KVKK’da Aydınlatma Metni ile Açık Rıza Arasındaki Fark Nedir? 2026/347 İlke Kararı Çerçevesinde Değerlendirme

KVKK’da Aydınlatma Metni ile Açık Rıza Arasındaki Fark Nedir?

2026/347 Sayılı İlke Kararı Çerçevesinde Uygulama

KVKK uygulamasında en sık karıştırılan konulardan biri, aydınlatma metni ile açık rızanın aynı işlem gibi görülmesidir. Uygulamada bu karışıklık çoğu zaman tek bir metin içinde hem bilgilendirme yapılması hem de kişiden onay istenmesi şeklinde ortaya çıkar. Oysa Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarih ve 2026/347 sayılı İlke Kararı, bu konuda artık oldukça net bir çerçeve ortaya koymuştur: aydınlatma yükümlülüğü ile açık rıza süreci birbirinden farklıdır ve açık rıza gereken hallerde bu iki metin ayrı ayrı düzenlenmelidir. Kararın başlığı da bunu açık biçimde ifade etmektedir. Sayfa 1’de kararın konusu doğrudan “Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı” olarak yer almaktadır.

Bu nedenle mesele sadece teorik bir ayrım değildir. Artık uygulamada doğru kabul edilen model ile hatalı kabul edilen model, Kurul tarafından somut örneklerle de gösterilmiş durumdadır. Kararın eklerinde iyi uygulama ve kötü uygulama şablonlarının ayrıca yayımlanmış olması da bunun en açık göstergesidir. Sayfa 5, 6 ve 7’de iyi uygulama; sayfa 8’de ise kötü uygulama örneği yer almaktadır.

Aydınlatma metni nedir?

Aydınlatma metni, veri sorumlusunun ilgili kişiye bilgi verme yükümlülüğünün aracıdır. Başka bir ifadeyle veri sorumlusu, kişisel veriyi elde ettiği sırada ilgili kişiye kim olduğunu, verileri hangi amaçla işlediğini, verilerin kimlere aktarılabileceğini, hangi yöntemle topladığını, hangi hukuki sebebe dayandığını ve ilgili kişinin hangi haklara sahip olduğunu açık şekilde bildirmek zorundadır. İlke Kararı’nın dayandığı mantık da tam olarak budur: aydınlatma, bir veri işleme izni alma yöntemi değil; şeffaflık yükümlülüğüdür. Sayfa 2’de, aydınlatma yükümlülüğünün Kanun’un 10. maddesi kapsamında veri sorumlusunun kişiyi bilgilendirme borcu olduğu açık biçimde ortaya konulmaktadır.

Bu nedenle aydınlatma metni, hukuki niteliği itibarıyla bir sözleşme değildir. Kişiden bunu “kabul etmesi” beklenmez. İlke Kararı’nın en önemli vurgularından biri de budur. Kararda, metin sonunda “okudum ve kabul ediyorum” veya “onaylıyorum” şeklindeki kullanımın yanlış uygulama riski doğurduğu; buna karşılık “okudum ve anladım” yaklaşımının daha uygun bir kullanım olduğu görülmektedir. Bunun iyi uygulama örneği de sayfa 7’de tek sayfalık şablonda gösterilmiştir; burada ilgili kişiden “kişisel verilerimin işlenmesine yönelik aydınlatma metnini okudum ve anladım” şeklinde bir beyan alınmaktadır.

Açık rıza nedir?

Açık rıza ise başka bir hukuki işlemdir. Açık rıza, ilgili kişinin belirli bir veri işleme faaliyetine bilgilendirmeye dayalı ve özgür iradesiyle onay vermesidir. Ancak burada önemli olan nokta şudur: açık rıza her işlem için gerekli değildir. Kişisel veri işleme faaliyeti Kanun’da sayılan başka bir işleme şartına dayanıyorsa, veri işleme açık rızaya ihtiyaç olmaksızın da yürütülebilir. Bu sebeple her durumda otomatik olarak açık rıza metni düzenlemek, çoğu zaman doğru uyum yaklaşımı değildir.

