Kişisel Verileri Koruma Kurulu (Kurul), veri sorumlularının aydınlatma yükümlülüklerini yerine getirirken ve açık rıza alırken yaptıkları yaygın hataları gidermek amacıyla 2026/347 sayılı yeni bir İlke Kararı yayımlamıştır. Bu karar, özellikle aydınlatma ve açık rıza metinlerinin “iç içe geçmiş” şekilde sunulmasını hukuka aykırı bularak, bu belgelerin ayrı ayrı düzenlenmesi gerektiğini tescil etmiştir.

Aydınlatma ve Açık Rıza Arasındaki Temel Farklar

Kurul, nitelikleri itibarıyla bu iki kavramın farklı amaçlara hizmet ettiğini vurgulamaktadır:

• Aydınlatma Yükümlülüğü: Veri sorumlusunun, kişisel verileri işlenen kişileri bilgilendirmesi anlamına gelir. Herhangi bir onaya bağlı değildir ve veri işlemeye başlamadan önce her durumda yerine getirilmelidir.
• Açık Rıza: Kişisel verilerin hukuka uygun işlenebilmesi için gereken şartlardan biridir ve “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan” bir beyandır.

İlke Kararı Uyarınca Yeni Uygulama Standartları

Veri sorumlularının teknik ve idari tedbir kapsamında uyması gereken yeni kurallar şunlardır:

• Ayrı Metin Şartı: Veri işleme faaliyetinin açık rızaya dayandığı durumlarda, aydınlatma metni ve açık rıza metni farklı başlıklar altında, ayrı ayrı sunulmalıdır.
• Ayrı Beyan Alınması: Metinler aynı sayfada olsa dahi, kullanıcıdan aydınlatma için ayrı, açık rıza için ayrı onay (beyan) alınmalıdır.
• Dil ve Üslup: Metinler açık, anlaşılır ve sade bir dille yazılmalı; genel, muğlak veya yanıltıcı ifadelerden (örneğin; “verileriniz 5. ve 6. madde kapsamında işlenmektedir” gibi) kaçınılmalıdır.
• Onay İfadeleri: Aydınlatma metinlerinde “okudum ve kabul ediyorum” veya “onaylıyorum” gibi ifadeler yerine, metnin bilgilendirme amaçlı olduğunu vurgulayan “okudum ve anladım” ifadesi kullanılmalıdır.
• Gereksiz Rıza Talebi: Eğer veri işleme faaliyeti açık rıza dışındaki bir şarta (örneğin; kanunlarda öngörülme veya sözleşmenin ifası) dayanıyorsa, ilgili kişiye ayrıca bir açık rıza metni sunulmamalıdır.

Kurulun Tespit Ettiği “Kötü Uygulama” Örnekleri

İlke kararı, uygulamada sıkça karşılaşılan şu hataların düzeltilmesi gerektiğini belirtmektedir:

• Aydınlatma yapıldığına dair kişilerden onay veya rıza talep edilmesi.
• Başka şirketlerin metinlerinin, kendi faaliyetlerine uyarlanmadan birebir kopyalanarak kullanılması.
• Karmaşık ve çok detaylı metinlerle ilgili kişilerin kafasının karıştırılması.
• Veri sorumlusunun kimlik ve iletişim bilgilerine yer verilmemesi.

Özgür Eralp Perspektifi: “Hukuki Uyum, Şablon Kopyalamak Değildir”

Bilişim hukukunda 25 yılı devirirken ve 700’den fazla bilirkişi raporunu analiz etmiş bir hukukçu olarak vurgulamalıyım ki; internetten kopyalanan “Aydınlatma Metinleri” işletmeniz için bir koruma kalkanı değil, Kurul nezdinde birer “itirafname” niteliğindedir. Kurul’un bu ilke kararıyla sunduğu İyi Uygulama Şablonları, her işletmenin kendi veri haritasına göre özelleştirilmelidir.

---

Sıkça Sorulan Sorular

1. Aydınlatma metnini onaylamazsam kişisel verilerim işlenemez mi?

Aydınlatma metni bir onay belgesi değildir; bilgilendirmedir. Veri işleme şartı kanundan veya sözleşmeden kaynaklanıyorsa, aydınlatmayı sadece okumanız yeterlidir, onayınız aranmaz.

2. Açık rıza ve aydınlatma tek bir “tik” kutusu ile alınabilir mi?

Hayır. İlke kararı uyarınca, aydınlatmanın okunduğuna dair beyan ile açık rıza beyanı ayrı ayrı alınmalıdır.

3. “Tüm verilerimin işlenmesine izin veriyorum” şeklinde bir genel rıza geçerli midir?

Geçersizdir. Açık rıza “belirli bir konuya ilişkin” olmalıdır. Hangi verinin hangi amaçla işleneceği netleştirilmelidir.

4. Aydınlatma metninde Kanun’un 11. maddesinin tamamını kopyalamak zorunda mıyız?

Hayır. Metnin okunabilirliğini artırmak için madde içeriğini kopyalamak yerine “Kanun’un 11. maddesi kapsamındaki haklarınız” şeklinde yönlendirme yapılması önerilir.

5. Bu karara uymayan veri sorumlularını ne bekliyor?

Kurul, bu ilke kararındaki hususları veri güvenliği ilişkin teknik ve idari tedbirler kapsamında değerlendirir. Aykırılık durumunda Kanun’un 18. maddesi uyarınca idari para cezası uygulanır.

---

Kaynaklar

• KVKK Kurumu – Açık Rıza ve Aydınlatma Metinlerinin Ayrılması İlke Kararı (2026/347)
• Resmî Gazete – 24 Mart 2026 (Sayı: 33203)
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
• Türkiye Barolar Birliği ve Ankara Barosu Bilişim Hukuku Kaynakları