Ki̇şi̇sel Veri̇leri̇ Koruma Kurulu’ndan Aydınlatma ve Açık Rıza Süreçlerine Yönelik Yeni İlke Kararı

24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) aydınlatma ve açık rıza süreçlerinde veri sorumluları tarafından sıklıkla yapılan hatalara ilişkin 18.02.2026 tarihli ve 2026/347 sayılı ilke kararı (“İlke Kararı”) yayımlanmıştır.

UYGULAMADA SIKÇA TESPİT EDİLEN HUKUKA AYKIRILIKLAR

İlke Kararı’nda uygulamada sıkça tespit edilen hukuka aykırılıklar ise şu şekilde listelenmiştir:

• Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması,
• Aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi,
• Başka bir veri sorumlusu tarafından düzenlenen metinlerin veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir kullanılması,
• Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması, genel nitelikte, farklı anlaşılmaya müsait, eksik, yanıltıcı ve yanlış bilgilere yer verilmesi,
• Aşırı detaylı, karmaşık ve uzun metinlerin kullanılması.

Kurul, özellikle açık rıza metni ile aydınlatma metninin tek bir metin halinde ve iç içe sunulmasının en sık karşılaşılan hukuka aykırılıklardan biri olduğunu vurgulayarak, aydınlatma ve açık rıza süreçlerinin kavramsal ve fonksiyonel olarak farklı olduğunu ve ayrı metinler halinde sunulması gerektiğini açıklamıştır.

AYDINLATMA VE AÇIK RIZA SÜREÇLERİNDE DİKKAT EDİLMESİ GEREKENLER

Kurul, aydınlatma ve açık rıza süreçlerine ilişkin olarak aşağıdaki hususlara dikkat edilmesi gerektiğini belirtmiştir.

• Aydınlatma yükümlülüğünün, veri işleme başlamadan önce ve tüm işleme şartlarından bağımsız olarak her durumda yerine getirilmesi,
• İşleme açık rızaya dayanıyorsa aydınlatma metni ve açık rıza metninin farklı başlıklar altında, ayrı metinler olarak (aynı sayfada olsalar dahi) düzenlenmesi ve her biri için ayrı beyan alınması,
• İşleme açık rızaya dayanmıyorsa yalnızca aydınlatma yapılması, ayrıca açık rıza metni sunulmaması,
• İlgili kişilerden sadece, aydınlatma metninin okunduğuna ve anlaşıldığına ilişkin geri bildirim alınması, aydınlatma metnin için onay/rıza verilmesinin talep edilmemesi,
  • Örneğin; aydınlatma metninde “okudum ve kabul ediyorum” yerine “okudum ve anlıyorum” gibi ifadeler kullanılması
• Hazır metinlerin başka veri sorumlularından olduğu gibi alınmaması; her veri sorumlusunun kendi organizasyonuna ve faaliyetlerine göre metinlerini düzenlemesi,
• Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi,
  • Örneğin; yurt dışına aktarım yapılmıyorken yurt dışına aktarım yapıldığı izlenimi uyandıran ifadeler kullanılması
• Çok detaylı, karmaşık ve uzun metinlerin kullanılmaması
  • Örneğin; Kanun’un 11’inci maddesinin tamamına yer verilmesi metnin uzamasına sebep olacağından, “Kanun’un 11’nci maddesi kapsamındaki haklarınız” şeklinde ifade edilmesi
• Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin açık ve net bir biçimde ifade edilmesi

SONUÇ VE DEĞERLENDİRME

Kurul, İlke Kararı’nda aydınlatma ve açık rıza süreçlerinde sıkça yapılan hataları ortaya koymak ve bu süreçlere ilişkin iyi uygulamaları göstermek amacıyla önemli tespitlerde bulunmuştur. Nitekim, İlke Kararı’nın ekinde iyi ve kötü uygulamalar örnek bir şablon üzerinden ayrıca açıklanmıştır. İlke Kararı, özellikle aydınlatma ve açık rıza süreçlerinin ayrıştırılması ile metinlerin sadeleştirilmesi ve anlaşılabilirlik ilkesinin ön plana çıkarılması bakımından önem taşımaktadır. İlke Kararı’nda belirtilen gereklilikler aykırılık, hukuka aykırı veri işleme, açık rızanın geçersizliği ve buna bağlı idari para cezası riskini beraberinde getirdiğinden, bu süreçlerin ayrılmasına özellikle dikkat edilmesi ve Kurul’un ortaya koyduğu iyi uygulamalar çerçevesinde aydınlatma metinlerinin revize edilmesi tavsiye edilir.