2026/347 sayılı İlke Kararı da bu ayrımı özellikle netleştirir. Sayfa 3’te, kişisel veri işleme faaliyetinin açık rıza dışındaki diğer işleme şartlarına dayanması halinde sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilerden ayrıca açık rıza metni sunulmaması gerektiği belirtilmektedir. Bu, uygulama bakımından son derece önemlidir. Çünkü birçok kurum, açık rıza gerekmeyen süreçlerde dahi alışkanlıkla rıza almaya çalışmakta ve bu yolla hem hukuki zemini bulanıklaştırmakta hem de kavramları birbirine karıştırmaktadır.

En net ayrım nedir?

Bu iki kavram arasındaki ayrım en sade biçimde şöyle ifade edilebilir:

Aydınlatma, veri sorumlusunun bilgi verme borcudur.

Açık rıza ise ilgili kişinin seçimidir.

Aydınlatma metni, ilgili kişiyi bilgilendirmek için vardır. Açık rıza ise ancak gerçekten gerekli olduğu hallerde, ilgili kişiye “evet” veya “hayır” deme imkanı tanıyan ayrı bir irade beyanıdır. İlke Kararı’nın özü tam olarak bu ayrımı korumaktır. Nitekim sayfa 2 ve 3’te, açık rıza ile aydınlatma işlemlerinin ayrı ayrı yerine getirilmesi gerektiği; tek sayfada sunulsalar dahi farklı başlıklar altında ve ayrı beyanlarla yer almaları gerektiği açıkça ifade edilmiştir.

2026/347 Sayılı İlke Kararı neyi zorunlu kılıyor?

İlke Kararı’nın uygulama bakımından getirdiği en önemli standartlar birkaç başlıkta özetlenebilir.

İlk olarak, aydınlatma her durumda veri işlemeye başlamadan önce yerine getirilmelidir. Açık rıza gereksinimi olup olmaması bu yükümlülüğü ortadan kaldırmaz. Sayfa 3’te, kişisel veri işleme faaliyetinin açık rızaya veya Kanun’da sayılan diğer işleme şartlarından herhangi birine dayanmasından bağımsız olarak, her durumda aydınlatmanın veri işlemeye başlamadan önce veri sorumlusu tarafından yerine getirilmesi gerektiği belirtilmektedir.

İkinci olarak, açık rıza gereken hallerde aydınlatma metni ile açık rıza metni ayrı düzenlenmelidir. Karar bu konuda son derece nettir. Sayfa 3’te, açık rızaya dayalı veri işleme faaliyetlerinde bu iki metnin farklı başlıklar altında, ayrı ayrı metinler olarak düzenlenmesi ve iki ayrı beyanla sunulması gerektiği açıkça yer almaktadır. Aynı sayfada, metinler tek sayfada bulunsa dahi alt alta, farklı başlıklarla ve ayrı beyanlarla sunulması gerektiği belirtilmiştir.

Üçüncü olarak, aydınlatma onaya bağlanamaz. Kararın belki de en önemli uygulama sonucu budur. Sayfa 3’te, ilgili kişilerden yalnızca aydınlatma metninin kendilerine sunulduğuna ve bilgi edinildiğine ilişkin geri bildirim alınabileceği; aydınlatma metninde yer alan ifadeler için onay veya rıza verilmesinin talep edilemeyeceği açıkça belirtilmektedir. Başka bir deyişle, veri sorumlusu aydınlatma yükümlülüğünü yerine getirdiği için kişiden ayrıca “aydınlatmayı kabul ediyorum” şeklinde bir rıza isteyemez.

