Kişisel Verileri Koruma Kurulu'nun (“Kurul”) 18 Şubat 2026 tarihli ve 2026/347 sayılı ilke kararı, 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanmıştır.

"Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı" başlıklı bu düzenleme, uygulamada sıkça karşılaşılan ve hukuki sakıncalar barındıran iç içe geçmiş onay mekanizmalarını kesin olarak yasaklamaktadır. Bu kararla birlikte, aydınlatma yükümlülüğü ve açık rıza kavramlarının birbirinden tamamen bağımsız olarak ele alınması zorunluluğu net bir şekilde vurgulanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") uyarınca açık rıza; "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmaktadır. Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğü ise; “veri sorumlusunun, veri işleme faaliyetinden önce ilgili kişiyi bilgilendirmesini gerektiren, herhangi bir şarta veya onaya bağlanamayacak tek taraflı kanuni bir yükümlülüktür”. Kurul, yayımladığı bu yeni ilke kararı ile her iki kavramın hukuki niteliğindeki temel farklara dikkat çekerek, bu metinlerin içerik ve sunum açısından birleştirilemeyeceğini hüküm altına almıştır.

1-  Uygulamada Sıkça Yapılan Hatalar ve Kurul'un Tespitleri

Karar metninde, Kurul’a intikal eden ihbarlar doğrultusunda uygulamada tespit edilen temel hukuka aykırılıklar ve sıkça düşülen hatalar açıkça sıralanmıştır. Kurul, veri sorumlularının mevzuattaki yükümlülüklerini yerine getirirken sıklıkla şekilci bir yaklaşımla hareket ettiklerini ve ilgili kişinin iradesini sakatlayan uygulamalara başvurduklarını tespit etmiştir.

Yeni düzenleme gereğince, açık rıza ve aydınlatma metinleri aynı dijital platformda, web sayfasında veya aynı fiziki evrak üzerinde yer alacak olsa dahi, mutlaka farklı başlıklar altında ve tamamen bağımsız onay mekanizmalarıyla sunulmalıdır. İlke kararında dikkat çekilen ve uygulamada sıkça yapılan başlıca hatalar şunlardır:

• "Kopyala-Yapıştır" Metin Kullanımı: Veri sorumlularının başka kurumlardan aldıkları şablon metinleri kendi organizasyonlarına ve öznel veri işleme süreçlerine uyarlamadan doğrudan kullanmaları.
• Karmaşık ve Uzun Metinler: Eksik, yanıltıcı, aşırı karmaşık ve detay boğuculuğu yaratan uzun metinlerle veri sahibinin açık ve şeffaf bir şekilde bilgilendirilmesinin engellenmesi.
• Eksik Veri Sorumlusu Bilgileri: Aydınlatma metinlerinde veri sorumlusunun veya varsa temsilcisinin kimlik ve adres bilgilerine eksiksiz bir şekilde yer verilmemesi.
• Birleşik Onay İfadelerinin Kullanılması: Aydınlatma metninin sonuna "okudum, anladım ve açık rıza veriyorum" veya "okudum, onaylıyorum" gibi ifadeler eklenerek, bilgilendirme sürecinin hukuka aykırı biçimde açık rıza şartına bağlanması.
• Geri Alma Hakkının Belirtilmemesi: Açık rıza metninde, kişinin vermiş olduğu rızayı dilediği zaman hiçbir şarta bağlı olmaksızın geri alabileceği bilgisinin eksik bırakılması.

2-  İyi ve Kötü Uygulama Şablonları ile Getirilen Standartlar

Kurul, veri sorumlularına rehberlik etmesi amacıyla ilke kararının ekinde "İyi Uygulama Şablonu" ve "Kötü Uygulama Şablonu" örneklerine yer vermiştir. Kararda yer alan "Açık rıza metinleri ile aydınlatma metinlerinin iç içe geçirilmesi, açık rızanın unsurlarından olan belirli bir konuya ilişkin olma ve özgür iradeyle açıklanma kriterlerini sakatlamaktadır" ifadesi doğrultusunda şu standartlar getirilmiştir:

• Söz konusu iki metin hem içerik hem de şekil şartları bakımından birbirinden tamamen bağımsız olmalıdır. Metinlerde açık, anlaşılır ve sade bir dil kullanılmalı, muğlak ifadelerden kaçınılmalıdır.
• Tek bir form, sayfa veya ekranda sunulacaksa dahi görsel olarak farklı başlıklar altında (altlı üstlü olacak şekilde) net bir şekilde ayrıştırılmalıdır.
• Aydınlatma yapıldığına dair geri bildirim alınırken aynı anda rıza dayatması yapılamaz. Aydınlatma yükümlülüğü için sadece "okudum ve anladım" beyanı alınmalı, açık rıza ise ayrı bir başlık altında "açık rıza veriyorum" / "açık rıza vermiyorum" şeklinde bağımsız bir seçime tabi tutulmalıdır.
• İlgili kişiye önceden işaretlenmiş kutucuklar (opt-in) sunulamaz; bunun yerine "kabul ediyorum" ve "kabul etmiyorum" şeklinde aktif ve eşit bir seçim imkânı tanınması yasal bir zorunluluktur.

Yapılan bu değerlendirmelerin sonucunda Kurul; veri sorumlularının aydınlatma yükümlülüğünü kişisel veri işlenmeye başlamadan önce mutlak surette yerine getirmesi, açık rızayı ise yalnızca Kanun'da sayılan diğer işleme şartlarının bulunmadığı gerekli durumlarda ve tamamen ayrı bir hukuki işlem olarak alması gerektiği konusunda oy birliğiyle ilke kararı almıştır. Ayrıca, bu kurallara uymayarak mevzuata aykırı şekilde iç içe geçmiş metinler kullanan, kopyala-yapıştır yöntemini sürdüren veya onaya bağlanmış aydınlatma beyanları dayatan veri sorumluları hakkında Kanun’un 18. maddesine göre ağır idari yaptırımlar uygulanacağı kamuoyuna duyurulmuştur.

Sonuç olarak; 2026/347 sayılı ilke kararı, aydınlatma yükümlülüğü ve açık rıza mekanizmalarının sınırlarını net olarak çizmesi, kavram kargaşasını gidermesi ve "iyi/kötü uygulama örnekleri" ile somut yol göstermesi nedeniyle tüm veri sorumluları tarafından titizlikle dikkate alınmalıdır.