“Okudum ve kabul ediyorum.”
Bu ifadeyi web sitelerinde, iş başvuru formlarında, mağaza üyelik sözleşmelerinde defalarca görmüşsünüzdür. Hatta büyük olasılıkla kendi işletmenizin formlarında da kullanıyorsunuzdur. Ancak Kişisel Verileri Koruma Kurulu’nun (Kurul) 2026/347 sayılı İlke Kararı, bu alışkanlığı kökünden değiştiriyor.
24 Mart 2026’da Resmî Gazete’de yayımlanan bu karar, veri sorumlularına açık ve net bir mesaj veriyor: Aydınlatma metni ile açık rıza metni farklı hukuki kavramlardır; iç içe geçiremez, tek bir onay ile geçiştiremez, birbirinin yerine kullanamazsınız.
Neden Böyle Bir Karara İhtiyaç Duyuldu?
Kurul, bu İlke Kararı’nı sıfırdan bir yenilik olarak getirmiyor. Aslında açık rıza ile aydınlatma yükümlülüğünün farklı kavramlar olduğu, Kanun’un 2016’daki yürürlüğünden bu yana zaten mevzuatta yer alıyordu. Ancak uygulamada tam tersi yapılıyordu.
Kuruma intikal eden ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılıklardan biri, tam da bu iki metnin iç içe geçirilmesiydi. Kurul, sorunun yaygınlığını tespit ettikten sonra Kanun’un 15. maddesinin altıncı fıkrası gereği ilke kararı almaya karar verdi.
Peki uygulamada ne tür hatalar yapılıyordu? Kurul’un karar metninde sıraladığı yaygın hukuka aykırılıklar, birçok işletmenin “standart prosedür” olarak benimsediği uygulamalar arasında yer alıyor.
Kurul’un Tespit Ettiği 6 Yaygın Hata
1. İki metnin tek metin olarak sunulması: Aydınlatma metni ve açık rıza metninin iç içe geçmiş şekilde, tek bir başlık altında ilgili kişilere sunulması. Bu, uygulamada en sık rastlanan hata. “Kişisel Verilerin Korunması Hakkında Bilgilendirme ve Onay Formu” gibi birleşik başlıklar altında her iki yükümlülüğün aynı metinde eritilmesi hukuka aykırı bulunuyor.
2. Aydınlatma için onay/rıza istenmesi: Aydınlatma yapıldığına dair ilgili kişiden “onaylıyorum” veya “rıza veriyorum” şeklinde beyan alınması. Oysa aydınlatma bir bilgilendirmedir; rızaya bağlı değildir. Metin sonunda yer alması gereken ifade “okudum ve anladım” olmalıdır — “okudum ve kabul ediyorum” veya “okudum ve açık rıza veriyorum” değil.
3. Başka şirketlerin metinlerinin kopyalanması: Bir başka veri sorumlusu tarafından hazırlanmış metinlerin, kendi organizasyon yapısına ve veri işleme faaliyetlerine uyarlanmadan birebir kullanılması. Her veri sorumlusunun kendi süreçlerini yansıtan özgün metinler hazırlaması gerekiyor.
4. Muğlak ve yanıltıcı ifadeler: “Kişisel verileriniz Kanun’un 5 ve 6. maddesinde belirtilen işleme şartları kapsamında işlenmektedir” gibi genel geçer ifadelerle aydınlatma yükümlülüğünün geçiştirilmesi. Hangi veri işleme şartına dayanıldığı açıkça belirtilmeli.
5. Yurt dışı aktarımda yanıltıcı bilgi: Yurt dışına veri aktarımı yapılmıyorken, metinde bu yönde izlenim uyandıran ifadelerin bulunması da hukuka aykırı olarak değerlendiriliyor.
6. Karmaşık ve aşırı uzun metinler: İlgili kişilerin gerçek anlamda bilgilendirilmesini engelleyen, hukuk jargonuyla dolu, okunması güç metinler de kararın hedefindeki sorunlar arasında yer alıyor.
Aydınlatma Metni ile Açık Rıza Metni Arasındaki Fark Nedir?
Bu iki kavramı ayırt etmek, kararı doğru uygulamanın temel şartı. Arada net bir hukuki ayrım var ve bu ayrımı anlamak, uyum sürecinin ilk adımı.
Aydınlatma metni, KVKK’nın 10. maddesinde düzenlenen bir bilgilendirme yükümlülüğüdür. Veri sorumlusu, kişisel verileri işlemeye başlamadan önce ilgili kişiyi bilgilendirmek zorundadır. Bu yükümlülük, veri işlemenin hangi hukuki şarta dayandığından bağımsızdır — ister açık rıza olsun, ister sözleşmenin ifası, ister meşru menfaat. Her durumda aydınlatma yapılmalıdır. Aydınlatma metninde veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplanma yöntemi ve hukuki sebebi ile ilgili kişinin hakları yer almalıdır. Kritik nokta şudur: Aydınlatma, ilgili kişinin onayına veya kabulüne bağlı değildir. Rıza istenmez; bilgilendirme yapılır.
