top of page
  • Instagram
  • Twitter
  • Facebook
Ara

AYDINLATMA VE AÇIK RIZANIN BOŞANMASI: 2026/347 SAYILI İLKE KARARI IŞIĞINDA YENİ DÖNEM

  • Yazarın fotoğrafı: Av. Selimhan Cinas
    Av. Selimhan Cinas
  • 24 Mar
  • 5 dakikada okunur

24.03.2026 tarihli Resmi Gazete'de, Kişisel Verileri Koruma Kurulu tarafından bir ilke karar yayımlanmıştır. Bu karar, tüm veri sorumluları hakkında birçok zorunluluğu da beraberinde getirmektedir.


Kurul tarafından birçok kararlar yayımlamaktadır. Bu kararlardan bir kısmına "emsal karar" ve bir kısmına ise "ilke karar" denmektedir.


Öncelikle belirtmek gerekir ki KVKK mevzuatı çerçevesinde "ilke karar" ve "emsal karar" arasında ciddi farklar bulunmaktadır. Bu farkın hukuki dayanağı ise KVKK'nın 15. Maddesidir. 15. Maddenin 5. ve 6. Fıkrasında:


"(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.


(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir." denilmektedir.


EMSAL KARAR NEDİR?


15. Maddeye göre kişisel veri ihlalinin tespit edilmesi halinde, bu ihlalin veri sorumlusu tarafından giderilmesine karar verebilmektedir. Münferit durumlar için alınan bu kararlar, "emsal karar" olarak değerlendirmektedir. Emsal kararlar, idare tarafından tesis edilmiş idari işlemdirler.


Emsal kararlar aracılığıyla Kişisel Verileri Koruma Kurulu, bir konu hakkındaki genel çerçeve yorumunu ve yaklaşımını ortaya koyar. Bu yorum ve yaklaşımlar ise, rehber ve yol gösterici nitelikte kararlardır. Bu nedenle kişisel veri işleyenler bakımından doğrudan bağlayıcılığı yoktur.


Emsal kararlar, Kurulun internet sitesinde yayımlanarak ilan edilir.


İLKE KARAR NEDİR?


İlke karar ise, emsal kararlardan daha yüksek bir bağlayıcılık düzeyine sahiptir. İlke kararlar, kurul tarafından kişisel veri ihlalinin yaygın olarak tespit edilmesi halinde yayımlanır.


İlke kararlar, bu bakımdan kişisel verilen korunması hakkında standartlar koymayı amaçlamakta olup; genel-geçer ve herkesi bağlayıcı kuralları içerir. Sanal dünyadaki hızlı değişikliklere, hukukun ayak uydurabilmesi adına bu tip bağlayıcı kurallar, konusunda uzman olan Kurul tarafından alınmaktadır.


İlke kararlar, genel-geçer olması sebebiyle tüm veri işleyenleri ve veri sorumları hakkında bağlayıcıdır. Bu nedenle ilke kararlar, emsal kararlardan farklı olarak, Resmi Gazetede yayımlanır ve ilan edilir.


24.03.2026 TARİHLİ İLKE KARARIN KAPSAMI NEDİR?


18.02.2026 tarihli ve 2026/347 karar numaralı kararda:


“.....Açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulması, kişisel verileri koruma kurumuna intikal eden ihbar ve şikayetlerde en çok karşılaşılan hukuka aykırılıklardan biri olarak görülmektedir....



.....Niteliği itibari ile farklı kavramlara karşılık gelen açık rıza ve aydınlatma metinlerinin ayrı ayrı metinlerde düzenlenmesi gerektiği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak kişisel verileri koruma kurulu tarafından ilke kararı alınması gereği hasıl olmuştur.....


6698 sayılı kanunun beşinci maddesinde kişisel verilerin, altıncı maddesinde ise özen nitelikli kişisel verilen işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmıştır.


Açık rıza, kanunun üçüncü maddesinde: “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza “şeklinde tanımlanmıştır. Bu tanım kapsamında açık rıza, ilgili kişinin kendisi ile ilgili kişisel verilen işlenmesine izin verdiğini/işlenmesini onayladığını gösteren özgürce verilmiş, konuya özel, bilgilendirilmiş ve belirsizlik içermeyen rızası anlamına gelmektedir.


...Açık rıza metinlerinde, kişisel verilerin işlenmesine açık rıza verildiğini beyan edilmesi gerekmektedir. Kanuna uygun bir şekilde açık rıza alanında ilişkin ispat yükümlülüğü veri sorumlusuna aittir....


....Bu kapsamda, aydınlatma yükümlülüğü her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi gerekmektedir. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır. Söz konusu metinler tek bir sayfada yer alacak olsa dahi ilgili kişiler tarafından verilecek beyanlar niteliği itibarıyla farklı olduğundan her iki metnin alt ve üst şeklinde ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulması gerekmektedir.


