Aydınlatma ve Açık Rıza Ayrımı: “Tek Kutuyla İki Onay” Dönemi Kapandı (Karar: 2018/90)

Kişisel Verileri Koruma Kurulu (Kurul), 26/07/2018 tarihli bu emsal kararı ile veri sorumlularının aydınlatma yükümlülüğü ve açık rıza süreçlerini birbirine karıştırmaması gerektiğini net bir şekilde ortaya koymuştur. Karar, kullanıcıyı “ya hep ya hiç” mantığına zorlayan dijital arayüzlerin hukuka aykırı olduğunu tescil etmektedir.

---

1. Olayın Özeti: Üyelik Kaydındaki “Birleşik Onay” Hatası

Olay: Online bir iş başvurusu platformu işleten şirketler topluluğunun veri işleme süreçleri Kurul tarafından re’sen (kendiliğinden) incelenmiştir. İnceleme sonucunda; platforma üye olurken tek bir kutucuğun işaretlenmesiyle kullanıcının hem “Aydınlatma Metnini okuduğunu” hem de “Kişisel verilerinin işlenmesine açık rıza verdiğini” beyan etmesinin istendiği tespit edilmiştir.

---

2. Kurulun Hukuki Değerlendirmesi: Bilgi Edinmek Onay Vermek Değildir

Kurul, bu uygulamayı KVKK ve ilgili Tebliğ hükümleri çerçevesinde şu gerekçelerle hatalı bulmuştur:

• Ayrı Ayrı Yerine Getirilme Zorunluluğu: Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Md. 5/1-f) uyarınca, veri işleme faaliyeti açık rızaya dayanıyorsa, aydınlatma ve açık rıza işlemlerinin ayrı ayrı yapılması şarttır.
• Hukuki Mahiyet Farkı: * Aydınlatma: Veri sorumlusunun bir ödevidir ve kişinin onayına bağlı değildir. Amaç, kişiyi bilgilendirmektir.
  • Açık Rıza: İlgili kişinin özgür iradesiyle verdiği bir izindir. Amaç, veri işlemenin hukuki zeminini oluşturmaktır.
• Seçimlik Hakka Müdahale: İlgili kişi aydınlatma metnini okumuş olabilir (bilgi edinmiştir) ancak metinde yazılan her türlü işleme faaliyetine rıza vermek zorunda değildir. Tek kutucuk kullanımı, bu seçimlik hakkı ortadan kaldırarak kişiyi zorlamaktadır.

---

3. Karar Sonucu: Mekanizmaları Ayrıştırın

Kurul inceleme neticesinde; söz konusu uygulamanın Kanun’un amacına ve Tebliğ hükümlerine aykırı olduğuna hükmetmiş; veri sorumlusuna şu talimatları vermiştir:

• Aydınlatma metninin okunduğuna dair geri bildirim ile açık rıza onay mekanizmalarının birbirinden ayrıştırılması,
• İlgili kişilere kişisel verilerinin işlenmesi hususunda seçimlik haklarının tanınması (onay verip vermeme özgürlüğü),hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Açık Rıza, Aydınlatmanın Çerezi Değildir”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, yazılımcıların ve pazarlama ekiplerinin “kullanıcıyı yormayalım, tek tıkla her şeyi halledelim” mantığının hukukla nasıl çatıştığını sıkça görüyoruz. KVKK dünyasında “kullanıcı dostu arayüz”, “hukuk dostu” olmak zorundadır. Bir kişiye “Bilgilenmen için bunu oku” demekle “Buna izin ver” demek gece ile gündüz kadar farklıdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: İnternet sitelerinizde veya mobil uygulamalarınızda “Okudum, anladım, onaylıyorum” şeklinde birleştirilmiş kutucuklar varsa bunlar saatli bir bombadır. Aydınlatma metni için bir “Onay kutucuğu” koymanıza teknik olarak gerek bile yoktur; önemli olan metne erişimin sağlanmasıdır. Ancak açık rıza için mutlaka boş ve işaretlenmemiş ayrı bir kutucuk sunmalısınız. Kullanıcıyı aydınlatırken aynı zamanda onayını “paket” halinde almak, o rızayı sakatlar ve geçersiz kılar.

---

Sıkça Sorulan Sorular

1. “Aydınlatma metnini okudum” kutucuğunu işaretlemek zorunda mıyım?

Hayır. Aydınlatma metni sizinle paylaşıldığı an veri sorumlusu yükümlülüğünü yerine getirmiş sayılır. Ancak şirketler, ileride “bilgilendirdim” diyebilmek için ispat amacıyla bu kutucuğu koyarlar. Bu bir “rıza” değildir.

2. Aydınlatma ve Açık Rıza neden tek kutuda olamaz?

Çünkü aydınlatma metnini okumak pasif bir eylemdir, rıza vermek ise aktif bir seçimdir. Tek kutu kullanıldığında, “Okudum ama rıza vermiyorum” deme hakkınız elinizden alınmış olur.

3. İş başvurusu yaparken bu kutucukları işaretlemezsem ne olur?

Aydınlatma her halükarda yapılmalıdır. Ancak kişisel verilerinizin işlenmesi sadece “açık rıza” şartına dayanıyorsa ve siz rıza vermezseniz, şirket bu verileri işleyemeyeceği için başvurunuzu değerlendirmeye alamayabilir. Fakat bu rıza, “aydınlatma” ile birleştirilerek size dayatılmamalıdır.

4. Kurul bu kararda neden para cezası vermedi?

Kurul, özellikle Kanun’un yeni uygulandığı dönemlerde (2018 gibi) doğrudan ceza kesmek yerine, şirketleri eğitmek ve süreçlerini düzeltmeleri için “talimatlandırma” yolunu sıklıkla tercih etmiştir. Ancak günümüzde bu tür bir ihlal genellikle idari para cezasıyla sonuçlanmaktadır.

5. Birleşik kutucuk (bundled consent) neden risklidir?

Hukuken “özgür irade”yi sakatladığı kabul edilir. Eğer rıza özgür iradeyle verilmemişse, o rıza geçersizdir. Rıza geçersiz olduğunda ise yapılan tüm veri işleme faaliyeti hukuka aykırı hale gelir.

---

Kaynaklar

• KVKK Kurumu – 2018/90 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5 ve 10)
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

---

Etiketler

KVKK, Aydınlatma Yükümlülüğü, Açık Rıza, Karar Analizi, 2018/90 Sayılı Karar, Kişisel Veri İşleme, Bilgilendirme Yükümlülüğü, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, İş Başvurusu, Seçimlik Hak, Şirketler Topluluğu

Veri sorumlusu, aydınlatma ve açık rıza süreçlerini ayrıştırması gerektiği konusunda net bir şekilde talimatlandırılmıştır. Bir sonraki analize geçmek için yeni bir karar metni paylaşabilirsiniz.