Karar ile;
- Açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulmasının hukuka aykırılık teşkil eden yaygın uygulamalardan biri olduğu belirtilerek, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metninin farklı başlıklar altında ayrı ayrı düzenlenmesi, aynı sayfada yer almaları halinde ise alt alta gelecek şekilde ve her iki metin için ayrı beyan alınacak biçimde sunulması gerektiği kamuoyuna duyurulmuştur.
- Aydınlatma yükümlülüğünün her durumda kişisel veri işlemeye başlamadan önce yerine getirilmesi, açık rıza dışındaki işleme şartlarına dayanılan hallerde ilgili kişilere ayrıca açık rıza metni sunulmaması, aydınlatma metinlerinde yalnızca okunduğu ve anlaşıldığına ilişkin geri bildirim alınması, metinlerin her veri sorumlusu tarafından kendi faaliyetlerine uygun şekilde hazırlanması, açık, anlaşılır ve sade bir dil kullanılması, yanıltıcı, genel, eksik veya yanlış ifadelere yer verilmemesi ve gereksiz ölçüde uzun ve karmaşık metinler kullanılmaması gerektiği ifade edilmiştir.
İlgili karar şöyle;
VERİ SORUMLULARI TARAFINDAN AÇIK RIZA VE AYDINLATMA METİNLERİNİN AYRI AYRI DÜZENLENMESİ GEREKTİĞİ HAKKINDA İLKE KARARI
Karar No: 2026/347 Karar Tarihi: 18.02.2026
Açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulması, Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hukuka aykırılıklardan biri olarak görülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü temelde, kişisel verileri işlenen ilgili kişilerin bilgilendirilmesi anlamına gelmekledir. Açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanun da öngörülen işleme şartlarından biridir. Bu doğrultuda, niteliği itibariyle farklı kavramlara karşılık gelen açık rıza ve aydınlatma metinlerinin ayrı ayrı metinlerde düzenlemesi gerektiği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede, komi ile alakalı mevzuat hükümlerine bakıldığında;
• Anayasa'nın 20'nci maddesinin üçüncü fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.
• 6698 sayılı Kanun'un 5'inci maddesinde kişisel verilerin, 6‘ncı maddesinde ise özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmıştır.
Açık rıza, Kanun’un 3’üncii maddesinde; "belirli hır konura ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" şeklinde tanımlanmıştır. Bu tanım kapsamında açık rıza, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine izin verdiğini/işlenmesini onayladığını gösteren özgürce verilmiş, konuya özel, bilgilendirilmiş ve belirsizlik içermeyen rızası anlamına gelmektedir.
Açık rıza metinlerine, ilgili kişiler tarafından kişisel verilerinin metinde yer alan amaç ve hukuki sebeplere dayalı olarak işlenmesine açık rıza verildiğinin beyan edilmesi gerekmektedir. Bununla birlikte, Kanun'a uygun bir şekilde açık rıza alındığına ilişkin ispat yükümlülüğü veri sorumlusuna aittir.
Aydınlatma yükümlülüğü ise Kanun’un 10’uncu maddesinde "(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, h) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür." şeklinde açıklanmıştır. Aydınlatma yükümlülüğün amacı işlenen kişisel veriler ve işleme faaliyetlerine ilişkin olarak ilgili kişilerin bilgilendirilmesinden ibaret olup aydınlatma metinleri sözleşme niteliği taşımamaktadır. Bu nedenle aydınlatma metinlerinde sıkça yapılan hatalardan olan “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum", "okudum ve onaylıyorum” şeklindeki metnin sonunda yer verilen ifadeler verine aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığına yönelik olarak "okudum ve anladım” şeklindeki beyanda bulunulması bu aşamada hukuka uygun bir kullanım teşkil edecektir. Ayrıca, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci (“Tebliğ”) maddesinin birinci fıkrasının (t) bendi; "Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü. yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. ” hükmünü amirdir.
Bu kapsamda, ilgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun'da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi gerekmektedir. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır. Söz konusu metinler tek bir sayfada yer alacak olsa dahi ilgili kişiler tarafından verilecek beyanlar niteliği itibariyle farklı olduğundan her iki metnin alt ve üst şeklinde ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulması gerekmekledir.
Öte yandan uygulamada;
• Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması,
• Aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi,
• Başka bir veri sorumlusu tarafından düzenlenen metinlerin veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir aynısının kullanılması.
• Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmesi (örneğim yurt dışına aktarım yapılıyorken yurt dışına aktarım yapıldığı izlenimi uyandıran ifadeler kullanılması, "kişisel verileriniz Kanun’un 5 ve 6’ncı maddesinde belirtilen işleme şartları kapsamında işlenmektedir” gibi muğlak ifadelere yer verilmesi)
• Çok detaylı, karmaşık ve uzun metinlerin kullanılması,
gibi hukuka aykırılıklar sıkça tespit edilmektedir.
Bu itibarla;
• İlgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun’da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi,
• Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ve açık rıza metinlerinin farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmesi,
• Aydınlatma metni ve açık rıza metinlerinin aynı sayfada bulunması halinde farklı başlıklar altında (alt alta gelecek şekilde) ve iki metin için ayrı beyanlarda bulunulacak şekilde düzenlenmesi,
• Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki Kanun’da sayılan diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması,
• İlgili kişilerden sadece, aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınması, aydınlatma metninde yer alan İfadeler İçin onay/rıza verilmesinin talep edilmemesi,
• Başka bit veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve faaliyetlerine uygun şekilde düzenlenmesi.
• Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi,
• Çok detaylı, karmaşık ve uzun metinlerin kullanılmaması (örneğin; Kanun’un 11’inci maddesinin tamamına yer verilmesi metnin uzamasına sebep olacağından, “Kanun’un 11’nci maddesi kapsamındaki haklarınız'' şeklinde ifade edilmesi),
• Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin açık ve net bir biçimde ifade edilmesi
gerektiği kamuoyunun bilgisine sunulmakladır.
Kanun’un 12’nci maddesinin birinci fıkrası "Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, h) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ” hükmünü, Kanun’un 15’inci maddesinin altınca fıkrası "Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar'' hükmünü amirdir.
Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceğine dair kamuoyunun bilgilendirilmesi ve bu kapsamda veri sorumluları tarafından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği hususunda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararı’nın Karar ekinde yer alan şekilde Resmi Gazetede ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.
Ek:
1) İyi Uygulama Şablonları
2) Kötü Uygulama Şablonu