Açık rıza metni ise Kanun’un 5. ve 6. maddelerinde sayılan veri işleme şartlarından yalnızca biridir. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanır. Her zaman geri alınabilir olmalıdır. Açık rıza, yalnızca veri işlemenin başka bir hukuki şarta (sözleşmenin ifası, yasal yükümlülük, meşru menfaat vb.) dayanamadığı durumlarda devreye girer.
Kısacası: Aydınlatma herkese yapılır ve onay gerektirmez. Açık rıza ise yalnızca gerektiğinde ve ayrı bir işlem olarak alınır.
İlke Kararı Ne Gerektiriyor? 7 Temel Kural
Kurul, karar metninde veri sorumlularının uyması gereken kuralları son derece somut biçimde sıraladı:
Kural 1: Veri işleme açık rızaya dayanıyorsa, aydınlatma metni ve açık rıza metni farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmelidir.
Kural 2: İki metin aynı sayfada yer alacaksa, farklı başlıklar altında — alt alta gelecek şekilde — sunulmalı ve her biri için ayrı beyan alanı bulunmalıdır.
Kural 3: Veri işleme açık rıza dışındaki bir hukuki şarta dayanıyorsa (örneğin sözleşmenin ifası veya meşru menfaat), ilgili kişiye yalnızca aydınlatma yapılmalı; ayrıca açık rıza metni sunulmamalıdır. Bu kural da çok önemli — gereksiz yere açık rıza almak da hukuka aykırılık oluşturabiliyor.
Kural 4: Aydınlatma metninin okunduğuna dair yalnızca “okudum ve anladım” gibi bilgi edinme beyanı alınmalıdır. “Okudum ve kabul ediyorum”, “onaylıyorum”, “açık rıza veriyorum” gibi ifadeler kullanılmamalıdır.
Kural 5: Her veri sorumlusu, kendi organizasyon yapısına ve veri işleme faaliyetlerine uygun metinler hazırlamalıdır. Başka bir şirketin metni kopyalanarak kullanılmamalıdır.
Kural 6: Metinlerde açık, anlaşılır ve sade bir dil kullanılmalı; muğlak, eksik veya yanıltıcı ifadelerden kaçınılmalıdır.
Kural 7: Açık rıza alınırken her veri işleme faaliyeti için modüler bir yapı tercih edilmelidir. Örneğin ticari elektronik ileti onayı ile pazarlama amaçlı veri işleme rızası aynı kutucukla birleştirilemez.
Kimler Etkileniyor?
Bu İlke Kararı, kişisel veri işleyen tüm veri sorumlularını doğrudan ilgilendiriyor. Ancak bazı sektörlerde etki özellikle büyük olacak: E-ticaret platformları (üyelik formları, çerez politikaları, pazarlama onayları), bankacılık ve finans kuruluşları (müşteri edinim süreçleri, dijital bankacılık onay akışları), sağlık hizmet sunucuları (hasta kayıt formları, hassas veri işleme süreçleri), insan kaynakları ve işe alım süreçleri (aday bilgilendirme ve rıza formları), dijital hizmet sağlayıcıları ve mobil uygulamalar (kullanıcı kaydı, bildirim izinleri), perakende ve sadakat programları (üyelik ve puan sistemi formları) — tüm bu alanlar karardan doğrudan etkileniyor.
Uyum İçin Pratik Yol Haritası
Peki bu kararı uygulamaya dökmek için nereden başlamalısınız? İşte adım adım bir uyum planı:
Adım 1 — Mevcut metinlerinizi denetleyin. Web siteniz, mobil uygulamanız, mağaza formlarınız, İK süreçleriniz ve çağrı merkeziniz dahil tüm kanallarınızdaki aydınlatma ve açık rıza metinlerini toplayın. Tek bir metin olarak sunulan, iç içe geçmiş veya “okudum ve kabul ediyorum” ifadesi içeren tüm formları tespit edin.
Adım 2 — Hukuki dayanaklarınızı gözden geçirin. Her veri işleme faaliyeti için hangi hukuki şarta dayandığınızı belirleyin. Açık rızaya mı, sözleşmenin ifasına mı, yoksa meşru menfaate mi dayanıyorsunuz? Bu analiz, hangi durumlarda sadece aydınlatma yapacağınızı ve hangi durumlarda ayrıca açık rıza alacağınızı netleştirecektir.
