Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından hazırlanan “Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Karar” (“İlke Karar”), 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanmıştır.
İlke Karar’da, açık rıza ve aydınlatma kavramları mevzuat kapsamında incelenmiş olup uygulamada sıklıkla karşılaşılan hukuka aykırı uygulamalara ilişkin değerlendirmelere yer verilmiştir. Bu kapsamda Kurul tarafından özetle;
- Aydınlatma metinlerinin amacının bilgilendirme olduğu, birer sözleşme niteliği taşımadıklarını; bu nedenle “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum”, veya “okudum ve onaylıyorum” şeklinde irade beyanı içeren ifadeler yerine “okudum ve anladım” gibi ifadelerin tercih edilmesi gerektiği,
- Açık rızanın bilgilendirmeye dayanan irade beyanı niteliğinde olduğu ve bu yönüyle aydınlatma metninden farklı olduğunu ve “kişisel verilerimin işlenmesine açık rıza veriyorum” ibaresini içermesi gerektiği,
- Kişisel veri işleme faaliyetinin açık rıza şartına bağlanması halinde, aydınlatma metni ve açık rıza metinlerinin farklı başlıklar altında ayrı metinler olarak düzenlenmesi gerektiği,
- Aydınlatma metni ve açık rıza metinlerinin aynı sayfada düzenlenmesi durumunda farklı başlıklar altında ve iki metin için ayrı beyan alınacak şekilde yapılandırılması gerektiği,
- Kişisel veri işleme faaliyetinin açık rıza şartı dışında 6698 sayılı Kanun’da sayılan diğer işleme şartlarına dayanması durumunda, sadece aydınlatma yükümlülüğünün yerine getirilmesinin yeterli olduğu ve ayrıca açık rıza alınmaması gerektiği,
- Metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve sektörel faaliyetlerine uygun şekilde düzenlenmesi gerektiği,
- Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel, farklı anlaşılmaya müsait, eksik, yanıltıcı ve yanlış bilgilere yer verilmemesi ve gereğinden fazla detaylı, karmaşık ve uzun metinlerden kaçınılması gerektiği,
vurgulanmıştır.
Ayrıca Kurul, İlke Karar ekinde iyi ve kötü uygulama örneklerine de yer vermiştir.
Bahse konu uygulamanın gerektiği gibi yapılmaması durumunda Kişisel Verileri Koruma kanunu 12. ve 18. maddeler gereğince veri sorumlularına idari para cezası verileceği öngörülmüştür.
İlke Kararın tamamına, buradan ulaşabilirsiniz.
Saygılarımızla,
Balay, Eryiğit & Erten
