Tüm Yayınlara Dön Mevzuat Uyumu & Veri Koruma

Açık Rıza ve Aydınlatma Metinleri Ayrı Düzenlenecek

Yazan Semiz Hukuk Bürosu

Yeni Gelişme

Kişisel Verileri Koruma Kurulu (“Kurul”), 18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Kararı (“İlke Kararı”) ile veri sorumluları tarafından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiğine hükmetmiştir. İlke Kararı, 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

Kurul, açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulmasının, ihbar ve şikâyetlerde en çok karşılaşılan hukuka aykırılıklardan biri olduğunu vurgulamıştır. İlke Kararı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü ile Kanun’un 3’üncü maddesinde tanımlanan açık rıza kavramının nitelik itibarıyla farklı kavramlar olduğunu ve bunların ayrı ayrı düzenlenmesi gerektiğini açıkça ortaya koymaktadır.

Açık Rıza ve Aydınlatma Yükümlülüğü Arasındaki Farklar

Kanun’un 3’üncü maddesinde açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Açık rıza, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine izin verdiğini/işlenmesini onayladığını gösteren özgürce verilmiş, konuya özel, bilgilendirilmiş ve belirsizlik içermeyen bir irade beyanıdır. Kanun’un 5’inci ve 6’ncı maddelerinde kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları arasında açık rıza alınması sayılmıştır.

Aydınlatma yükümlülüğü ise Kanun’un 10’uncu maddesinde düzenlenmiştir. Bu yükümlülük kapsamında veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere şu bilgileri sunmakla yükümlüdür: (i) veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) Kanun’un 11’inci maddesinde sayılan diğer haklar.

İlke Kararı’nda vurgulanan temel ayrım şudur: Aydınlatma yükümlülüğü, gerek açık rızaya gerekse Kanun’da sayılan diğer işleme şartlarına dayalı kişisel veri işleme faaliyetlerinde her durumda yerine getirilmesi gereken bağımsız bir yükümlülüktür. Açık rıza ise yalnızca Kanun’un 5’inci ve 6’ncı maddelerinde sayılan diğer işleme şartlarının bulunmadığı hâllerde başvurulan bir veri işleme şartıdır.

İlke Kararı ile Getirilen Yükümlülükler

İlke Kararı, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (“Aydınlatma Tebliği”) 5’inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünü esas almakta ve bu hükmün uygulamadaki karşılığını detaylı olarak ortaya koymaktadır.

İlke Kararı uyarınca veri sorumlularının uyması gereken başlıca kurallar şu şekilde özetlenebilir:

  • İlgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğü, kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun’da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her durumda (kişisel veri işlemeye başlamadan önce) yerine getirilmelidir.
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır.
  • Aydınlatma metni ve açık rıza metni aynı sayfada yer alsa dahi her iki metnin farklı başlıklar altında (alt alta gelecek şekilde) ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulacak şekilde düzenlenmesi gerekmektedir.
  • Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi yeterlidir; ilgili kişilere ayrıca açık rıza metni sunulmamalıdır.
  • İlgili kişilerden sadece aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınması yeterlidir; aydınlatma metninde yer alan ifadeler için onay/rıza verilmesinin talep edilmemesi gerekmektedir.

Sıkça Karşılaşılan Hukuka Aykırılıklar

İlke Kararı’nda Kurul, uygulamada sıkça tespit edilen hukuka aykırılıkları da açıkça belirlemiştir. Buna göre aşağıdaki uygulamalar hukuka aykırı kabul edilmektedir:

  • Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması.
  • Aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi.
  • Başka bir veri sorumlusu tarafından düzenlenen metinlerin, veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir aynısının kullanılması.
  • Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmesi (örneğin; yurt dışına aktarım yapılmıyorken yurt dışına aktarım yapıldığı izlenimini uyandıran ifadelerin kullanılması).
  • Çok detaylı, karmaşık ve uzun metinlerin kullanılması.

Aydınlatma Metnindeki Beyan İfadeleri

İlke Kararı, aydınlatma metinlerinin sonunda yer alan beyan ifadelerine ilişkin önemli bir ayrıma dikkat çekmektedir. Aydınlatma yükümlülüğünün amacı, işlenen kişisel veriler ve işleme faaliyetlerine ilişkin olarak ilgili kişilerin bilgilendirilmesinden ibaret olup aydınlatma metinleri sözleşme niteliği taşımamaktadır.

