Açık Rıza Ve Aydınlatma Metinlerinin Ayrı Düzenlenmesine İlişkin KVKK İlke Kararı

Yeni Gelişme

Kişisel Verileri Koruma Kurulu (“Kurul”), 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı (“İlke Kararı”) ile, veri sorumluları tarafından ilgili kişilere sunulan açık rıza metinleri ile aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiğini açıkça ortaya koymuştur. Söz konusu İlke Kararı, 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanmıştır.

Kurul, uygulamada açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde kurgulanmasının, Kurum’a intikal eden ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılıklardan biri olduğunu tespit etmektedir. Bu nedenle İlke Kararı, özellikle açık rızaya dayalı veri işleme süreçleri bakımından, veri sorumlularının metin mimarisini ve onay akışlarını yeniden gözden geçirmesi gerektiğine işaret etmektedir.

Karar Ne Diyor?

Kurul, aydınlatma yükümlülüğü ile açık rızanın hukuki niteliği ve işlevi itibarıyla farklı kavramlar olduğunu; bu nedenle aynı metin içinde, tek bir beyanla veya tek bir onay akışıyla sunulmalarının uygun olmadığını belirtmektedir. Ayrıca, kişisel veri işleme faaliyetinin açık rıza şartına dayandığı hâllerde, aydınlatma yükümlülüğünün yerine getirilmesi ile açık rızanın alınmasının ayrı ayrı gerçekleştirilmesi gerektiğini vurgulamaktadır.

Buna göre Kurul’un öne çıkardığı başlıca esaslar şu şekildedir:

• İlk olarak, aydınlatma yükümlülüğü, ilgili kişinin talebine veya onayına bağlı olmaksızın, veri işlemeye başlanmadan önce yerine getirilmelidir. Bu yükümlülük, veri işleme şartından bağımsız bir yükümlülük olarak ele alınmaktadır.
• İkinci olarak, veri işleme faaliyetinin açık rızaya dayanması hâlinde, aydınlatma metni ile açık rıza metni ayrı başlıklar altında ve ayrı metinler olarak düzenlenmelidir. Aynı sayfada yer almaları mümkün olmakla birlikte, içerik ve beyan alanları bakımından açık biçimde ayrıştırılmaları gerekmektedir.
• Üçüncü olarak, veri işleme faaliyeti açık rıza dışındaki işleme şartlarından birine dayanıyorsa, ilgili kişilere ayrıca açık rıza metni sunulmamalıdır. Bu çerçevede, açık rıza gerekmeyen durumlarda “güvence amaçlı” rıza alınması yaklaşımı da isabetli görülmemektedir.
• Dördüncü olarak, ilgili kişilerden yalnızca aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin bir beyan alınabilir; buna karşılık aydınlatma metni, “okudum, anladım, kabul ediyorum” veya benzeri ifadelerle bir onay ya da rıza metnine dönüştürülmemelidir. Ayrıca, aydınlatma yükümlülüğünün yerine getirildiğinin ispat yükü veri sorumlusuna aittir.
• Son olarak Kurul, metinlerin açık, anlaşılır ve sade bir dille kaleme alınması; genel, belirsiz, yanıltıcı veya gereksiz ölçüde uzun ifadelere yer verilmemesi; ayrıca metinlerin her veri sorumlusunun kendi veri işleme faaliyetlerine uygun şekilde hazırlanması gerektiğini belirtmektedir. Bu kapsamda, başka veri sorumlularına ait metinlerin birebir kullanılmasından da kaçınılmalıdır.

Sonuç ve Uygulamaya Etkileri

İlke Kararı’nın ekindeki kötü uygulama şablonu, uygulamada yaygın şekilde kullanılan metin yapısını neredeyse birebir yansıtmaktadır. Bu durum, mevcut metinlerin önemli bir bölümünün Kurul’un ortaya koyduğu standartla uyumsuz olabileceğine işaret etmektedir. Özellikle internet siteleri, mobil uygulamalar, üyelik formları, çağrı merkezi akışları, kampanya katılım ekranları, çalışan süreçleri ve müşteri onboarding dokümanları bakımından mevcut metin setlerinin yeniden gözden geçirilmesi gerekebilecektir.

Bu çerçevede, veri sorumluları bakımından öne çıkan yapılması gerekenler şu şekilde özetlenebilir:

• Aydınlatma metnini veri işlemeye başlamadan önce ve ilgili kişinin onayından bağımsız şekilde sunmak;
• Açık rıza gerekiyorsa bunu ayrı bir metin ve ayrı bir irade açıklamasıyla almak;
• Aynı sayfa kullanılacaksa dahi aydınlatma ve açık rıza bölümlerini başlık, içerik ve beyan alanları bakımından net biçimde ayırmak;
• Her işleme faaliyeti için dayanılan hukuki sebebi doğru tespit etmek; metinleri şirketin kendi faaliyetlerine göre özelleştirmek;
• Kısa, sade, açık ve somut bir anlatım kullanmak.

Buna karşılık, kaçınılması gereken uygulamalar da İlke Kararı’ndan açıkça çıkarılabilmektedir:

• Aydınlatma ve açık rızayı tek bir metinde birleştirmek;
• “Okudum, anladım, kabul ediyorum ve açık rıza veriyorum” benzeri birleşik beyanlar kullanmak;
• Açık rıza gerekmeyen işlemler için de otomatik olarak rıza toplamaya çalışmak;
• Aydınlatma metnini bir sözleşme veya onay metni gibi kurgulamak;
• Başka şirketlerden alınan örnek metinleri birebir kullanmak;
• Belirsiz, genel, yanıltıcı veya aşırı uzun açıklamalarla ilgili kişinin gerçek anlamda bilgilendirilmesini zorlaştırmak.

İlke Kararı’nda ayrıca bir uyum süresi öngörülmemiştir. Bu nedenle İlke Kararı, veri sorumluları bakımından ileri tarihli bir geçiş takvimi kurmaktan ziyade, mevcut mevzuat çerçevesinde zaten benimsenmesi gereken uygulama standardını açıklığa kavuşturmaktadır. Bu çerçevede veri sorumlularının, mevcut aydınlatma ve açık rıza metinlerini işleme faaliyeti bazında taraması, birleşik metin ve birleşik onay akışı içeren süreçleri dijital ve fiziksel tüm kanallarda tespit etmesi ve gerekli ayrıştırma çalışmasını ilgili birimlerle koordineli şekilde yürütmesi önem arz etmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.