Kişisel verilerin korunması hukuku, teknolojik gelişmeler ve uygulamada karşılaşılan yeni hukuki ihtilaflar ışığında sürekli olarak evrilmektedir. Kişisel Verileri Koruma Kurulu (KVKK), veri sorumlularının sıklıkla düştüğü hataları gidermek ve veri süjelerinin (ilgili kişilerin) haklarını daha şeffaf bir zeminde korumak amacıyla önemli bir ilke kararına imza atmıştır. 24 Mart 2026 tarihli Resmi Gazete’de yayımlanan, Kurul’un 18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Kararı, uygulamada kronikleşmiş bir soruna neşter vurmaktadır: Aydınlatma metinleri ile açık rıza beyanlarının iç içe geçirilmesi sorunu.
CN Avukatlık Ofisi (cecenhukuk.com) olarak, veri sorumlularının hukuki ve idari yaptırımlarla karşılaşmamaları adına büyük önem taşıyan bu yeni ilke kararını, hukuki arka planı ve pratik sonuçları ile birlikte profesyonel bir bakış açısıyla ele alıyoruz.
Kişisel Verileri Koruma Kurulu’nun İlke Kararı Almasına Neden Olan Arka Plan
Uygulamada, özellikle dijital platformlarda, e-ticaret sitelerinde ve fiziki hizmet noktalarında veri sorumlularının en çok başvurduğu hatalı yöntemlerden biri, aydınlatma metni ile açık rıza beyanını tek bir metin veya tek bir onay kutucuğu (check-box) ardına gizlemektir. Kurul, kendisine intikal eden ihbar ve şikayetlerde bu durumun en çok karşılaşılan hukuka aykırılıklardan biri olduğunu tespit etmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) sistematiğinde, aydınlatma yükümlülüğü ve açık rıza kavramları hukuki nitelikleri, amaçları ve sonuçları itibarıyla birbirinden tamamen bağımsız iki ayrı müessesedir. Aydınlatma yükümlülüğü, veri sorumlusunun veri işlemeye başlamadan önce yerine getirmesi gereken mutlak bir yasal görevken; açık rıza, kişisel verilerin işlenebilmesi için başvurulan hukuki sebeplerden yalnızca bir tanesidir. Bu iki farklı hukuki kurumun aynı metin içerisinde, tek bir onay veya imza ile ilgili kişiye sunulması, kişinin neye onay verdiğini anlamasını zorlaştırmakta ve açık rızanın “bilgilendirilmeye dayanan ve özgür iradeyle açıklanan” olma vasfını zedelemektedir.
Aydınlatma Yükümlülüğü Bir Sözleşme Değildir, Onaya Tabi Tutulamaz
Yeni ilke kararında en çok dikkat çeken ve veri sorumlularının acilen aksiyon almasını gerektiren hususlardan biri, aydınlatma metinlerinin dilinde ve sunuluş biçiminde yapılan yanlışlıklardır. Aydınlatma metinleri, ilgili kişi ile veri sorumlusu arasında kurulan bir sözleşme niteliği taşımaz. Bu metinler, tamamen Kanun’un 10. maddesinden doğan tek taraflı bir bilgilendirme işlemidir.
Kurul kararı ile açıkça belirtilmiştir ki; aydınlatma metinlerinin sonunda veya onay aşamasında yer alan “Okudum ve kabul ediyorum”, “Okudum ve açık rıza veriyorum” veya “Okudum ve onaylıyorum” gibi ifadeler hukuka aykırıdır. Aydınlatma işlemi bir onaya veya kabule bağlı olamayacağından, bu metinler için ilgili kişiden alınabilecek tek geçerli geri bildirim “Okudum ve anladım” veya “Aydınlatma metnini okudum” şeklinde, metnin kişinin bilgisine sunulduğunu tevsik eden beyanlardır. Veri sorumlularının acilen web sitelerindeki, mobil uygulamalarındaki ve fiziki formlarındaki onay kutucuklarının metinlerini bu doğrultuda revize etmeleri gerekmektedir.
Açık Rıza ve Aydınlatma Metinlerinin Birlikte Sunulmasında Uyulacak Usuller
İlke kararı, aydınlatma ve açık rıza işlemlerinin ayrı ayrı yapılması kuralını getirirken, dijital dünyanın pratiklik ihtiyacını da göz ardı etmemiş, ancak kesin sınırlar çizmiştir. Veri sorumluları, kişisel veri işleme faaliyetini açık rıza şartına dayandırıyorsa, bu iki metni kesinlikle farklı başlıklar altında ve ayrı metinler olarak düzenlemek zorundadır.
Eğer operasyonel nedenlerle her iki metnin aynı sayfada (örneğin bir web sitesi üyelik ekranında veya tek bir fiziki evrak üzerinde) yer alması gerekiyorsa, bu durumda metinler iç içe geçirilmemeli, alt alta gelecek şekilde net sınırlarla birbirinden ayrılmalıdır. Dahası, tek bir imza veya tek bir onay kutucuğu ile her iki metin için geçerlilik sağlanamaz. Aydınlatma metninin okunduğuna dair ayrı bir geri bildirim alanı, açık rıza beyanı için ise kişiye tercih hakkı sunan ayrı bir onay alanı bulunmak zorundadır.
