30.03.2026
Kişisel Verileri Koruma Kurulu tarafından 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı (“Karar”) ile veri sorumlularının kişisel veri işleme süreçlerinde kullandıkları metinlerin hukuki niteliği ve kurgusuna ilişkin önemli esaslar ortaya konulmuştur. Söz konusu karar, 24.03.2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Kararda, aydınlatma yükümlülüğünün veri sorumlusuna kanundan kaynaklanan ve ilgili kişinin onayına bağlı olmayan bir bilgilendirme yükümlülüğü olduğu; açık rızanın ise yalnızca belirli hallerde başvurulabilecek bir veri işleme şartı teşkil ettiği açık şekilde ortaya konulmuştur. Bu kapsamda, söz konusu iki kavramın hukuki mahiyeti ve işlevi gereği birbirinden ayrı süreçler olarak ele alınması gerektiği vurgulanmaktadır.
İşbu Karar ile özellikle uygulamada yaygın şekilde karşılaşılan bazı metin kurgularına açıklık getirilmiş; aydınlatma içeriği ile açık rıza beyanının tek bir metin içerisinde bütünleşik şekilde sunulmasının hukuki açıdan sakıncalar doğurabileceği ifade edilmiştir. Bu doğrultuda, aydınlatma metinleri ile açık rıza metinlerinin ayrı başlıklar altında ve bağımsız metinler olarak düzenlenmesi; aynı ortamda sunulmaları halinde dahi her birine ilişkin beyanın ayrı ayrı alınması gerektiği belirtilmiştir.
Bununla birlikte, aydınlatma yükümlülüğünün yerine getirilmesi sırasında ilgili kişilerden onay veya rıza talep edilmemesi gerektiği; “kabul ediyorum”, “onaylıyorum” gibi ifadelerin bu kapsamda kullanılmasının bilgilendirme sürecinin hukuki niteliğini değiştirebileceği değerlendirilmiştir. Buna karşılık, yalnızca bilgilendirmenin yapıldığına ilişkin beyanların alınması uygun görülmektedir. Öte yandan, açık rızaya dayalı veri işleme faaliyetlerinde rızanın belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanmış olması gerektiği hususu da ayrıca hatırlatılmaktadır.
Kararda ayrıca, metinlerin açık, anlaşılır ve veri sorumlusunun faaliyetlerine özgü şekilde hazırlanması gerektiği; genel, muğlak veya başka veri sorumlularına ait ifadelerin aynen kullanılmasının hukuki risk doğurabileceği belirtilmiştir. İşlenen veri kategorileri, veri işleme amaçları ve dayanak teşkil eden hukuki sebeplerin açık ve net şekilde ortaya konulması gerektiği; açık rıza dışındaki işleme şartlarına dayanılan hallerde ise ayrıca rıza alınmasına gerek bulunmadığı ifade edilmiştir.
Bu çerçevede, veri sorumlularının kişisel veri işleme süreçlerinde kullandıkları metinleri ve uygulamalarını İlke Kararı ve aktardığımız hususlar doğrultusunda, ivedilikle revize etmeleri ve gerekli altyapıları buna göre kurgulamaları gerekmektedir.
İlgili İlke Kararı metnine buradan ulaşabilirsiniz: https://www.resmigazete.gov.tr/eskiler/2026/03/20260324-3.pdf
Çelikbaş Hukuk Bürosu