Açık Rıza Metinlerinde Yeterlilik Sorunu

Açık Rıza Metinlerinde Yeterlilik Sorunu

Giriş Dijitalleşmenin hayatımızın her alanına nüfuz etmesiyle birlikte, kişisel verilerin korunması ve işlenmesi, hem bireyler hem de kurumlar için merkezi bir önem kazanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunmasını güvence altına alırken, "açık rıza" kavramını da bu koruma mekanizmasının en önemli unsurlarından biri olarak konumlandırmıştır. Ancak uygulamada, açık rıza metinlerinin hazırlanışı ve alınışı sırasında sıklıkla yeterlilik sorunları yaşanmakta, bu durum hem hukuki riskler yaratmakta hem de ilgili kişilerin veri mahremiyetini tehlikeye atmaktadır. hukukportali.com olarak bu makalede, Türk mevzuatı ve güncel Kişisel Verileri Koruma Kurulu (KVKK) kararları ile sınırlı sayıda Yargıtay kararı ışığında açık rıza metinlerinde yeterlilik sorununu derinlemesine inceleyecek, geçerli bir açık rızanın unsurlarını ortaya koyacak ve veri sorumluları için çözüm önerileri sunacağız.

Açık Rızanın Temel Prensipleri ve Geçerlilik Şartları

KVKK'nın 3. maddesinin birinci fıkrasının (a) bendinde açık rıza, "Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmıştır. Bu tanım, geçerli bir açık rızanın üç temel unsura dayanması gerektiğini açıkça ortaya koymaktadır. Bu unsurların herhangi birinin eksikliği, alınan rızayı geçersiz kılacaktır.

Belirli Bir Konuya İlişkin Olma

Açık rızanın ilk ve en önemli şartlarından biri, belirli bir konuya ilişkin olmasıdır. Bu ilke, ilgili kişinin neye rıza gösterdiğini net bir şekilde bilmesini ve rızasının kapsamını sınırlamasını amaçlar. Genel ve belirsiz ifadelerle, örneğin "tüm kişisel verilerimin işlenmesine onay veriyorum" veya "her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti" şeklinde alınan rızalar, KVKK kapsamında geçerli kabul edilmemektedir. Bu tür rızalar "battaniye rıza" olarak adlandırılmakta ve hukuken geçersiz sayılmaktadır. Veri sorumlusunun, hangi kişisel verilerin, hangi spesifik amaçlarla, ne kadar süreyle ve ne şekilde işleneceğini açıkça belirtmesi gerekmektedir. Eğer birden çok kategoriye ilişkin veri işlenecekse, her bir kategori ve amaç için ayrı ayrı rıza beyanı alınması esastır.

Bilgilendirmeye Dayalı Olma

Açık rızanın geçerliliği için ilgili kişinin, rıza gösterdiği konu hakkında tam ve yeterli bilgiye sahip olması esastır. Bu durum, KVKK'nın 10. maddesinde düzenlenen aydınlatma yükümlülüğü ile doğrudan ilişkilidir. Veri sorumlusunun, veri işleme faaliyetinden önce, ilgili kişiyi veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda açık ve anlaşılır bir dille bilgilendirmesi zorunludur. Bu bilgilendirme, kişinin sadece konu üzerinde değil, rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasını sağlamalıdır. Bilgilendirme metinlerinde yanıltıcı, genel, eksik veya yanlış ifadelere yer verilmemeli, gereksiz uzunluk ve karmaşıklıktan kaçınılmalıdır. Bilgilendirme yükümlülüğü, veri işleme faaliyetinin açık rıza da dahil olmak üzere hangi hukuki sebebe dayandığından bağımsız olarak her durumda yerine getirilmesi gereken, ilgili kişinin onayına bağlı olmayan tek taraflı bir yükümlülüktür.