Alternatif Hukuki Sebeplerin Varlığında Açık Rıza Alınması Yasağı
KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları sayılmıştır. Bir sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi veya bir hakkın tesisi gibi açık rıza dışındaki işleme şartlarından biri mevcutsa, veri sorumlusu bu faaliyeti zaten hukuka uygun bir şekilde yürütebilmektedir. Kurul, 2026/347 sayılı kararı ile, açık rıza haricindeki bir hukuki sebebe dayanıldığı hallerde ilgili kişilere ayrıca açık rıza metni sunulmasını ve onlardan rıza talep edilmesini kesin bir dille yasaklamıştır.
Bu tür bir uygulama, ilgili kişiyi yanıltmakta ve hukuki sebebi muğlaklaştırmaktadır. İlgili kişi, rıza vermemesi halinde hizmetten faydalanamayacağı veya verisinin işlenmeyeceği gibi yanlış bir intibaya kapılabilmektedir. Dolayısıyla veri sorumluları, veri envanterlerini güncelleyerek hangi veriyi hangi hukuki şarta dayanarak işlediklerini netleştirmeli ve gereksiz açık rıza taleplerinden derhal kaçınmalıdır.
Metinlerin Özgünlüğü, Sadelik ve Şeffaflık İlkesi
Kararda altı çizilen bir diğer önemli husus, “kopyala-yapıştır” usulüyle hazırlanan aydınlatma metinleridir. Başka veri sorumluları tarafından hazırlanan metinlerin, şirketin kendi organizasyonuna, veri işleme süreçlerine ve faaliyetlerine uyarlanmadan birebir kullanılması Kurul tarafından açıkça hukuka aykırı bulunmuştur. Her veri sorumlusu, kendi süreçlerine özel, terzi işi (tailor-made) aydınlatma metinleri hazırlamakla yükümlüdür.
Bunun yanı sıra metinlerin dili konusunda da katı standartlar getirilmiştir. Metinler açık, anlaşılır ve sade bir dille yazılmalıdır. Muğlak ifadelere, kişileri yanıltabilecek genel ve eksik bilgilere yer verilmemelidir. Örneğin, veriler yurtdışına aktarılmıyorken, sırf metinde bulunsun diye yurtdışına aktarım yapılabileceği izlenimi yaratan ibarelerin kullanılması ihlal sebebidir. Aynı şekilde hukuki sebepler belirtilirken “Kanun’un 5. ve 6. maddesindeki şartlar dahilinde” gibi yuvarlak ifadeler kullanılamaz; hangi fıkradaki, hangi belirli hukuki sebebe dayanıldığı açıkça yazılmalıdır.
Ayrıca metinlerin gereksiz ölçüde uzun ve karmaşık olmasından kaçınılmalıdır. Örneğin, ilgili kişinin haklarını düzenleyen Kanun’un 11. maddesindeki tüm bentleri tek tek uzunca yazarak metni okunmaz hale getirmek yerine, “Kanun’un 11. maddesi kapsamındaki haklarınıza dair detaylı bilgiye [İlgili Link/Politika] üzerinden ulaşabilirsiniz” şeklinde yönlendirmeler yapmak çok daha hukuka uygun ve kullanıcı dostu bir yaklaşımdır.
İhlal Durumunda Karşılaşılacak Yaptırımlar ve Sonuç
Kişisel Verileri Koruma Kurulu, yayımladığı bu İlke Kararı ile söz konusu kurallara uyulmamasını doğrudan Kanun’un 12. maddesinin birinci fıkrası kapsamında “veri güvenliğini sağlamaya yönelik idari ve teknik tedbirlerin alınmaması” olarak değerlendireceğini ilan etmiştir. Bu durum, ilke kararında belirtilen usul ve esaslara uymayan veri sorumlularının, Kanun’un 18. maddesi uyarınca ciddi idari para cezaları ile karşı karşıya kalacağı anlamına gelmektedir. 2026 yılı itibarıyla yeniden değerleme oranları ile güncellenen KVKK idari para cezalarının şirketler için yaratabileceği ağır finansal ve itibar kayıpları göz önüne alındığında, konunun ciddiyeti daha da iyi anlaşılmaktadır.
CN Avukatlık Ofisi olarak belirtmek isteriz ki; aydınlatma ve açık rıza süreçleri, yalnızca birer metin hazırlama işi değil, kurumun tüm kişisel veri işleme ekosistemini etkileyen stratejik hukuki kurgulardır. 24 Mart 2026 tarihinde yayımlanan bu karar doğrultusunda, tüm şirketlerin, e-ticaret sitelerinin, sağlık kuruluşlarının ve verisi işleyen tüm gerçek/tüzel kişilerin mevcut aydınlatma ve açık rıza metinlerini ivedilikle revize etmeleri, onay mekanizmalarını (check-box yapılarını) yazılımsal olarak güncellemeleri ve süreçlerini mevzuata tam uyumlu hale getirmeleri yasal bir zorunluluktur.
Web sitelerinizde, matbu formlarınızda ve insan kaynakları süreçlerinizde kullanılan metinlerin güncel Kurul kararlarına ve cecenhukuk.com standartlarında profesyonel bir hukuki denetime tabi tutulması, ileride doğabilecek ağır idari yaptırımların önüne geçecek en etkili adımdır. Hukuki süreçlerinizin denetimi ve mevzuata uyum danışmanlığı konusunda uzman avukat kadromuzla iletişime geçerek işletmenizi güvence altına alabilirsiniz.
İlk yorum yapan siz olun