Dördüncü olarak, metinlerin kuruma özgü olması gerekir. Kararda, başka veri sorumluları tarafından düzenlenen metinlerin hiçbir ayarlama yapılmaksızın kullanılmaması, her veri sorumlusunun metinlerini kendi organizasyonuna ve faaliyetlerine uygun şekilde hazırlaması gerektiği vurgulanmaktadır. Bu da kopyala-yapıştır metin anlayışının açık biçimde sakıncalı görüldüğünü gösterir. Sayfa 3’te bu husus ayrıca belirtilmiştir.

Beşinci olarak, metinler açık, anlaşılır ve sade olmalıdır. Çok uzun, karmaşık, genel-geçer ve muğlak metinlerden kaçınılmalıdır. Kararın sayfa 3’ünde, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı veya yanlış bilgilere yer verilmemesi; çok detaylı, karmaşık ve uzun metin kullanılmaması gerektiği ifade edilmektedir. Aynı sayfada, aydınlatma metninde işlenen kişisel veri kategorileri ile birlikte işleme amacının ve hukuki sebebin açık ve net biçimde belirtilmesi gerektiği de ayrıca vurgulanmaktadır.

Karardaki iyi uygulama örnekleri neyi gösteriyor?

İlke Kararı’nın en pratik yanı, sadece ilke koymakla kalmayıp eklerinde örnek şablonlar da sunmasıdır. Sayfa 5’te ayrı bir “Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Aydınlatma Metni” şablonu yer almaktadır. Bu şablonda veri sorumlusunun kimliği, işlenen kişisel veriler, işleme amacı ve hukuki sebebi, aktarım amacı ve alıcı grupları, veri toplama yöntemi ve ilgili kişinin hakları ayrı başlıklarla gösterilmektedir. Bu yapı, aydınlatma metninin hangi çekirdek unsurları içermesi gerektiğini oldukça açık biçimde göstermektedir.

Sayfa 6’da ise ayrı bir “Açık Rıza Metni” şablonu bulunmaktadır. Bu şablonda ilgili kişiye açık rıza vermesi halinde kişisel verilerinin belirli amaçlarla toplanacağı ve işleneceği, vermemesi halinde rıza vermediği zaman geri alabileceği bilgisi verilmektedir. Daha önemlisi, metnin sonunda “Açık rıza veriyorum” ve “Açık rıza vermiyorum” şeklinde iki ayrı tercih alanı yer almaktadır. Bu, açık rızanın gerçekten özgür iradeye dayalı seçim olması gerektiğini çok açık biçimde gösterir.

Sayfa 7’de ise tek sayfalık iyi uygulama örneği vardır. Burada aydınlatma metni ile açık rıza süreci tek sayfada bulunabilmekte; ancak yine farklı başlıklar altında ve ayrı beyanlarla yapılandırılmaktadır. Bu örnek, tek sayfa kullanımının tek başına sorun olmadığını; sorunun esasen işlevlerin birbirine karıştırılmasından doğduğunu göstermektedir.

Kötü uygulama nasıl görünüyor?

Kararın sayfa 8’inde yer alan kötü uygulama şablonu, uygulamada sık görülen hatalı kurgunun tipik örneğidir. Burada metin “Açık Rızaya İlişkin Aydınlatma Metni” başlığı altında hem aydınlatma unsurlarını hem de açık rıza içeriğini iç içe geçirmektedir. Kararın kendisi de zaten bu tür iç içe geçmiş metinlerin en sık karşılaşılan hukuka aykırılıklardan biri olduğunu belirtmektedir. Başka bir ifadeyle, karışık ve birleşik metin yapısı artık sadece tavsiye edilmeyen bir model değil; açık biçimde sorunlu kabul edilen bir uygulamadır.

Uygulamada en sık yapılan hatalar nelerdir?

Bu ilke kararı ışığında bakıldığında, en sık yapılan hatalar şunlardır:

Aydınlatma ile açık rızanın tek metinde eritilmesi.
Tek kutucukla hem bilgilendirme hem rıza alınmaya çalışılması.
Aydınlatma metninin “okudum ve kabul ediyorum” diliyle bir onay belgesine dönüştürülmesi.
Açık rıza gerekmeyen alanlarda dahi alışkanlıkla açık rıza alınması.
Metinlerde hukuki sebebin açıkça yazılmaması.
Metinlerin çok uzun, anlaşılmaz ve kuruma özgü olmayan biçimde hazırlanması.
Başka kurumlara ait metinlerin küçük değişikliklerle kullanılmaya çalışılması.