Özgür İradeyle Açıklanmış Olma

Açık rızanın üçüncü ve belki de en hassas unsuru, özgür iradeyle açıklanmış olmasıdır. İlgili kişinin rızasını herhangi bir baskı, zorlama veya menfaat karşılığı olmaksızın, tamamen kendi isteğiyle vermesi gerekmektedir. Bir hizmetin sunulmasının veya bir hakkın kullanılmasının açık rızaya bağlanması, bu rızanın özgür iradeyle verilmediği anlamına gelebilir ve rızayı geçersiz kılar. Örneğin, bir e-ticaret sitesindeki ürünleri görüntülemek isteyen kişilerin, kişisel bilgilerinin işlenmesine ilişkin açık rıza vermesi zorunluluğuna tabi tutulması hukuka aykırıdır. İşçi-işveren ilişkisi gibi bağımlılık ilişkilerinin bulunduğu durumlarda da işçinin açık rızasının özgür iradeye dayalı olup olmadığı titizlikle değerlendirilmelidir, zira işverenin örtülü baskısı bile rızayı geçersiz kılabilir. Açık rıza geri alındığında, rızaya dayalı işleme faaliyetinin devamı durdurulmalıdır.

Yeterlilik Sorununun Ortaya Çıkışı ve Güncel Yaklaşımlar

Açık rıza metinlerinde yeterlilik sorunu, genellikle yukarıda belirtilen temel geçerlilik şartlarının tam olarak yerine getirilmemesiyle ortaya çıkar. Uygulamadaki yaygın hatalar ve KVKK Kurul kararları, bu sorunun farklı boyutlarını gözler önüne sermektedir.

Aydınlatma Metni ile Açık Rıza Metninin Ayrımı

Kişisel Verileri Koruma Kurulu (KVKK), açık rıza metinlerinin yeterliliği konusunda en önemli ve güncel düzenlemelerden birini 18/02/2026 tarihli ve 2026/347 sayılı İlke Kararı ile getirmiştir. Bu Karar, 24 Mart 2026 tarihli Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Kurul, söz konusu İlke Kararı'nda, aydınlatma yükümlülüğü ile açık rıza alınması süreçlerinin birbirine karıştırılmasının veya tek bir metin içinde, iç içe ya da tek bir onayla sunulmasının hukuka aykırılık teşkil ettiğini açıkça belirtmiştir. Aydınlatma metni, ilgili kişiyi bilgilendirme amacına hizmet ederken; açık rıza, Kanun'da öngörülen uygun işleme şartı mevcutsa ve gerçekten gerekiyorsa başvurulan bir veri işleme dayanağıdır. Bu nedenle, veri sorumluları, açık rıza ile aydınlatmayı tek metinde birleştirmemeli, farklı başlıklar altında ayrı ayrı düzenlemeli, hatta aynı sayfada yer alsalar bile alt alta ve her biri için ayrı beyan alınacak şekilde sunmalıdır. Aydınlatma metninin sonunda "okudum ve kabul ediyorum" veya "açık rıza veriyorum" gibi ibareler yerine "okudum ve anladım" benzeri bilgilendirme teyidi tercih edilmelidir. Bu ayrım, açık rızanın bilgilendirmeye dayalı olma şartının sağlıklı bir şekilde yerine getirilmesi için kritik öneme sahiptir.

Amaç Bağlamında Yeterlilik ve Ölçülülük

Açık rızanın yeterliliği, işleme amacının belirli, açık, meşru ve ölçülü olmasıyla da doğrudan ilişkilidir. Veri sorumluları, rızaya dayalı olarak gerçekleştirecekleri veri işleme faaliyetlerinin Kanun'un 4. maddesinde belirtilen genel ilkelere, özellikle hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uygun olmasını sağlamalıdır. Kurul, rızanın alınmış olmasının tek başına yeterli olmadığını, veri işlemenin meşru ve ölçülü bir amaç taşıması gerektiğini vurgulamaktadır. Örneğin, bir sağlık kuruluşunun reklam ve tanıtım faaliyetleri kapsamında sağlık verilerini işlemesi için açık rıza alsa dahi, sektörel düzenlemeler gereği bu tür bir işleme hukuka aykırı olabilecektir. Bu durum, açık rızanın bir "can simidi" olarak görülmemesi gerektiğini, ancak diğer işleme şartlarının bulunmadığı hallerde başvurulması gereken "son çare" niteliğinde olduğunu göstermektedir.

