Kişisel verilerin korunması alanında uygulamada uzun süredir tartışma konusu olan “aydınlatma metni” ile “açık rıza metni” nin birlikte sunulması pratiğine ilişkin önemli bir netleştirme geldi. Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı 24.03.2026 tarihi itibariyle Resmî Gazete'de yayımlanarak yürürlüğe girdi. Söz konusu kurul kararı ile, veri sorumlularının sıklıkla başvurduğu bu birleşik metin yaklaşımının hukuka uygun olmadığı açık bir şekilde ortaya konuldu.
Söz konusu karar, yalnızca teorik bir ayrımı teyit etmekle kalmayıp; başta şirketler, e-ticaret platformları, mobil uygulamalar, bankacılık ve finans kuruluşları, sağlık hizmet sunucuları, insan kaynakları ve işe alım süreçlerini yürüten şirketler ile dijital hizmet sağlayıcıları olmak üzere kişisel veri işleyen tüm veri sorumlularını doğrudan ilgilendirmektedir. Özellikle kullanıcı kaydı, üyelik oluşturma, pazarlama faaliyetleri, çerez yönetimi ve elektronik ileti izinleri kapsamında açık rıza alan tüm yapıların mevcut uygulamalarını gözden geçirmesi gerekecektir.
Karar ile birlikte, aydınlatma yükümlülüğünün açık rızadan tamamen bağımsız bir yükümlülük olduğu vurgulanırken; veri işleme süreçlerinde şeffaflık, özgür irade ve bilgilendirme ilkelerinin somut olarak nasıl uygulanması gerektiği de ortaya konulmaktadır. Bu yönüyle İlke Kararı, yalnızca metin formatına ilişkin teknik bir düzenleme olmayıp; veri sorumlularının uyum süreçlerini, kullanıcı arayüzlerini ve hatta dijital ürün tasarımlarını doğrudan etkileyecek kapsamlı bir değişim niteliği taşımaktadır.
Karara göre; İlgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere kanunda sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi,
Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ve açık rıza metinlerinin farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmesi, Aydınlatma metni ve açık rıza metinlerinin aynı sayfada bulunması halinde farklı başlıklar altında (alt alta gelecek şekilde) ve iki metin için ayrı beyanlarda bulunulacak şekilde düzenlenmesi,
Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki Kanun’da sayılan diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilmesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması,
İlgili kişilerden sadece, aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınması, aydınlatma metninde yer alan ifadeler için onay/rıza verilmesinin talep edilmemesi,
Başka bir veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve faaliyetlerine uygun şekilde düzenlenmesi,
Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi,
Çok detaylı, karmaşık ve uzun metinlerin kullanılmaması (örneğin; Kanun’un 11’inci maddesinin tamamına yer verilmesi metnin uzamasına sebep olacağından, “Kanun’un 11’inci maddesi kapsamındaki haklarınız” şeklinde ifade edilmesi),
Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin açık ve net bir biçimde ifade edilmesi istenmektedir.
İlke Kararı’nda, belirtilen yükümlülüklerin veri sorumlularının yerine getirmesi gereken idari ve teknik tedbirler arasında yer aldığı ifade edilmiş; bu yükümlülüklere uyulmaması durumunda Kanun’un 18. maddesi kapsamında işlem tesis edileceği (yaptırım uygulanacağı) belirtilmiştir. Aynı zamanda veri sorumlularının açık rıza metni ile aydınlatma metinlerini ayrı ayrı düzenlemesi gerektiği ifade edilmiştir.
Av. Büşra ÇETİN ÖZ
Bursa Barosu