×
Back to Insights

KVKK Uyum Rehberi: İlke Karar Doğrultusunda Aydınlatma ve Açık Rıza Uygulamaları

Kişisel Verileri Koruma Kurulunun Resmî Gazete’de yayımlanan 2026/347 sayılı ilke kararı, aydınlatma ve açık rıza uygulamalarındaki hatalı pratikleri gidermeyi amaçlamaktadır. Kararda, bu iki sürecin farklı hukuki işlevlere sahip olduğu vurgulanarak ayrı hazırlanması gerektiği belirtilir. Ayrıca metinlerin açık, doğru ve anlaşılır olması, somut olaya özgü düzenlenmesi ve gereksiz şekilde açık rızaya başvurulmaması gerektiği ifade edilir. Bu ilkelere uyulmaması halinde ciddi yaptırımlarla karşılaşabilecektir.

31.03.2026

KVKK Uyum Rehberi: İlke Karar Doğrultusunda Aydınlatma ve Açık Rıza Uygulamaları

Uygulamada açık rıza metinleri ile aydınlatma metninin birbirine karışık biçimde sunulması, Kişisel Verileri Koruma Kurumuna (“Kurum”) yapılan ihbar ve şikâyetlerde en sık tespit edilen hukuka aykırılıklar arasında yer almaktadır. Bunun üzerine Kişisel Verileri Koruma Kurulunun (“Kurul”) 24 Mart 2026 tarihli Resmî Gazete'de 2026/347 sayılı ilke kararı yayımlanmıştır. İlke kararda Kurul, bu iki mekanizmanın farklı fonksiyonlara sahip olduğunu belirterek, metinlerin ayrı hazırlanması gerektiğine vurgu yapmıştır.

Aydınlatma Metni Hazırlarken Dikkat Edilmesi Gerekenler:

1.  Aydınlatma Metni Önceden Sunulmalıdır: Aydınlatma, her durumda ve kural olarak veri işleme faaliyetinden önce yapılmalıdır.

2.  Aydınlatma Metni Ayrı Olmalıdır: Aydınlatma metni, açık rıza metninden tamamen ayrılmalıdır. İki metin tek bir metin altında birleştirilmemelidir. Tek bir sayfada hazırlanması gerekiyorsa bile her iki metne ayrı ayrı, farklı başlıklar açarak yer verilmelidir.

3.  Aydınlatma Onaya Dayalı Olmamalıdır: Aydınlatma metni bir sözleşme değildir. İspat için ilgili kişiden aydınlatma metninin yalnızca okuduğuna ve bilgi edindiğine ilişkin teyit alınabilir. Ancak “okudum, onaylıyorum/kabul ediyorum.” gibi metin içeriğine yönelik bir rıza veya onay mekanizması kurgulanmamalıdır.

4.  Açık ve Anlaşılır Dil Kullanılmalıdır: Aydınlatma metni sade, açık ve anlaşılır olmalıdır. Çok detaylı, karmaşık ve muğlak ifadeler kullanılmamalıdır. Örneğin, “kişisel verileriniz mevzuata uygun olarak işlenmektedir” yerine, hangi verilerin hangi amaçla işlendiği açıkça belirtilmelidir.

5.  Doğru Bilgi Sunulmalıdır: Aydınlatma metinlerinde var olmayan, gerçeği yansıtmayan bir bilgiye yer verilmemelidir. (Örneğin: yurt dışına aktarım yapılıyorken yurt dışına aktarım yapılmadığını beyan etmek gibi)

6.  Kopyala-Yapıştır Yapılmamalıdır: Her duruma ayrıca hazırlanması gereken aydınlatma metinlerinin içeriği de somut olaya özgü hazırlanmalıdır.

7.  Bilgiler Net Bir Şekilde İfade Edilmelidir: Aydınlatma metinlerinde kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin yanı sıra işlenen kişisel veriler ve kategorileri de açık ve net bir biçimde ifade edilmelidir.