Uygulamada


  • Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması,


  • Aydınlatma yapıldığına dair ilgili kişilerden onay / rıza talep edilmesi,


  • Başka bir veri sorununuz tarafından düzenlenen metinlerin veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir aynısının kullanılması,


  • Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması, farklı anlaşılmaya müsait, eksik, ilgi içişleri yanıltıcı ve yanlış bilgilere yer verilmesi


  • Çok detaylı, karmaşık ve uzun metinlerin kullanılması gibi hukuka aykırılık sıkça tespit edilmektedir.



Bu itibarla


  • İlgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi,


  • Aydınlatma metni ve açık rıza metinlerinin farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmesi,


  • Başka bir veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusu tarafından kendi organizasyonlara ve faaliyetlerine uygun şekilde düzenlenmesi


  • Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte ve farklı anlaşılmaya müsait, eksik, ilgili kişilere yanıltıcı ve yanlış bilgilere yer verilmemesi


  • Çok detaylı, karmaşık ve uzun metinlerin kullanılmaması


  • Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işi ve faaliyetlerin amaç hukuki sebebin açık ve net bir biçimde ifade edilmesi" denilmiştir.


24.03.2026 TARİHLİ İLKE KARARIN SONUÇLARI NE OLACAKTIR?


Aydınlatma ve kişisel verilen işlenmesine onaylarının tek bir metin halinde alınması mümkün olamayacaktır.


Birçok veri sorumluları, veri işleme süreçlerini hızlandırmak ve kullanıcı deneyimini bölmemek için aydınlatma ve rıza metinlerini daha önce tek bir paket halinde sunmaktaydı. BuAydınlatma ve kişisel verilen işlenmesine onaylarının tek bir metin halinde alınması mümkün olamayacaktır.


Birçok veri sorumluları, veri işleme süreçlerini hızlandırmak ve kullanıcı deneyimini bölmemek için aydınlatma ve rıza metinlerini daha önce tek bir paket halinde sunmaktaydı. Bununla birlikte firmaların, tek bir metin içerisinde veri sahibinin en geniş rızasını tek bir tıkla alarak amaçladığı da bilinen bir gerçekliktir.


Bu ilke kararla birlikte artık, aydınlatma metni için ayrı bir sayfa/metin ve kişisel verilen işlenmesi için ayrı bir sayfa/metin ayrılması zorunlu hale gelmiştir.


Rızayı sakatlayan işlemler mümkün olmayacaktır.


Aydınlatma metinlerinin içerisine, kişisel verilen işlenmesine rıza gösterilmesine yönelik ibareler bulunması sebebiyle fiili bir durum yaratılmıştı. Geçmişteki fiili durumda: yaygın internet sitelerinde aydınlatma ve rıza vermeden, sitenin sunduğu olanaklardan yararlanma ve sitede gezinme imkanı tüketicinin elinden alınmış bir vaziyette idi. Artık, bu iki onay metninin birbirinden ayrılması ile tüketicilerin sitelerde bıraktıkları verilerin işlenmesi için paket onay alınması ve sonrasında serbestçe işlenmesi hukuken mümkün olamayacaktır.


Başka veri sorumluları tarafından düzenlenen metinler kullanılamayacaktır.


Birçok işletme, kendi ihtiyaçlarına uygun KVKK metinleri hazırlatmak yerine, maliyetten kaçınmak adına, diğer sitelerde yer alan metinleri kopyala/yapıştır yaparak kullanmak yoluna gitmekteydiler. Hukuken, sitelerde yer alan tüm içerik ve ibareler site sahibinin/metin yazıcısının fikri mülkiyeti kapsamında olmakla, fikri mülkiyet hakları hiçe sayılarak bu metinler elden ele dolaşmaktaydı.


Bu ilke kararla birlikte kopyala/yapıştır aydınlatma ve rıza metinleri kullanımı azalacak ve veri sorumlularının kendi ticari faaliyetlerine uyumlanmış metinlerin kullanımı gerekecektir.


Kişisel veri onaylarınsa sade dil ve kısa metinler kullanılması zorunlu hale gelmiştir.


Kişisel veri metinleri incelendiğinde, konuyu esas amacından saptırarak, veri sunucularını her türlü hukuki ihtimale karşı korumak saikiyle yazılmış sayfalar dolusu metin mevcuttur. Teknik olarak da bu metinlerin bir kullanıcı tarafından okunması veya içeriğine anlam verilmesi mümkün değildir.


Kurul, almış olduğu bu ilke kararla, kullanıcıların veri tercihlerini ve sanal mahremiyetlerini önceleyen bir yaklaşım tercih etmiştir.


18.02.2026 tarihli ve 2026/347 karar numaralı karar, ilke karar olması sebebiyle tüm veri sorumluları bakımından bağlayıcıdır.


Karara uygun şekilde KVKK metinlerinin güncellenmemesi halinde veri sorumluları, ciddi hukuki yaptırımlarla karşılaşması muhtemeldir.nunla birlikte firmaların, tek bir metin içerisinde veri sahibinin en geniş rızasını tek bir tıkla alarak amaçladığı da bilinen bir gerçekliktir.


İlgili kararın linkine ulaşmak için:


Yorumlar

bottom of page