Açık Rıza ve Aydınlatma Süreçlerine İlişkin Yeni İlke Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”), 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı (“İlke Kararı”) ile açık rıza ve aydınlatma yükümlülüğüne ilişkin önemli düzenlemeler getirmiştir. Söz konusu İlke Kararı, 24.03.2026 tarihli ve 32851 sayılı Resmî Gazete’de yayımlanmıştır.

Aydınlatma yükümlülüğü temelde kişisel verileri işlenen ilgili kişilerin bilgilendirilmesi anlamına gelmektedir; açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen işleme şartlarından biridir. Kurul, bu iki kavramın niteliği itibarıyla birbirinden farklı olduğunu vurgulayarak uygulamada yapılan hataların önüne geçmek amacıyla somut düzenlemeler getirmiştir.

• Metinlerin ayrıştırılması zorunluluğu: Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır. Söz konusu metinler tek bir sayfada yer alacak olsa dahi ilgili kişiler tarafından verilecek beyanlar niteliği itibarıyla farklı olduğundan her iki metnin alt ve üst şeklinde ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulması gerekmektedir.

• Aydınlatma metnindeki beyan ifadelerinin değişmesi: Aydınlatma metinlerinde sıkça yapılan hatalardan olan “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum”, “okudum ve onaylıyorum” şeklindeki ifadeler yerine, aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığına yönelik olarak yalnızca “okudum ve anladım” şeklinde beyanda bulunulması hukuka uygun kabul edilecektir. Aydınlatma metninde yer alan ifadeler için onay/rıza istenmemesi gerekmektedir.

• Aydınlatma her zaman ve her durumda yapılmalıdır: Aydınlatma yükümlülüğü, ilgili kişinin talebine veya herhangi bir onaya bağlı olmaksızın, kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun’da sayılan işleme şartlarından hangisine dayalı olduğundan bağımsız olarak her durumda, kişisel veri işlemeye başlamadan önce yerine getirilmelidir.

• Açık rıza gerektirmeyen durumlarda açık rıza metni sunulamaz: Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki Kanun’da sayılan diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilmesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması gerekmektedir.

• Şablon metin kullanımı yasaklanmıştır: Başka bir veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması; metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve faaliyetlerine uygun şekilde düzenlenmesi gerekmektedir.

• Dil ve içerik standartları: Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerekmektedir. Ayrıca çok detaylı, karmaşık ve uzun metinlerin kullanılmaması gerektiği de kararda belirtilmiştir; örneğin Kanun’un 11. maddesinin tamamına yer verilmesi yerine “Kanun’un 11. maddesi kapsamındaki haklarınız” şeklinde kısa bir ifade kullanılması yeterli kabul edilecektir.

• İşlenen veriler ve hukuki sebepler açıkça belirtilmelidir: Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin açık ve net bir biçimde ifade edilmesi gerekmektedir.

Kurul’un İlke Kararı, veri sorumlularına yalnızca metin formatına ilişkin değil, aynı zamanda veri işleme süreçlerinin hukuki kurgusuna ilişkin de açık bir uyum standardı getirmektedir. Bu kurallara uyulmaması, tedbirlerin eksik alınmış olması, hukuki aykırı veri işleme, alınmış olan açık rızaların geçersizliği ve idari para cezası gibi riskler doğurabilecektir.