Açık Rıza Metni Hazırlarken Dikkat Edilmesi Gerekenler:

1.  Açık Rıza Ayrı Olmalıdır: Açık rıza metni, aydınlatma metninden ayrı olmalıdır. Aynı metin içinde aydınlatma ve açık rıza birleştirilmemelidir. Tek bir sayfada hazırlanması gerekiyorsa bile her iki metne ayrı ayrı, farklı başlıklar açarak yer verilmelidir.

2.  Hukuki Sebep Değerlendirmesi Yapılmalıdır: Açık rıza haricindeki diğer işleme şartlarına dayanıp dayanmadığına ilişkin değerlendirme yapılmalıdır. Örneğin kanunlarda açıkça alınması öngörülen bir kişisel veri için açık rıza alınmasına gerek bulunmamaktadır.

3.  Başka Bir Hukuki Sebep Varlığı Halinde Açık Rızaya Dayanılmamalıdır: Yukarıdaki değerlendirme sonucunda açık rıza dışında bir işleme şartı var ise ayrıca açık rıza metni sunulmamalıdır. Bu durumda yalnızca mevzuata uygun bir şekilde aydınlatma yapılması yeterlidir

4.  Açık ve Anlaşılır Dil Kullanılmalıdır: Açık rıza metinleri de sade, açık ve anlaşılır olmalıdır.

5.  Doğru Bilgi Sunulmalıdır: Açık rıza metinlerinde de ilgili kişilere eksik, yanıltıcı, yanlış bilgi verilmemelidir.

6.  Kopyala-Yapıştır Yapılmamalıdır: Açık rıza süreçleri de her somut olaya özgü, her durum için farklı farklı hazırlanmalıdır.

Yaptırımlar

Veri sorumluları tarafından ilgili ilke karara uyum çok önemlidir. Zira 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 18. maddesi uyarınca birtakım idari yaptırımlar düzenlenmiştir.

  • Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 85.437 TL- 1.709.200 TL idari para cezası verilebilecektir.
  • İlke kararda yer alan hususlar Kanun’un 12. maddesi uyarınca kişisel verilerin hukuka uygun şekilde işlenmesini teminen veri sorumluları tarafından alınması gereken teknik ve idari tedbirlerdendir. Buna aykırılık halinde 256.357 TL-17.092.242 TL idari para cezası verilebilecektir.
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 427.263 TL-17.092.242 TL idari para cezası verilebilecektir.
  • Söz konusu eylemler kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında işlendiğinde, Kurul’un bildirimi üzerine ilgili kişiler hakkında disiplin işlemi uygulanabilmektedir.

Genel Tavsiyeler:

1.  Aydınlatma ve Açık Rıza Süreçlerini Gözden Geçirin: Mevcut metinleri ilke karara uygun şekilde gözden geçirin ve gerekirse yeniden düzenleyin.

2.  Şeffaflık Sağlayın: Veri sorumluları, veri işlemenin her aşamasında şeffaf olmalı ve ilgili kişilerin haklarını kolayca kullanabilmelerini sağlamalıdır. Metinler de bu kurallar doğrultusunda hazırlamalıdır.

3.  Kullanıcı Deneyimine Önem Verin: İlgili kişilerin aydınlatma ve açık rıza süreçlerini kolayca anlayıp takip edebilmesi için hem fiziki hem elektronik olarak hazırlanan metinleri bu doğrultuda gözden geçirin.

4.  Veri İhlalleri ve Yaptırımlara Karşı Önlem Alın: Mevzuata aykırı hareket etmek, ciddi yaptırımlara neden olabilir. Bu nedenle metinlerin hukuki gerekliliklere tam uyumlu olduğundan emin olun.

Sonuç

Sonuç olarak 2026/347 sayılı ilke karar, kişisel verilerin korunması hukuku uygulamasında uzun süredir devam eden hatalı bir pratiği sona erdiren ve veri sorumlularına açık bir yol haritası sunan niteliktedir. Mevzuatta yer alan hususlar bu kararda bir kere daha net bir şekilde ortaya koyulmuştur. Kararın sonunda iyi ve kötü uygulama şablonları örnek olarak gösterilmiştir. Bu karar doğrultusunda şirketlerin mevcut metinlerini gözden geçirmeleri, aydınlatma ve açık rıza süreçlerini birbirinden ayırmaları ve özellikle ilgili kişilere sunum biçimini yeniden kurgulamaları gerekmektedir.