Yargıtay Kararları Işığında Açık Rızanın Değerlendirilmesi

Yargıtay kararları, Kişisel Verilerin Korunması Kanunu'nun uygulanması ve yorumlanmasında önemli bir referans noktası teşkil etmektedir. Her ne kadar açık rıza metinlerinin doğrudan "yeterliliği" üzerine odaklanan güncel ve spesifik bir Yargıtay kararı bulmak zor olsa da, Yargıtay'ın kişisel verilerin hukuka aykırı işlenmesi veya aktarılmasına ilişkin kararları, açık rızanın önemini ve yokluğunun sonuçlarını net bir şekilde ortaya koymaktadır.

Örneğin, Yargıtay 12. Ceza Dairesi'nin 24.12.2024 tarihli bir kararında, bir kişinin sosyal medya hesabında yer alan fotoğrafın alınarak başka bir hesapta paylaşılmasının, ilgili kişinin rızası bulunmadığı takdirde "verileri hukuka aykırı olarak verme veya ele geçirme" suçunu oluşturabileceği değerlendirilmiştir. Bu karar, her ne kadar açık rıza metninin içeriğine doğrudan değinmese de, kişisel veri niteliğindeki fotoğrafın (kişisel veri tanımı oldukça geniş yorumlanmaktadır) rıza olmaksızın işlenmesinin veya aktarılmasının hukuki sonuçlarını göstermesi açısından kritik bir örnektir. Bu tür kararlar, veri sorumlularının kişisel veri işleme faaliyetlerinde açık rızanın varlığını ve geçerliliğini titizlikle sorgulaması gerektiğini vurgulamaktadır.

Yargıtay, genel olarak Kişisel Verilerin Korunması Kanunu'nun temel ilkelerine ve Kişisel Verileri Koruma Kurulu'nun (KVKK) yerleşik içtihatlarına uygun bir yorum sergilemektedir. Bu bağlamda, Kurul'un "belirli bir konuya ilişkin", "bilgilendirmeye dayalı" ve "özgür iradeyle açıklanan" rıza unsurlarına ilişkin yaklaşımı, Yargıtay tarafından da hukuki değerlendirmelerde dikkate alınmaktadır. Özellikle KVKK Kurulunun 18.02.2026 tarihli 2026/347 sayılı İlke Kararı gibi güncel ve bağlayıcı nitelikteki düzenlemelerin, ileride verilecek Yargıtay kararlarında da yol gösterici nitelikte olacağı öngörülmektedir. Dolayısıyla, her ne kadar doğrudan "yeterlilik" özelinde 2026 güncel bir Yargıtay içtihadı henüz yayımlanmamış olsa da, KVKK ve Kurul kararlarının ruhuna uygun hareket etmeyen veri sorumlularının, yargısal süreçlerde de aleyhlerine sonuçlarla karşılaşacağı açıktır.

Hukukportali.com Perspektifinden Çözüm Önerileri ve İyi Uygulama Örnekleri

Açık rıza metinlerinde yeterlilik sorununun üstesinden gelmek ve KVKK uyumunu sağlamak için veri sorumlularının proaktif adımlar atması gerekmektedir. hukukportali.com olarak, bu alandaki iyi uygulama örneklerini ve çözüm önerilerini şu şekilde özetleyebiliriz:

Katmanlı Aydınlatma ve Kişiselleştirilmiş Rıza Metinleri

Veri sorumluları, aydınlatma yükümlülüğünü yerine getirirken katmanlı bir yaklaşım benimsemelidir. İlk katmanda, temel ve en önemli bilgiler (veri sorumlusunun kimliği, veri kategorileri, ana işleme amaçları) kısa ve anlaşılır bir şekilde sunulmalı, detaylı bilgilere ise ikinci bir katman veya bağlantı (örneğin bir KVKK politikası sayfası) üzerinden erişim sağlanmalıdır. Açık rıza metinleri ise, her bir veri işleme faaliyeti için özel olarak hazırlanmalı, genel ifadelerden kesinlikle kaçınılmalıdır. Her bir rıza beyanı, ilgili kişinin hangi verisinin, hangi spesifik amaçla işleneceğine dair net bir irade beyanını içermelidir.