Kararın sayfa 3 ve 8’i, bu risk alanlarını birlikte okunduğunda oldukça net biçimde göstermektedir.

Doğru kurgu nasıl kurulmalıdır?

Uygulamada en güvenli yapı, şu sırayla kurulur:

Önce her veri işleme faaliyeti için hukuki sebep belirlenir.
Ardından veri işlemeye başlamadan önce aydınlatma yapılır.
Açık rıza gerçekten gerekiyorsa, ayrı başlıkla ayrı metin hazırlanır.
Açık rıza, ayrı beyan ve mümkünse seçim imkanı sunan yapı ile alınır.
Metinler kuruma, veri akışına ve fiilî sürece özel hazırlanır.
Aydınlatma metni onaya bağlanmaz; sadece bilgilendirme işlevi içinde tutulur.

Aslında 2026/347 sayılı İlke Kararı’nın özü, tam olarak bu sıranın korunmasından ibarettir. Kurul, kavramları birbirine karıştırmadan, her birini kendi işlevi içinde tutan bir uyum modeli istemektedir.

Sonuç

KVKK bakımından aydınlatma metni ile açık rıza aynı şey değildir. 2026/347 sayılı İlke Kararı ile bu ayrım artık çok daha net hale gelmiştir. Aydınlatma, veri sorumlusunun bilgi verme yükümlülüğüdür; açık rıza ise ancak gerekli olduğu hallerde başvurulan, özgür iradeye dayalı ayrı bir seçimdir.

Bu nedenle sağlıklı uyum yapısı; her veri işleme faaliyeti için önce hukuki zeminin belirlenmesini, ardından aydınlatmanın veri işlemeye başlamadan önce yerine getirilmesini ve açık rıza gerekiyorsa bunun ayrı başlık, ayrı metin ve ayrı beyanla alınmasını gerektirir. Sorun çoğu zaman metnin bulunmaması değil; metnin hangi hukuki işlev için hazırlandığının doğru kurulamamasıdır.

Kısacası, 2026/347 sayılı İlke Kararı’nın ortaya koyduğu standart şudur:
aydınlatma bilgilendirme içindir, açık rıza ise seçim içindir; biri diğerinin yerine geçemez.

SIK SORULAN SORULAR

Aydınlatma metni ile açık rıza aynı sayfada olabilir mi?

Evet, olabilir. Ancak 2026/347 sayılı İlke Kararı’na göre aynı sayfada yer alsalar dahi farklı başlıklar altında ve ayrı beyanlarla düzenlenmeleri gerekir.

Aydınlatma metnini onaylatmak zorunlu mudur?

Hayır. İlke Kararı, aydınlatmanın onaya bağlı bir işlem olmadığını açıkça ortaya koymaktadır. Kişiden yalnızca metnin sunulduğuna ve bilgi edinildiğine ilişkin geri bildirim alınabilir; aydınlatma içeriği için ayrıca onay veya rıza talep edilmemelidir.

Açık rıza her veri işleme faaliyeti için gerekir mi?

Hayır. Veri işleme faaliyeti Kanun’daki başka işleme şartlarına dayanıyorsa açık rıza gerekli olmayabilir. Böyle durumlarda yapılması gereken şey, sadece aydınlatma yükümlülüğünü yerine getirmektir.

Aydınlatma metninde “okudum ve kabul ediyorum” ifadesi kullanılabilir mi?

İlke Kararı’nın yaklaşımı bu dilin uygun olmadığı yönündedir. Çünkü aydınlatma bir sözleşme değildir. İyi uygulama örneğinde “okudum ve anladım” ifadesi tercih edilmiştir.