Kişisel verilerin korunması hukukunda, aydınlatma yükümlülüğünün bir sözleşme niteliği taşımadığı bilinciyle hareket edilmesi; veri işleme süreçlerinin şeffaflığı, “okudum ve anladım” beyanının esas alınması ile açık rıza ve aydınlatma kavramlarının hukuki sınırlarının net bir şekilde ayrılması, uyum süreçleri açısından kritik önem taşımaktadır.
Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun 24 Mart 2026 tarihli Resmî Gazete’de yayımlanan; aydınlatma metinlerinde “onay/rıza” karmaşasına son vererek özgün, sade ve dürüst bilgilendirme standartlarını belirleyen 2026/347 sayılı ilke kararına ilişkin özet bilgilendirme notu bilgilerinize sunulmaktadır.
Kişisel Verileri Koruma Kurulu, veri sorumluları tarafından en sık yapılan hatalardan birini gidermek amacıyla 24 Mart 2026 tarihli 32803 sayılı Resmî Gazete’de, 18.02.2026 tarihli ve 2026/347 sayılı iyi uygulama örneğini hatırlatan ilke kararını yayımlamıştır. Kararda öncelikle, aydınlatma yükümlülüğünün bir sözleşme niteliği taşımadığı ve temel amacının yalnızca kişileri bilgilendirmek olduğu vurgulanmaktadır. Bu nedenle, aydınlatma metinlerinin sonuna eklenen “okudum ve kabul ediyorum”, “okudum ve onaylıyorum” veya “açık rıza veriyorum” gibi ifadeler hukuka aykırı bulunmuştur. Bu ifadeler yerine yalnızca metnin okunup aydınlatıldığını ve bilginin edinildiğini gösteren “okudum ve anladım” beyanının kullanılması gerektiği açıkça ifade edilmektedir.
Nitelikleri itibarıyla tamamen farklı olan açık rıza ve aydınlatma kavramlarının birleştirilmemesi, aynı sayfada sunulacaksa bile alt alta farklı başlıklar altında ve mutlaka iki ayrı beyan şeklinde düzenlenmesi beklenmektedir.
Ayrıca, veri işleme faaliyeti Kanun’da yer alan açık rıza dışındaki diğer hukuki şartlara dayanıyorsa sadece aydınlatma yapılması gerektiği, kişilere gereksiz yere açık rıza metni sunulmaması ve aydınlatma metni için onay veya rıza talep edilmemesi gerektiği belirtilmektedir.
Kurul, metinlerin içeriğine dair de çok önemli detaylar vermektedir. Başka veri sorumlularına ait metinlerin birebir kopyalanması kesinlikle yasaklanmaktadır. Her şirketin kendi organizasyonuna ve faaliyetine uygun işlenen kişisel verilerin kategorilerini, işleme amaçlarını ve hukuki sebeplerini çok net bir biçimde ifade eden özgün metinler hazırlaması zorunlu tutulmaktadır.
Metinlerin dili açık, sade ve anlaşılır olmalıdır. Örneğin, gerçekte yapılmayan bir yurt dışı aktarımı yapılıyormuş izlenimi veren yanıltıcı beyanlardan veya “Kanun’un 5 ve 6’ncı maddesinde belirtilen işleme şartları kapsamında” şeklindeki muğlak ve genel geçer ifadelerden kesinlikle kaçınılması gerekmektedir. Metni karmaşık hale getirmekten kaçınmak ve gereksiz yere uzatmamak adına, Kanun’un 11. maddesindeki hakların tamamını uzun uzadıya kopyalamak yerine “Kanun’un 11’inci maddesi kapsamındaki haklarınız” şeklinde özetlenmesi gerektiği özellikle tavsiye edilmektedir.
Ayrıca, hem aydınlatma yükümlülüğünün usulünce yerine getirildiğinin hem de açık rızanın Kanun’a uygun olarak özgürce, bilgilendirilmiş ve belirli bir konuya özgü şekilde alındığının ispat yükünün tamamen veri sorumlusuna ait olduğu hatırlatılmaktadır.
Kurul, tüm bu belirlenen kurallara uyulmamasını, Kanun’un 12. maddesi kapsamında veri güvenliğini sağlamak için alınması gereken idari ve teknik tedbirlere aykırılık olarak değerlendireceğini ve eksiklik tespiti halinde veri sorumluları hakkında 18. madde uyarınca idari işlem ve para cezası tesis edileceğini ilan etmiştir. Veri sorumlularının olası hukuki yaptırımlarla karşılaşmamak adına tüm veri toplama kanallarındaki metinleri, onay kutucuklarını (checkbox) ve süreç şablonlarını vakit kaybetmeden bu ilke kararı doğrultusunda güncellemeleri önem taşımaktadır.
