Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararına İlişkin Sirküler

Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararına İlişkin Sirküler

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından, Kişisel Verileri Koruma Kurumu’na (“Kurum”) intikal eden hukuka aykırılıklardan biri olarak görülen aydınlatma ve açık rıza metinlerinin tek bir metin içerisinde veya iç içe geçmiş şekilde sunulmasına yönelik 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı alınmış, 24 Mart 2026 tarihli Resmî Gazete’de yayımlanmıştır. Kurul, aydınlatma yükümlülüğü ile açık rızanın farklı hukuki işlevlere sahip olduğunu; bu nedenle söz konusu metinlerin ayrı başlıklar altında, ayrı içeriklerle ve ayrı beyan mekanizmalarıyla kurgulanması gerektiğini ortaya koymuştur. Ayrıca karar kapsamında, açık rızaya dayanmayan veri işleme faaliyetlerinde gereksiz açık rıza alınmaması, aydınlatma metinlerinin açık ve sade bir dille hazırlanması ve metinlerin ilgili veri sorumlusunun faaliyetlerine özgü biçimde düzenlenmesi gerektiği de vurgulanmıştır.

 

I. Giriş

Kurul, Kuruma intikal eden ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılıklardan birinin, açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulması olduğunu tespit etmiştir. Bu çerçevede Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında düzenlenen aydınlatma yükümlülüğü ile açık rıza kavramlarının hukuki nitelik itibarıyla birbirinden farklı olduğunu ve bu nedenle ayrı ayrı ele alınması gerektiğini değerlendirmiştir.

Kanun’un 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü, esasen ilgili kişilerin kişisel verilerinin işlenmesine ilişkin olarak bilgilendirilmesini amaçlamaktadır. Buna karşılık açık rıza, Kanun’da öngörülen kişisel veri işleme şartlarından biri olup, veri işlemenin hukuka uygunluğunu sağlayan hukuki dayanaklardan yalnızca biridir.

Bu nedenle Kurul, kamuoyunun bilgilendirilmesi amacıyla açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiğine ilişkin İlke Kararı alınmasına ihtiyaç bulunduğunu belirtmiştir.

 

II. Hukuki Çerçeve

Konuya ilişkin temel hukuki dayanaklar aşağıdaki şekilde özetlenmiştir:

• Anayasa’nın 20’nci maddesinin üçüncü fıkrası uyarınca, kişisel veriler ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilmektedir.
• Kanun’un 5’inci maddesinde kişisel verilerin, 6’ncı maddesinde ise özel nitelikli kişisel verilerin işlenmesine ilişkin şartlar düzenlenmiş; açık rıza da bu işleme şartları arasında sayılmıştır.

Kanun’un 3’üncü maddesinde yer alan açık rıza tanımı uyarınca açık rıza; ilgili kişinin, kendisine ilişkin kişisel verilerin belirli bir amaç doğrultusunda işlenmesine yönelik olarak, özgür iradesiyle, konuya özgü, bilgilendirilmiş ve tereddüde yer vermeyecek şekilde onay vermesini ifade etmektedir. Açık rıza metinlerinde, ilgili kişinin kişisel verilerinin metinde belirtilen amaç ve hukuki sebep doğrultusunda işlenmesine rıza verdiğinin açık biçimde ortaya konulması gerekir. Bunun yanında, açık rızanın Kanun’a uygun şekilde alındığını ispat yükümlülüğü veri sorumlusuna aittir.

 

III. Aydınlatma Yükümlülüğünün Niteliği

Kanun’un 10’uncu maddesi uyarınca veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun kimliği, kişisel verilerin işlenme amacı, verilerin kimlere ve hangi amaçlarla aktarılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki hakları hakkında bilgi vermekle yükümlüdür.

Kurul kararında da açık biçimde vurgulandığı üzere, aydınlatma yükümlülüğünün amacı yalnızca ilgili kişinin bilgilendirilmesidir. Bu nedenle aydınlatma metinleri, bir onay metni, kabul beyanı veya sözleşme niteliği taşımaz. Uygulamada sıkça rastlanan “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum” veya “okudum ve onaylıyorum” şeklindeki ifadelerin bu nedenle hukuka uygun olmadığı; bunun yerine yalnızca aydınlatma metninin okunduğuna ve anlaşıldığına işaret eden “okudum ve anladım” şeklindeki bir geri bildirimin uygun kabul edilebileceği belirtilmiştir.

 

IV. Aydınlatma ve Açık Rıza Süreçlerinin Kurgulanması

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin birinci fıkrasının (f) bendi uyarınca, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ile açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Kurul, söz konusu Tebliğ hükmüne paralel olarak, aydınlatma yükümlülüğünün ilgili kişinin talebine veya herhangi bir onayına bağlı olmaksızın, veri işleme faaliyetinin hangi hukuki işleme şartına dayandığından bağımsız olarak, her durumda ve veri işlemeye başlanmadan önce yerine getirilmesi gerektiğini tekrar vurgulamıştır.

