Kişisel Verileri Koruma Kurumu’nun (“KVKK”) veri sorumluları tarafından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği hakkındaki 2026/347 Sayılı Kurul ilke kararı 24 Mart 2026 Tarihli, 33203 Sayılı Resmî Gazete’de yayınlanmıştır. İşbu bilgi notumuz kapsamında söz konusu ilke kararı ele alınmaktadır.

İlke Kararı ele alınmadan hemen önce kişisel veri, ilgili kişi kavramlarının ele alınması gerektiği kanısındayız. Bilindiği üzere, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; ilgili kişi, bu verisi işlenen gerçek kişiyi; veri sorumlusu ise verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin yönetiminden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Bu çerçevede sunulan aydınlatma metni, ilgili kişilere verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenip aktarılabileceğine dair bilgi edinme hakkı tanırken; açık rıza, bu sürecin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle verilen bir onay ile yürütülmesini sağlamaktadır.

A. Kişisel Verilerin Korunmasında Yeni Dönem: Aydınlatma ve Açık Rıza Metinleri Artık Ayrı Düzenlenecek

Aydınlatma metni ile açık rıza metni kavramları arasındaki sınır az evvel yer verdiğimiz gibi olmasına karşın Kurul’a yapılan şikâyetlerin çoğunun bu iki metnin iç içe geçmiş halde ilgili kişilere sunulması olduğu tespit edilmiştir. İşbu sebeple 2026/347 Sayılı Kurul İlke Kararı ile veri sorumluları için kayda değer bir düzenleme yapılmıştır. Kurul’un bu kararı, özellikle dijital platformlarda ve fiziksel formlarda sıkça görülen ‘’aydınlatma metni ile açık rıza beyanının iç içe geçmesi’’ uygulamasının hukuka uygunluk şartlarını karşılamadığını vurgulamaktadır.

B. Aydınlatma ve Açık Rıza Neden Birleştirilemez?

Kurul’un tespitlerine göre, aydınlatma yükümlülüğü temel bir bilgilendirme faaliyeti iken, açık rıza ise verinin işlenmesi için gereken hukuki bir onay mekanizmasıdır. Bu iki kavramın tek bir metinde sunulması, ilgili kişinin neye onay verdiğini anlamasını zorlaştırmakta ve iradesini sakatlamaktadır. Yeni karara göre, bu iki metnin nitelikleri gereği tamamen farklı başlıklar altında ve birbirine bağlı olmayacak şekilde sunulması zorunlu hale getirilmiştir.

C. Uygulamada Dikkat Edilmesi Gereken Kritik Noktalar

Veri sorumluları, kişisel veri işlemeye başlamadan önce aydınlatma yükümlülüğünü her durumda yerine getirmelidir. Eğer veri işleme faaliyeti açık rıza şartına dayanıyorsa, aydınlatma metni ve açık rıza metni ayrı ayrı düzenlenerek kişilere sunulmalıdır. Metinler tek bir sayfada yer alsa dahi, aralarında net bir ayrım bulunmalı ve her iki metin için de ayrı onay veya beyan bölümleri bulunmalıdır.

Bu kapsamda, özellikle elektronik ortamlarda sıkça kullanılan ‘’Okudum ve onaylıyorum’’ ifadesi de mercek altına alınmıştır. Aydınlatma metinleri bir sözleşme niteliği taşımadığı için, bu metinlerin sonunda “onaylıyorum” yerine sadece metnin anlaşıldığına dair “Okudum ve anladım” şeklinde bir beyan alınması hukuka uygun kabul edilecektir. “Onaylıyorum” veya “Rıza veriyorum” ifadeleri ise yalnızca açık rıza metinlerine özgülenmelidir.

D. Veri Sorumlularının Dikkat Etmesi Gereken Hususlar

Kurul, kararda ayrıca sade ve anlaşılır bir dil kullanılmasının önemine dikkat çekmiştir. Karmaşık, çok uzun, yanıltıcı veya başka kurumlardan kopyalanmış (uyarlanmamış) metinlerin kullanımı hukuka aykırılık teşkil etmektedir. Bu bağlamda, aydınlatma ve rıza süreçlerine ilişkin ispat yükümlülüğü veri sorumlusuna aittir.

Bu yeni dönemde, idari yaptırımlarla karşılaşmamak adına tüm süreçlerin, formların ve web ara yüzlerinin 2026/347 sayılı İlke Kararı’na uygun şekilde revize edilmesi büyük önem arz etmektedir.

E. Sonuç Olarak

Kişisel Verileri Koruma Kurulu’nun yayımladığı 2026/347 sayılı ilke kararı, kişisel verilerin korunması hukukunda “şeffaflık” ve “irade serbestisi” ilkelerinin pratikteki yansımasını netleştirmiştir. Bu karar ile birlikte, aydınlatma yükümlülüğünün bir bilgilendirme, açık rızanın ise bir irade beyanı olduğu gerçeği tescillenmiş; bu iki mekanizmanın birbirine karıştırılması hukuka aykırı bulunmuştur.

Söz konusu ilke kararı, bugüne kadar “yasal formalite” olarak görülen aydınlatma süreçlerinin artık veri sorumluları için bir “dizayn ve kullanıcı deneyimi” meselesi haline geldiğini göstermektedir. Sadece metinlerin ayrılması değil, bu metinlerin sunuluş biçiminin de rızayı sakatlamayacak netlikte olması, ileride doğabilecek ispat yükümlülüğü ihtilaflarında belirleyici rol oynayacaktır.

Bu kapsamda, veri işleme envanterlerinin ilke kararına uygun olarak güncellenmesi ve tüm uyum süreçlerinin profesyonel bir denetimden geçirilmesi, olası hukuki risklerin asgari düzeye indirilmesi açısından kritik önem taşımaktadır.