- within Insolvency/Bankruptcy/Re-Structuring, Environment and Real Estate and Construction topic(s)
1. Kararın Özeti
Kişisel Verileri Koruma Kurumu’na (“Kurum”) intikal eden ihbar ve şikâyetler neticesinde, 18/02/2026 tarihli, 2026/347 Sayılı Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı, 24/03/2026 tarihinde Resmî Gazete’de yayınlanmıştır. Kişisel Verileri Koruma Kurulu (“Kurul”), veri sorumluları tarafından açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulmasının en çok karşılaşılan hukuka aykırılıklardan biri olduğunu tespit etmiş ve ilke kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü ile açık rıza kavramlarının nitelik itibarıyla birbirinden farklı olduğunu vurgulamış; açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlemesi gerektiğini belirtmiştir.
Bu doğrultuda ayrıca Kurul, aydınlatma metinlerinin sözleşme niteliği taşımadığını; “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum”, “okudum ve onaylıyorum” gibi ifadelerin aydınlatma metninin okunduğuna ve anlaşıldığına yönelik olarak “okudum ve anladım” şeklinde düzenlenmesi gerektiğini; aksi yöndeki ifadelerin hukuka uygun bir kullanım teşkil etmeyeceğini ortaya koymuştur. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.
2. İlke Kararı ile Getirilen Standartlar
Kurul, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’ine atıfta bulunarak, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rıza alma işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini açıkça hükme bağlamıştır. Kurul, bu kapsamda aşağıdaki standartları belirlemiştir:
2.1. Aydınlatma ve Açık Rıza Metinlerinin Ayrılığı
Aydınlatma metni ile açık rıza metni, nitelik itibarıyla farklı kavramlara karşılık geldiğinden, işleme şartından bağımsız olarak her durumda veri sorumluları tarafından ayrı ayrı metinler olarak hazırlanmalı ve ilgili kişilere sunulmalıdır. Aydınlatma yükümlülüğü, veri işleme faaliyeti KVKK’da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirilirse gerçekleştirilsin, kişisel veri işlemeye başlamadan önce yerine getirilmelidir.
2.2. Aydınlatma ve Açık Rıza Metinlerinin Aynı Sayfada Sunulması Hâlinde Uyulacak Kurallar
Açık rıza ve aydınlatma metinlerinin aynı sayfada yer alması hâlinde, farklı başlıklar altında ayrı metinler olarak düzenlenmesi ve her iki metin için ayrı beyanlarda bulunulacak şekilde tasarlanması gerekmektedir. Kişisel veri işleme faaliyetinin açık rıza dışındaki diğer işleme şartlarından birine dayalı olarak gerçekleştirilmesi hâlinde, ilgili kişilere yalnızca aydınlatma yükümlülüğü yerine getirilmeli; ayrıca açık rıza metni sunulmamalıdır.
2.3. Hukuka Aykırı Bulunan Uygulamalar
Kurul, aşağıdaki uygulamaları hukuka aykırı olarak değerlendirmiştir:
- Çok detaylı, karmaşık ve uzun metinlerin kullanılması
- Aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi
- Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin hâlinde sunulması
- Başka bir veri sorumlusu tarafından düzenlenen metinlerin, veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir aynısının kullanılması
- Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmesi
- İlgili kişilerden yalnızca aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınması gerekir bu kapsamda aydınlatma metninde onay/rıza verilmesine yönelik ifadelere yer verilmesi
3. Kararın Olası Etkileri
3.1. Sektörel Etki Alanı
İlke kararı, kişisel veri işleyen tüm sektörlerdeki veri sorumlularını doğrudan etkileyecek niteliktedir. Mevcut durumda, pek çok veri sorumlusunun bu metinleri tek bir metin olarak veya iç içe geçmiş biçimde sunduğu göz önüne alındığında kararın geniş kapsamlı bir uyum çalışmasını zorunlu kılacağı açıktır.
3.2. Operasyonel ve Teknik Etkiler
Veri sorumluları açısından; mevcut aydınlatma ve açık rıza metinlerinin gözden geçirilmesi, metinlerin ayrıştırılması ve beyan mekanizmalarının yeniden tasarlanması gerekmektedir. Dijital ortamlarda ayrı onay kutucukları veya pop-up mekanizmaları tasarlanmalıdır. Çağrı merkezi, canlı destek hattı, sesli yanıt sistemi ve yüz yüze müşteri temas noktaları gibi tüm veri toplama kanallarında bu ayrımın tutarlı biçimde sağlanması zorunlu olacaktır.
CRM sistemleri, pazarlama otomasyon araçları ve müşteri veri platformlarında rıza yönetim mekanizmalarının güncellenmes; açık rıza alınma zamanı, içeriği ve kapsamının aydınlatmadan bağımsız olarak loglanması ve ispat yükü açısından arşivlenmesi gerekecektir.
3.3. Hukuki Süreçlere ve Uyumsuzluk Risklerine Etkisi
İlke kararı, aydınlatma metinlerinin sözleşme niteliği taşımadığını açıkça ortaya koyarak, ilgili kişilerden yalnızca “okudum ve anladım” şeklinde geri bildirim alınması gerektiğini belirtmiştir.
4. Sonuç ve Yaptırım
Kurul, KVKK’nın 12’nci maddesinin birinci fıkrası uyarınca, kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerin, belirtilen hususlara uygun hareket edilmediğinin tespiti hâlinde ilgili veri sorumluları hakkında KVKK m.18 kapsamında işlem tesis edileceğini açıkça belirtmiştir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]