Kişisel Verileri Koruma Kurulunun (“Kurul”) 2026/347 sayılı ilke kararı (“İlke Kararı”); 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlandı. Kurul, Kişisel Verileri Koruma Kurumuna (“Kurum”) intikal eden ihbar ve şikâyetlerde en sık karşılaşılan ihlallerden olduğu belirtilen aydınlatma metni ile açık rıza metninin tek bir metin içinde sunulması şeklindeki uygulamanın, 6698 sayılı Kişisel Verilerin Korunması Kanununa (“KVKK”) aykırı olduğunu İlke Kararı ile kamuoyuna duyurdu.
Aydınlatma Yükümlülüğü ile Açık Rızanın Hukuki Niteliği
KVKK md.10 kapsamında düzenlenen aydınlatma yükümlülüğü, veri sorumlusunun kişisel verilerin elde edilmesi sırasında ilgili kişileri; veri sorumlusunun kimliği, işlemenin amacı ve hukuki sebebi, verinin aktarılabileceği kişiler, veri toplamanın yöntemi ile ilgili kişinin KVKK’dan doğan hakları hakkında bilgilendirmesine ilişkindir. Bu yükümlülük, ilgili kişinin talebi veya onayından ve kişisel veri işleme faaliyetinin hangi işleme şartına dayandığından bağımsız olarak her koşulda yerine getirilmesi zorunlu bir bilgilendirme yükümlülüğü olup aydınlatma metinleri sözleşme niteliği taşımamaktadır.
Açık rıza ise KVKK md.3 ile “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmakta ve KVKK md.5 ve md.6 kapsamında kişisel verilerin işlenebilmesi için öngörülen kişisel veri işleme şartlarından birini oluşturmaktadır. Açık rızanın KVKK’ya uygun biçimde alındığının ispatı veri sorumlusuna aittir.
İlke Kararı’nın Getirdiği Yükümlülükler
İlke Kararı ile aydınlatma yükümlülüğünün kişisel veri işlemeye başlamadan önce ve işlemenin dayandığı hukuki şarttan bağımsız olarak her koşulda yerine getirilmesi gerektiğine vurgu yapılmıştır.
Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma metni ile açık rıza metni ayrı başlıklar altında ve ayrı metinler olarak düzenlenmeli; söz konusu metinler aynı sayfada yer alsa dahi alt alta konumlandırılmalı ve her biri için ilgili kişilerden ayrı beyanlar alınmalıdır. Bu kapsamda, aydınlatma metni yönünden yalnızca metnin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınmalı, aydınlatma metninde yer alan ifadeler için onay/rıza verilmesi talep edilmemelidir.
Kurul İlke Kararında ayrıca, kişisel veri işleme faaliyeti açık rıza dışındaki bir işleme şartına dayalı ise yalnızca aydınlatma yükümlülüğünün bulunduğu ve bu halde ilgili kişilere açık rıza metni sunulmaması gerektiği de vurgulanmaktadır.
Nihayet, aydınlatma ve açık rıza metinlerinin veri sorumluları tarafından kendi faaliyetlerine uygun şekilde düzenlenmesi gerektiğine dikkat çekilmekte ve başka veri sorumluları tarafından hazırlanan metinlerin birebir kopyalanarak kullanılmasının hukuka aykırı olduğu ifade edilmektedir.
Uygulamada Tespit Edilen Hukuka Aykırılıklar ve Yaptırım Riski
Kurul, İlke Kararı’nda yalnızca doğru uygulamayı tarif etmekle kalmamış; uygulamada hâlen yaygın biçimde karşılaştığı hukuka aykırılıklara da somut örneklerle dikkat çekmiştir. Bu aykırılıklar arasında aydınlatma metni ile açık rıza metninin tek bir belge hâlinde iç içe sunulması ve aydınlatma yapıldığına dair ilgili kişilerden onay ya da rıza talep edilmesi öne çıkmaktadır.
Kurul ayrıca aydınlatma metinlerinde açık, sade ve anlaşılır bir dil kullanılması gerektiğini de özellikle ifade etmiştir. Bu bağlamda, yurt dışına aktarım gerçekleştirilmediği hâlde yapılıyormuş izlenimi uyandıran ifadelerin kullanılmasını ya da “kişisel verileriniz Kanun’un 5 ve 6’ncı maddesinde belirtilen işleme şartları kapsamında işlenmektedir” gibi belirsiz ve muğlak ifadelere başvurulmasını bu kapsamda ihlal teşkil eden haller olarak örneklendirmiştir. Öte yandan, bunun tam aksi şekilde, çok detaylı, karmaşık ve gereğinden uzun metinlerin de tercih edilmemesi gerektiğine de dikkat çekilmiştir.
KVKK md.15 f.6 uyarınca alınan İlke Kararı, söz konusu tespitler çerçevesindeki ihlallerin devamı halinde idari yaptırımların söz konusu olabileceğini vurgulamıştır. Kurul, belirlenen hususların KVKK md.12 f.1 kapsamında veri sorumlularınca alınması zorunlu idari ve teknik tedbirler arasında yer aldığını vurgulamış; bu yükümlülüklere uyulmaması hâlinde ilgili veri sorumluları hakkında KVVK md.18 çerçevesinde idari para cezası da dahil olmak üzere çeşitli idari yaptırımların uygulanacağını kamuoyuna duyurmuştur.
İlke Kararı’nın tam metnine ulaşmak için buraya tıklayınız.