Kişisel verilerin korunması dünyasında, uygulamadaki hataları giderecek çok kritik bir gelişme yaşandı. Kişisel Verileri Koruma Kurulu, 18 Şubat 2026 tarihli kararıyla, veri sorumlularının en çok yaptığı yanlışlardan biri olan “metinlerin iç içe geçmesi” durumuna karşı net bir duruş sergiledi.
1. Metinler Asla “İç İçe” Olmayacak
Kurulun en temel vurgusu, aydınlatma yükümlülüğü ile açık rıza işlemlerinin birbirinden tamamen farklı hukuki süreçler olduğudur.
- Aydınlatma yükümlülüğü, ilgili kişiyi bilgilendirme amacı taşırken; açık rıza, verinin işlenmesi için kişiden alınan onaydır.
- Bu iki metin artık aynı başlık altında veya birbirine karışmış şekilde sunulamayacak; her biri farklı başlıklar altında ve ayrı metinler olarak düzenlenecek.
- Eğer metinler aynı sayfada yer alacaksa, mutlaka alt alta (ayrı bölümler halinde) ve her iki metin için ayrı beyan (imza/onay) alınacak şekilde kurgulanacak.
2. “Okudum, Kabul Ediyorum” Devri Kapanıyor
Aydınlatma metinleri bir sözleşme değildir; dolayısıyla bu metinlerin sonunda “onaylıyorum” veya “kabul ediyorum” gibi rıza belirten ifadelerin kullanılması hukuka aykırı görüldü.
- Doğru Kullanım: “Okudum ve anladım” şeklinde bir beyan yeterlidir.
- Hatalı Kullanım: Aydınlatma metni için ilgili kişiden onay veya rıza talep edilmesi “kötü uygulama” olarak işaretlendi.
3. “Kopyala-Yapıştır” Metinlere Geçit Yok
Birçok veri sorumlusunun başka kurumlardan kopyaladığı metinleri kullanması da mercek altında.
- Metinler, her veri sorumlusunun kendi organizasyonuna ve gerçek faaliyetlerine uygun şekilde, özel olarak hazırlanmalıdır.
- “Verileriniz Kanun’un 5. ve 6. maddelerine göre işlenmektedir” gibi muğlak ifadeler yerine, verinin tam olarak hangi amaçla ve hangi hukuki sebebe dayanarak işlendiği açıkça yazılmalıdır.
4. Dil Sade, İçerik Net Olmalı
Karmaşık, sayfalarca süren ve teknik terimlerle dolu metinler artık geçerli sayılmayabilir.
- Metinlerde açık, anlaşılır ve sade bir dil kullanılmalı.
- Örneğin; Kanun’un 11. maddesinin tamamını metne yapıştırıp kafa karıştırmak yerine, “Kanun’un 11. maddesi kapsamındaki haklarınız” şeklinde yönlendirme yapılması öneriliyor.
Veri Sorumlularını Neler Bekliyor?
Kurul, bu kararın Kanun’un 12. maddesi kapsamında alınması gereken idari ve teknik tedbirlerden biri olduğunu açıkça belirtti. Bu kurallara uymayan veri sorumluları hakkında Kanun’un 18. maddesi uyarınca idari yaptırım (para cezası) uygulanabileceği hatırlatıldı.
Özetle; Veri sorumlularının acilen mevcut aydınlatma ve rıza formlarını gözden geçirmesi, “iyi uygulama şablonlarına” uygun şekilde metinlerini ayrıştırması gerekiyor.
Bu yazı, 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanan Kurul Kararı baz alınarak hazırlanmıştır.