KVKK - Aydınlatma ve Açık Rıza Metinlerinin Düzenlenmesine İlişkin Kurul İlke Kararı Hakkında

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından tesis edilen 18/02/2026 tarihli ve 2026/347 sayılı İlke Kararı, Resmi Gazete’nin 24.03.2026 tarihli ve 33203 sayılı nüshasında yayımlanmış olup kararda aydınlatma metninin ibrazı ve açık rıza alınması süreçlerinde veri sorumlularının sıklıkla gerçekleştirdikleri hatalı uygulamalara dair açıklamalar ve doğru uygulamalara yönelik yönlendirmelere yer verilmiştir. Kararın en önemli noktası, veri sorumlularının uygulamada sıkça başvurduğu yöntemlerden biri olan aydınlatma metni ve açık rıza için tek onay mekanizmasının hatalı bir uygulama olduğunun belirtilerek doğru uygulamanın nasıl olması gerektiğine dair yapılan açıklamalardır. Kurul, yaptığı incelemelerde aydınlatma yükümlülüğü ile açık rıza metinlerinin iç içe geçmesini, veri sorumluları tarafından en çok yapılan hukuka aykırılıklar arasında olduğunu tespit etmiştir. Bu karar ile birlikte, uygulamada yaygın olarak kullanılan aydınlatma metninin okunduğuna ve açık rıza verildiğine dair "okudum ve onaylıyorum" şeklindeki birleşik onay yapısı, Kurul tarafından açıkça bir hukuka aykırılık olarak nitelendirilmiştir.

Kararın dayandığı temel ilke, aydınlatma ve açık rıza işlemlerinin nitelikleri gereği birbirinden tamamen bağımsız süreçler olarak yürütülmesi zorunluluğudur. İlke Kararında da açıklandığı üzere aydınlatma yükümlülüğü; kişisel verilerin kim tarafından, hangi amaçla ve yöntemlerle, hangi hukuki sebebe dayanılarak işlendiği ile bu verilerin kimlere hangi amaçla aktarılabileceğine ilişkin kişisel veri işlemeye başlamadan önce ve her durumda veri sorumlusunun yerine getirmekle yükümlü olduğu kapsamlı bir bilgilendirme ödevidir. Buna karşılık açık rıza; kişinin belirli konulara ilişkin kişisel verilerinin işlenmesine yönelik özgür iradesiyle beyan ettiği bir onaydır. Bu iki hukuki işlemin tek bir ifade altında toplanması, Kurul tarafından hem bilgilendirme yükümlülüğünün gereği gibi yerine getirilmediği hem de açık rızanın özgür iradeyle verilmediği şeklinde yorumlanmaktadır.

Kurul söz konusu ilke kararında; aydınlatma ve açık rıza metinlerinin tek bir metin olarak tek bir onaya sunulmasını, aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesini, başka veri sorumlularına ait metinlerin kendi faaliyetlerine uyarlanmadan kullanılmasını ve metinlerde karmaşık ifadelere yer verilmesini hatalı uygulamalar olarak nitelendirmiştir. Özellikle vurgulanmalıdır ki; aydınlatma metninin okunduğuna ve açık rıza verildiğine dair tek bir onay üzerinden işlem yapılması, kararda belirtilen en temel aykırılık noktasını oluşturmaktadır. Dolayısıyla metinler aynı sayfada bulunsa dahi, her bir metin için (aydınlatma metni ve açık rıza metni) ayrı başlıklar oluşturulması ve kişinin hem aydınlatma metnini okuyup anladığına hem de kişisel verilerinin işlenmesine rıza gösterdiğine dair iki ayrı beyanda bulunabileceği bir yapının kurulması artık yasal bir zorunluluktur. Karar içerisinde Kurul ayrıca, hatalı uygulamalara ve doğru uygulamalara ilişkin olarak da örnekler paylaşarak, nasıl bir kurgu oluşturulması gerektiğini de somutlaştırmıştır.

Sonuç olarak; açık rızaya istinaden işlenen kişisel verilere ilişkin onay alınması sürecinde, aydınlatma yükümlülüğünün yerine getirilmesi esnasında ilgili kişiden hem aydınlatma yükümlülüğünün yerine getirildiğine hem de veri işlenmesine ilişkin onay verildiğine dair tek bir muvafakat alınması uygulamasına ivedilikle son verilmesi gerekmektedir. Kurul, bu ilke kararıyla belirlenen esaslara aykırı hareket edilmesini veri güvenliğine ilişkin teknik ve idari tedbirlerin ihlali olarak değerlendirmekte ve bu hususlara uygun hareket edilmediğinin tespiti halinde veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanun’un 18. maddesi hükümleri gereği işlem tesis edileceğini, bir başka deyişle idari para cezası uygulanacağını açıkça bildirmektedir. Bu çerçevede; her kadar ticari, estetik, operasyonel vb. sebeplerle tercih edilmese de, müvekkillerimizin özellikle dijital platformlarda kullandığı “okudum ve onaylıyorum” şeklinde somutlaşan tek onay mekanizmalarının bu yeni kriterler ışığında hızla ayrıştırması ve ilke kararına paralel bir bilgilendirme ve onay mekanizması kurmaları, olası yaptırımların önüne geçilmesi ve hukuki güvenliğin tesisi adına kritik bir önem arz etmektedir.

Kararın tamamına buradan ulaşabilirsiniz.