Adım 3 — Metinleri ayrıştırın ve yeniden yazın. Aydınlatma metnini ve açık rıza metnini ayrı başlıklar altında, kendi veri işleme süreçlerinize özgü olarak yeniden hazırlayın. Açık, sade ve anlaşılır bir dil kullanın. Jargondan kaçının; ilgili kişinin gerçekten ne olduğunu anlayabileceği metinler oluşturun.
Adım 4 — Dijital arayüzlerinizi güncelleyin. Web sitesi, mobil uygulama ve dijital formlarınızda onay mekanizmalarını yeniden tasarlayın. Aydınlatma için “okudum ve anladım” butonu, açık rıza için ise ayrı ve önceden işaretlenmemiş onay kutucukları kullanın. Farklı veri işleme faaliyetleri için modüler onay yapısı oluşturun.
Adım 5 — Fiziksel temas noktalarını unutmayın. Kararın kapsamı dijital ortamla sınırlı değil. Mağaza formları, çağrı merkezi süreçleri, yüz yüze müşteri temas noktaları ve canlı destek hattı gibi tüm kanallarda bu ayrımın tutarlı biçimde uygulanması gerekiyor.
Adım 6 — Ekibinizi bilgilendirin. Özellikle müşteri ilişkileri, İK ve pazarlama ekiplerinin bu değişikliği anlaması ve doğru uygulaması kritik. Müşterilerden ve adaylardan gelebilecek “bu nedir, neden iki ayrı onay istiyorsunuz?” sorularına hazırlıklı olun.
Doğru ve Yanlış Uygulama: Somut Örnekler
Kararın pratikte nasıl uygulanacağını daha iyi anlamak için doğru ve yanlış uygulamaları karşılaştıralım.
Yanlış uygulama: Tek bir sayfada, tek bir başlık altında hem aydınlatma hem de rıza ifadelerinin yer aldığı bir metin. Sayfanın altında tek bir “Okudum, kabul ediyorum ve açık rıza veriyorum” butonu. Tüm veri işleme faaliyetleri için toptan bir onay alınması.
Doğru uygulama: Sayfanın üst kısmında “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni” başlığıyla bilgilendirme metni. Altında “okudum ve anladım” beyanı. Ayrı bir bölümde “Açık Rıza Metni” başlığıyla, hangi veri işleme faaliyetine rıza verildiğinin açıkça belirtildiği metin. Her faaliyet için ayrı, önceden işaretlenmemiş onay kutucukları. Rızanın her zaman geri alınabileceğinin belirtilmesi.
Uymazsanız Ne Olur?
Kurul, kararda açıkça belirtiyor: Bu yükümlülükler, Kanun’un 12. maddesinin birinci fıkrası uyarınca veri sorumlularının alması gereken idari ve teknik tedbirler kapsamındadır. Uyulmaması halinde Kanun’un 18. maddesi gereğince idari para cezası uygulanacaktır.
2026 yılında veri güvenliği yükümlülüklerine aykırılık halinde uygulanabilecek idari para cezaları 256.357 TL ile 17.092.242 TL arasında değişiyor. Aydınlatma yükümlülüğüne aykırılık halinde ise 85.437 TL ile 1.709.200 TL arasında ceza söz konusu olabiliyor.
Ancak mali yaptırımdan daha önemlisi, hatalı uygulamaların açık rızanın geçerliliğini doğrudan etkilemesidir. İç içe geçmiş bir metinle alınan açık rıza, “bilgilendirilmiş ve özgür iradeyle verilmiş” sayılamayacağından geçersiz hale gelebilir. Bu da o rızaya dayanan tüm veri işleme faaliyetlerinin hukuki dayanağını ortadan kaldırır.
Sonuç
2026/347 sayılı İlke Kararı, yalnızca bir “metin formatı düzenlemesi” olarak görülmemeli. Bu karar, kişisel verilerin korunması alanında şeffaflık ve özgür irade ilkelerinin somut uygulamasına dair önemli bir rehber niteliği taşıyor.
İyi haber şu ki, uyum sağlamak teknik olarak karmaşık bir süreç değil. Mevcut metinlerinizi gözden geçirmek, ayrıştırmak ve doğru yapıda yeniden sunmak — bu adımları sistematik bir şekilde atacak işletmeler hem hukuki riski ortadan kaldıracak hem de müşterilerine şeffaf bir veri yönetimi deneyimi sunacak.
Açık rıza ve aydınlatma metinlerinizin güncel mevzuata uygunluğunu kontrol etmek ve uyum sürecinizi profesyonel destekle yürütmek için Garanti KVK Danışmanlık ile iletişime geçin.