Ajanda

KİŞİSEL VERİLERİ KORUMA KURULUNUN VERİ SORUMLULARI TARAFINDAN AÇIK RIZA VE AYDINLATMA METİNLERİNİN AYRI AYRI DÜZENLENMESİ GEREKTİĞİ HAKKINDA İLKE KARARI YAYIMLANDI

24.03.2026

 

Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında Kişisel Verileri Koruma Kurulunun 18/02/2026 tarihli ve 2026/347 sayılı İlke Kararı (“İlke Kararı”) 24 Mart 2026 tarihinde Resmi Gazete’de yayımlandı.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10. maddesinde düzenlenen aydınlatma yükümlülüğü, kişisel verileri işlenen ilgili kişilerin bilgilendirilmesi anlamına gelirken açık rıza ise, kişisel verilerin hukuka uygun olarak işlenebilmesi adına Kanun’da öngörülen işleme şartlarından biri olarak karşımıza çıkmaktadır. Bu noktada, farklı kavramları ihtiva eden aydınlatma ve açık rıza metinlerinin ayrı ayrı düzenlenmesi gerektiği hususunda Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikayetler de dikkate alınarak kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından İlke Kararı alınmasına ihtiyaç duyulmuştur.

Uygulamada, (i) açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması, (ii) aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi, (iii) başka bir veri sorumlusu tarafından düzenlenen metinlerin veri sorumluları tarafından kendi faaliyetlerine uygulanmadan birebir aynısının kullanılması, (iv) aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmesi (örn. yurt dışına aktarım yapılmıyorken yurt dışına aktarım yapıldığı izlenimi uyandıran ifadeler kullanılması), (v) çok detaylı, karmaşık ve uzun metinlerin kullanılması yönünde hukuka aykırılıklar tespit edildiği belirtilmiştir.

Yukarıdaki tespitlerden hareketle İlke Karar kapsamında öne çıkan hususlar aşağıdaki şekildedir:

  • Açık rızanın Kanun’un 3. maddesindeki tanıma istinaden açık rıza, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine izin verdiğini/işlenmesini onayladığını gösteren (i) özgürce verilmiş, (ii) bilgilendirilmiş ve (iii) belirsizlik içermeyen rıza anlamına geldiği, aydınlatma yükümlülüğünün amacının ise işlenen kişisel veriler ve işleme faaliyetlerine ilişkin olarak ilgili kişilerin bilgilendirilmesinden ibaret olduğu ve aydınlatma metinlerinin sözleşme niteliği taşımadığı üzerinde durulmuştur.
  • Aydınlatma yükümlülüğünün ilgili kişinin talebine veya herhangi bir onaya bağlı olmadan açık rıza da dahil olmak üzere kişisel veri işleme faaliyetinin Kanun’da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak ve her halükarda veri sorumluları tarafından yerine getirilmesi gerektiği (esas olarak kişisel veri işlemeye başlamadan önce) ifade edilmiştir.
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma ve açık rıza metinlerinin ayrı ayrı düzenlenerek ilgili kişilere sunulması gerektiği belirtilmiştir.
  • Kanun’a uygun şekilde aydınlatma yapıldığına ve açık rıza alındığına ilişkin ispat yükümlülüğünün veri sorumlusu uhdesinde olduğu vurgulanmıştır.
  • Aydınlatma metni ve açık rıza metinlerinin aynı sayfada bulunması halinde farklı başlıklar altında (alt alta gelecek şekilde) ve iki metin için ayrı beyanlarda bulunacak şekilde düzenlenmesi gerektiği ifade edilmiştir.
  • Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki Kanun’da sayılan diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilmesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması gerektiği belirtilmiştir.
  • Aydınlatma metinlerinde sıkça yapılan hatalardan olan “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum”, “okudum ve onaylıyorum” şeklinde metin sonunda yer verilen ifadeler yerine “okudum ve anladım” ifadesine yer verilerek aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığı yönünde beyan alınarak ilerlenmesinin hukuka uygun bir yöntem olduğu ifade edilmiştir.
  • Başka bir veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve faaliyetlerine uygun şekilde düzenlenmesi gerektiği belirtilmiştir.
  • Metinlerde açık, anlaşılır ve sade bir dil kullanılmalı, genel nitelikte ve farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı, yanlış bilgilere yer verilmemesi gerektiği; bunun yanı sıra çok detaylı, karmaşık ve uzun metinler de kullanılmaması gerektiği vurgulanmıştır.
  • Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaçlarının ve hukuki sebebinin açık ve net biçimde ifade edilmesi gerektiği belirtilmiştir.
  • İlke Kararı’nda belirtilen hususlara uyulmaması halinde ise veri sorumluları hakkında Kanun’un 18. maddesi hükümleri gereği işlem tesis edileceği yönünde karar verilmiştir.
  • Son olarak, İlke Kararı’nda aydınlatma ve açık rıza metinlerine ilişkin iyi uygulama ve kötü uygulama örneklerine yer verilmiştir.

İlke Kararı’na buradan ulaşabilirsiniz.

 

NAZALI VERGI & HUKUK

info@nazali.com

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.