İlke karara buradan ulaşabilirsiniz.

 

 

Related Insights

Explore further resources, articles, and valuable perspectives that delve deeper into related topics, offering you a broader understanding.

  • Mutual Rescission Agreement: Reasonable and Additional Benefits in Turkish Case Law
    Article 26.03.2026

    Mutual Rescission Agreement: Reasonable and Additional Benefits in Turkish Case Law

    Although not explicitly regulated by Labor Law No. 4857, the mutual rescission agreement has been shaped by judicial precedents and is based on the termination of the employment relationship through the mutual will of the parties. When drafting this agreement, a delicate balance must be maintained between the principle of "freedom of contract" and the fundamental labor law principle of "interpretation in favor of the employee." In line with Court of Cassation practices; the party initiating the offer, the "reasonable benefit" provided to the employee, and the benefits offered in addition to statutory severance are essential factors for the legal validity of the agreement. Current judicial rulings make the existence of these additional benefits mandatory for the protection of the contract, especially in cases where the offer originates from the employer.

    Read more >
  • QR Kodlara Dikkat! Görünmeyen Tehlike: Quishing Saldırıları ve Korunma Yöntemleri
    Article 24.03.2026

    QR Kodlara Dikkat! Görünmeyen Tehlike: Quishing Saldırıları ve Korunma Yöntemleri

    Kişisel Verileri Koruma Kurumunun yayımladığı “QR Kodlarla Gelen Risk: Quishing” başlıklı farkındalık dokümanı, QR kodların yaygınlaşmasıyla ortaya çıkan quishing saldırılarına dikkat çekmektedir. Bu saldırılar, sahte veya değiştirilmiş QR kodlar aracılığıyla kullanıcıları zararlı sitelere yönlendirerek kişisel ve finansal bilgilerin ele geçirilmesine yol açar. Fiziksel ve dijital ortamlarda gerçekleştirilebilen bu saldırılar, tespiti zor riskler barındırır.

    Read more >
  • The Use of Generative Artificial Intelligence Tools in the Workplace
    Article 13.03.2026

    The Use of Generative Artificial Intelligence Tools in the Workplace

    The Turkish Personal Data Protection Law No. 6698 applies to all personal data processing activities, including those carried out through generative artificial intelligence (GAI) systems, which can create human-like new content by leveraging patterns in existing data. To address the growing impact of GAI in the workplace, the Turkish Personal Data Protection Authority recently issued a document on the use of GAI tools in the workplace, providing a general framework for the use of GAI tools.

    Read more >
  • İkale Sözleşmesi’nde Makul Yarar ve Ek Menfaat
    Article 12.03.2026

    İkale Sözleşmesi’nde Makul Yarar ve Ek Menfaat

    4857 sayılı İş Kanunu’nda düzenlenmeyen ancak yargı içtihatlarıyla şekillenen ikale (bozma) sözleşmesi, iş ilişkisinin tarafların ortak iradesiyle sonlandırılmasını esas alır. Bu Sözleşme hazırlanırken Borçlar Kanunu’ndaki "sözleşme serbestisi" ilkesi ile iş hukukunun temel taşı olan "işçi yararına yorum" prensibi arasındaki hassas denge dikkate alınmalıdır. Yargıtay uygulamaları doğrultusunda, ikale teklifini eden taraf, işçiye sağlanan "makul yarar" ve yasal tazminatlara ek olarak sunulan menfaatler, sözleşmenin hukuki geçerliliği için dikkat edilmesi gereken hususlardandır. Güncel yargı kararları, özellikle işverenden gelen tekliflerde bu ek menfaatlerin varlığını sözleşmenin korunması için zorunlu kılmaktadır.

    Read more >

Subscribe to our newsletters for the latest legal updates