bu konuda yardıma ihtiyacınız var mı?

Ücretsiz Demo Al

Diğer yazılar

DPO Rehberi

DPIA Nedir, Ne Zaman Zorunlu? Adım Adım Etki Değerlendirmesi

7 dk
AI Act

AI Act ve KVKK: Türkiye'deki Şirketler İçin 2026 Yol Haritası

8 dk
VERBİS

VERBİS Kaydı 2025: Kimler Zorunlu, Nasıl Yapılır?

7 dk