Hukuka Aykırı İfadelerHukuka Uygun İfade
”Okudum ve kabul ediyorum""Okudum ve anladım"
"Okudum ve açık rıza veriyorum"
"Okudum ve onaylıyorum”

Buna göre, aydınlatma metinlerinin sonunda “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum” veya “okudum ve onaylıyorum” gibi ifadelerin kullanılması hukuka aykırı olup bu ifadeler yerine aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığına yönelik olarak “okudum ve anladım” şeklindeki beyanın bulunması hukuka uygun kabul edilmektedir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.

İyi ve Kötü Uygulama Şablonları

İlke Kararı, veri sorumlularına yol göstermek amacıyla iki adet ek içermektedir. Ek-1 (İyi Uygulama Şablonları), aydınlatma metni ile açık rıza metninin ayrı düzenlenmiş halini iki farklı formatta (ayrı sayfa ve tek sayfa) örneklemektedir. Bu şablonlarda aydınlatma metni, Kanun’un 10’uncu maddesindeki zorunlu unsurları içermekte ve sonunda “Kişisel verilerimin işlenmesine yönelik aydınlatma metnini okudum ve anladım” ifadesiyle tamamlanmaktadır. Açık rıza metni ise ayrı bir başlık altında, yalnızca açık rızaya dayalı veri işleme faaliyetlerini kapsayacak şekilde sunulmakta ve “Açık rıza veriyorum / Açık rıza vermiyorum” şeklinde seçenek içermektedir.

Ek-2 (Kötü Uygulama Şablonu) ise aydınlatma ve açık rıza metinlerinin birleştirildiği, hukuki sebebin ve veri kategorilerinin açık ve net belirtilmediği, veri sorumlusunun kimlik bilgilerinin eksik bırakıldığı ve sonunda “Aydınlatma metnini okudum ve kabul ediyorum” ifadesinin kullanıldığı bir örnek sunmaktadır. Kurul, bu tür uygulamaların açık rıza ve aydınlatma metinlerinin ayrılması gerekliliğine aykırı düştüğünü ifade etmiştir.

Yaptırımlar

İlke Kararı, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumlularının alması gereken idari ve teknik tedbirlerden olduğunu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceğine dair kamuoyunu bilgilendirmiştir. Bu kapsamda, aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlularına idari para cezası uygulanması gündeme gelebilecektir.

Sonuç ve Değerlendirme

İlke Kararı, uygulamada uzun süredir devam eden ve Kurul tarafından en çok şikâyet konusu edilen sorunlardan birini doğrudan ele almaktadır. Açık rıza ile aydınlatma kavramlarının farklı hukuki temellere dayandığı ve birbirinden bağımsız yükümlülükler olduğu, Aydınlatma Tebliği’nin 5’inci maddesinin (f) bendinde zaten düzenlenmekte idi; ancak İlke Kararı ile bu ayrım hem somut örneklerle desteklenmiş hem de uygulamada tespit edilen hukuka aykırılıklar açıkça sayılmıştır.

Bu doğrultuda veri sorumlularının aşağıdaki adımları ivedilikle atması tavsiye edilmektedir:

  • Mevcut aydınlatma metinleri ve açık rıza metinlerinin gözden geçirilerek, iç içe geçmiş veya birleştirilmiş metinlerin ayrıştırılması,
  • Aydınlatma metinlerinin sonunda yer alan beyan ifadelerinin İlke Kararı’na uygun hale getirilmesi (“okudum ve kabul ediyorum” yerine “okudum ve anladım” ifadesinin kullanılması),
  • Açık rıza gerektirmeyen veri işleme faaliyetlerinde ilgili kişilere açık rıza metni sunulmaması,
  • Web sitelerinde, mobil uygulamalarda ve fiziksel formlarda kullanılan tüm veri toplama süreçlerinin İlke Kararı ile uyumluluğunun kontrol edilmesi,
  • İlke Kararı ekinde yer alan iyi uygulama şablonlarının referans alınarak mevcut metinlerin güncellenmesi.

Daha fazla bilgi için: [email protected] | www.semizlaw.com