Aydınlatma ve Rızanın Ayrı Sunumu ve İspat Yükümlülüğü

KVKK Kurulunun 2026/347 sayılı İlke Kararı uyarınca, aydınlatma metinleri ile açık rıza metinleri birbirinden tamamen bağımsız olarak düzenlenmelidir. Aydınlatma metni bilgilendirme amaçlı olup, okudum/anladım teyidi yeterliyken, açık rıza metni ise belirli bir işleme faaliyetine onay alma amacı taşır. Bu iki metin aynı sayfada sunulacaksa bile, farklı başlıklar altında, alt alta ve her biri için ayrı onay mekanizmaları (örneğin ayrı ayrı işaretlenebilir kutucuklar) kullanılmalıdır. Veri sorumlusunun, açık rızanın hukuka uygun bir şekilde alındığını ve aydınlatma yükümlülüğünün yerine getirildiğini ispat etme yükü bulunduğundan, bu süreçlerin kayıt altına alınması ve belgelendirilmesi büyük önem taşımaktadır. Elektronik ortamda alınan rızalar için teknik kayıtlar (log kayıtları, IP adresleri, zaman damgaları vb.) saklanmalıdır.

Özgür İradeyi Korumaya Yönelik Önlemler

Açık rızanın özgür iradeyle verilmesini sağlamak için, veri sorumluları zorunluluk arz eden hizmetlerle ilgili kişisel veri işleme faaliyetlerini, mümkün olduğunca açık rıza dışındaki yasal işleme şartlarına (örneğin kanunlarda açıkça öngörülme, sözleşmenin ifası için zorunlu olma gibi) dayandırmalıdır. Bir hizmetin sunulması için ilgili kişinin açık rıza vermesini şart koşmak, özgür irade ilkesine aykırıdır ve bu tür uygulamalardan kaçınılmalıdır. Ayrıca, önceden işaretlenmiş onay kutuları gibi rızayı manipüle edici yöntemler kesinlikle kullanılmamalıdır. İlgili kişilere, verdikleri açık rızayı istedikleri zaman ve kolayca geri çekebilme imkanı sunulmalı ve bu hak konusunda açıkça bilgilendirilmelidir. Rızanın geri alınması, ileriye yönelik sonuç doğurur ve veri işleme faaliyetleri derhal durdurulmalıdır.

Sürekli Gözden Geçirme ve Güncelleme

Hukuki düzenlemeler ve teknolojik gelişmeler hızla değiştiğinden, açık rıza metinleri ve ilgili süreçler düzenli olarak gözden geçirilmeli ve güncellenmelidir. Veri işleme amaçlarında veya yöntemlerinde meydana gelen değişiklikler, yeni bir aydınlatma ve gerektiğinde yeni bir açık rıza alınmasını gerektirebilir. Bu dinamik süreçte hukukportali.com gibi güvenilir kaynaklardan güncel bilgi edinmek ve uzman hukuki danışmanlık almak, veri sorumlularının uyum risklerini minimize etmesine yardımcı olacaktır.

Sonuç

Açık rıza metinlerinde yeterlilik sorunu, kişisel verilerin korunması hukukunun en hassas ve en çok ihlal edilen alanlarından birini oluşturmaktadır. KVKK'nın getirdiği ilkeler, Kişisel Verileri Koruma Kurulu'nun 2026/347 sayılı İlke Kararı gibi güncel düzenlemeler ve sınırlı sayıdaki Yargıtay içtihatları, veri sorumlularının bu alandaki yükümlülüklerini net bir şekilde ortaya koymaktadır. "Belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanan" bir rızanın alınması, aydınlatma metinlerinden ayrıştırılması ve şeffaf bir şekilde yönetilmesi, sadece idari para cezalarından kaçınmak için değil, aynı zamanda ilgili kişilerin temel hak ve özgürlüklerine saygı duyan ve güven inşa eden bir kurum kültürü oluşturmak için de elzemdir. Veri sorumlularının bu alanda göstereceği özen, kişisel verilerin korunması ekosisteminin sağlıklı işleyişi açısından büyük önem taşımaktadır.

Yazan: Avukat Ceren Sumer Cilli