Buna göre, veri işleme faaliyeti açık rıza şartına dayanıyorsa, aydınlatma metni ile açık rıza metni ayrı ayrı hazırlanmalı ve ilgili kişilere bu şekilde sunulmalıdır. Bu iki metnin aynı sayfada yer alması ilke olarak mümkün olmakla birlikte, aynı sayfa üzerinde dahi olsalar, ilgili kişiden alınan beyanların farklı hukuki sonuçlar doğurması nedeniyle metinlerin farklı başlıklar altında, alt alta yer alacak şekilde ve her biri bakımından ayrı beyan mekanizmaları oluşturularak sunulması gerekmektedir.

 

V. Kurul Tarafından Vurgulanan Uygulama Hataları

Kurul, kararında uygulamada sıklıkla karşılaşılan başlıca hukuka aykırılıkları da örnekleyerek belirtmiştir. Bu kapsamda özellikle:

• Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek metin halinde sunulması,
• Aydınlatma yapıldığına ilişkin ilgili kişilerden onay veya rıza talep edilmesi,
• Başka veri sorumluları tarafından hazırlanmış metinlerin ilgili veri sorumlusunun kendi süreçlerine uyarlanmaksızın aynen kullanılması,
• Metinlerde açık, anlaşılır ve sade bir dil kullanılmaması; genel nitelikte, eksik, yanıltıcı veya yanlış ifadelere yer verilmesi,
  • Örneğin; Yurt dışına veri aktarımı yapılmamasına rağmen aktarım yapılıyormuş izlenimi yaratan ifadeler kullanılması veya “kişisel verileriniz Kanun’un 5 ve 6’ncı maddelerinde belirtilen işleme şartları kapsamında işlenmektedir” benzeri soyut ve belirsiz ifadelere yer verilmesi,
• Detaylı, karmaşık ve uzun metinlerin hazırlanması

hukuka aykırı uygulamalar olarak öne çıkarılmıştır.

 

VI. İlke Karar Kapsamında Kurul Tarafından Belirlenen Temel İlkeler

Kurul, yukarıdaki değerlendirmeler ışığında veri sorumlularının aşağıdaki esaslara uygun hareket etmesi gerektiğini kamuoyuna duyurmuştur:

• Aydınlatma yükümlülüğü, kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun’da öngörülen hangi işleme şartına dayandığından bağımsız olarak, her durumda ve kişisel veri işlenmeye başlanmadan önce yerine getirilmelidir.
• Veri işleme faaliyetinin açık rıza şartına dayandığı durumlarda, aydınlatma metni ile açık rıza metni farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmelidir.
• Aydınlatma ve açık rıza metinlerin aynı sayfada bulunması hâlinde dahi, metinler farklı başlıklar altında, alt alta gelecek şekilde ve her iki metin için ayrı beyanlarda bulunulacak şekilde tasarlanmalıdır.
• Veri işleme faaliyetinin açık rıza dışındaki işleme şartlarından birine dayanması hâlinde, yalnızca aydınlatma yükümlülüğü yerine getirilmeli; ilgili kişilere ayrıca açık rıza metni sunulmamalıdır.
• İlgili kişilerden yalnızca aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınmalı; aydınlatma metninde yer alan hususlara ilişkin ayrıca onay veya rıza talep edilmemelidir.
• Başka veri sorumluları tarafından hazırlanmış metinlerin birebir kullanılması yerine, metinlerin her veri sorumlusu tarafından kendi organizasyon yapısı, veri işleme faaliyetleri ve operasyonel süreçlerine uygun şekilde hazırlanması gerekmektedir.
• Metinlerde açık, anlaşılır ve sade bir dil kullanılmalı; genel nitelikte, muğlak, eksik, yanıltıcı veya yanlış ifadelere yer verilmemelidir.
• Çok detaylı, karmaşık ve uzun metinlerden kaçınılmalı; örneğin Kanun’un 11’inci maddesinde sayılan hakların tümünün uzun biçimde aktarılması yerine, “Kanun’un 11’inci maddesi kapsamındaki haklarınız” şeklinde daha yalın ifadelere yer verilmesi tercih edilmelidir.
• Aydınlatma metinlerinde işlenen kişisel veriler ve veri kategorileri ile birlikte, kişisel veri işleme faaliyetinin amacı ve hukuki sebebi açık ve net biçimde belirtilmelidir.

 

VII. Sonuç

Kanun’un 12/1. maddesi uyarınca veri sorumluları; kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.

Kurul ayrıca, belirtilen yükümlülüklere aykırı uygulamalara devam edilmesi halinde Kanun’un 18. maddesi kapsamında idari yaptırımlar uygulanabileceğini belirtmiş, ilke kararının alınmasına karar vermiş ve karar ekinde iyi uygulama şablonları ve kötü uygulama şablonu da yayımlamıştır.

Kurum tarafından yayınlanan ilke kararlara yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.

 

İletişim:

Av. Tuğçe Gültekin Şirket Ortağı

tugce.gultekin@tr.ey.com

(212) 315 30 00

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erkan Baykuş

Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.