KVKK Aydınlatma ve Açık Rıza Metni süreçlerinde şeffaflığı ve veri sahiplerinin haklarını korumaya yönelik kritik bir eşik aşılmıştır. Kişisel Verileri Koruma Kurulu (Kurul), 18/02/2026 tarihli ve 2026/347 sayılı İlke Kararı ile veri sorumlularının uzun süredir devam ettirdiği hatalı uygulamalara son verecek net kurallar belirlemiştir. Kuruma intikal eden ihbar ve şikâyetler, özellikle KVKK Aydınlatma ve Açık Rıza Metni belgelerinin iç içe geçmiş olmasının en yaygın hukuka aykırılık olduğunu ortaya koymaktadır.
Kavramsal Farklar: Neden Ayrım Yapılmalı?
Kanun’un 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü, temelinde ilgili kişilerin kişisel veri işleme faaliyetleri hakkında bilgilendirilmesi anlamına gelmektedir. Açık rıza ise, verilerin hukuka uygun işlenebilmesi için öngörülen şartlardan yalnızca biridir. Kurul, nitelikleri itibarıyla tamamen farklı olan bu iki kavramın aynı metinde sunulmasının karışıklığa yol açtığını tespit etmiştir.
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan bir onaydır. Aydınlatma metinleri ise birer sözleşme niteliği taşımamakta, sadece bilgilendirme amacı gütmektedir. Bu nedenle, aydınlatma metninin sonunda “okudum ve kabul ediyorum” gibi rıza beyanı içeren ifadelerin kullanılması hukuka aykırı bulunmuştur; bunun yerine sadece “okudum ve anladım” beyanı aranmalıdır.
Yeni Düzenlemede Öne Çıkan Zorunluluklar
Kurul Kararı uyarınca, veri işleme faaliyeti açık rıza şartına dayanıyorsa, aydınlatma yükümlülüğü ve rıza alma işlemleri ayrı ayrı yerine getirilmelidir. Bu süreçte dikkat edilmesi gereken teknik detaylar şunlardır:
- Bağımsız Metin Şartı: Veri işleme şartı ne olursa olsun, aydınlatma yükümlülüğü her durumda (işleme başlamadan önce) yerine getirilmelidir.
- Sayfa Düzeni: Metinler tek bir sayfada bulunsa dahi, farklı başlıklar altında alt alta yer almalı ve her iki metin için ayrı beyan/imza alanı oluşturulmalıdır.
- Sade ve Anlaşılır Dil: Metinlerde karmaşık ve çok uzun ifadelerden kaçınılmalı, ilgili kişiyi yanıltıcı veya “Kanun’un 5 ve 6’ncı maddesi uyarınca işlenmektedir” gibi muğlak bilgilere yer verilmemelidir.
- Özgünlük: Başka bir kurumun metnini birebir kopyalamak yerine, her veri sorumlusu kendi organizasyonuna ve veri kategorilerine uygun özel metinler hazırlamalıdır.
Uygulamada Sık Yapılan Hatalar ve “Kötü Örnekler”
Kurul, veri sorumlularının sıklıkla düştüğü hataları “Kötü Uygulama Şablonu” ile somutlaştırmıştır. Örneğin; veri sorumlusunun kimliğine yer verilmemesi , aktarım yapılan alıcı gruplarının net belirtilmemesi ve aydınlatma metni içinde onay talep edilmesi temel ihlal sebepleridir. Ayrıca, işlenen verilerin açık ve net kategoriler halinde listelenmemesi de şeffaflık ilkesine aykırıdır.
Kurul Kararına Göre “İyi Uygulama” ve “Kötü Uygulama” Örnekleri
KVKK, karar ekinde veri sorumlularına yol göstermek adına şablonlar sunmuştur . İşte dikkat edilmesi gereken temel farklar:
| Özellik | ❌ Kötü Uygulama Şablonu (Hukuka Aykırı) | ✅ İyi Uygulama Şablonu (Hukuka Uygun) |
| Metin Yapısı | Açık rıza ve aydınlatma metinleri iç içe geçmiş, karmaşık tek metin | Metinler farklı başlıklar altında, ayrı ayrı metinler olarak düzenlenmiş |
| Onay Beyanı | Metnin sonunda “Okudum ve kabul ediyorum / onaylıyorum” ifadesi | Aydınlatma için: “Okudum ve anladım” . Açık rıza için: “Açık rıza veriyorum / vermiyorum” seçenekleri |
| Açıklık ve Dil | Muğlak ifadeler, “Kanun’un 5 ve 6’ncı maddesi kapsamında işlenmektedir” gibi genel atıflar | Açık, anlaşılır, sade bir dil. Veri kategorileri, amaç ve hukuki sebep net |
| Özgünlük | Başka veri sorumlusunun metninin aynısı (kopyala-yapıştır) | Veri sorumlusunun kendi organizasyonuna ve faaliyetlerine uygun özel metin |
| Tek Sayfa Kullanımı | Tek bir beyan ile hem aydınlatma hem onay alınması | Aynı sayfada olsa bile, alt alta iki ayrı metin ve iki ayrı beyan/imza alanı |
Veri Sorumluları İçin Uyumluluk Değerlendirmesi ve Atılması Gereken Adımlar
Kişisel Verileri Koruma Kurulu’nun bu ilke kararı, sadece yeni metinler oluşturulmasını değil, kurumların halihazırdaki tüm veri işleme süreçlerinin yasal standartlara göre yeniden değerlendirilmesini zorunlu kılmaktadır. İdari yaptırımlarla karşılaşmamak ve veri öznelerinin haklarını korumak adına veri sorumlularının aşağıdaki hususları gözden geçirmesi hukuki bir gerekliliktir:
- Mevcut Metinlerin Denetimi: Şirket bünyesinde kullanılan aydınlatma ve açık rıza formlarının, “iç içe geçmişlik” kriteri açısından analiz edilmesi ve ayrıştırılması gerekmektedir.
- Operasyonel Süreçlerin Özgünleştirilmesi: Metinlerin, başka veri sorumlularından kopyalanması yerine, kurumun kendi organizasyon yapısına ve fiili veri işleme faaliyetlerine uygun hale getirilmesi şarttır.
- Terminoloji ve Dil Revizyonu: Aydınlatma metinlerinde rıza çağrıştıran ifadelerden kaçınılmalı; sade, açık ve ilgili kişiyi yanıltmayacak bir dil benimsenmelidir.
- İdari Tedbirlerin Güncellenmesi: Kurul, bu ilke kararına uyumu Kanun’un 12’nci maddesi kapsamında alınması gereken “idari tedbirlerden” biri olarak kabul etmiştir. Dolayısıyla, uyum sürecinin bu yeni parametrelerle güncellenmesi bir tercih değil, yasal zorunluluktur.
KVKK uyum yönetimi ve bu yeni ilke kararının operasyonel süreçlerinize entegrasyonu hakkında daha detaylı bilgi veya hukuki değerlendirme almak için bizimle iletişime geçebilirsiniz.