Kişisel Verileri Koruma Kurumu, veri sorumluları tarafından sunulan açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesini zorunlu kılan ilke kararını duyurdu.
Kişisel Verileri Koruma Kurumu, veri sorumluları tarafından kullanıcılara sunulan açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiğine dair önemli bir ilke kararı yayımladı. Yirmi dört Mart 2026 tarihli Resmî Gazete’de yer alan 2026/347 numaralı karar, finansal teknolojiler ekosistemindeki kullanıcı katılım süreçlerini baştan aşağı yeniden şekillendiriyor.
Aydınlatma Metinlerinde Onay İstenmesi Hukuka Aykırı Bulundu
İlgili karar kapsamında, açık rıza ve aydınlatma metinlerinin iç içe geçmiş bir biçimde sunulması en sık karşılaşılan hukuka aykırılıklar arasında sıralandı. Kanunun onuncu maddesinde düzenlenen aydınlatma yükümlülüğü, veri işleme faaliyetlerine ilişkin kişilerin bilgilendirilmesi amacını taşıyor. Açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi maksadıyla öngörülen işleme şartlarından birini oluşturuyor.
Aydınlatma metinleri sözleşme niteliği taşımadığı için “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum” veya “okudum ve onaylıyorum” ibareleri yerine “okudum ve anladım” şeklinde bir beyan alınması gerektiği vurgulandı. İlgili metinlerin aynı sayfada yer alması durumunda bile farklı başlıklar altında alt alta konumlandırılması ve her iki metin için tamamen ayrı beyanlar alınması zorunlu kılındı.
Açık Rıza ve Aydınlatma Metinleri Birbirinden Tamamen Bağımsız Sunulacak
Kurul, kopyala-yapıştır mantığıyla başka veri sorumlularından alınan metinlerin kullanılmasını yasaklayarak, her kurumun kendi organizasyonuna uygun, sade ve anlaşılır bir dil kullanmasını zorunlu tuttu. Eksik, yanıltıcı ve aşırı karmaşık ifadelerden kaçınılması uyarısı yapılırken, kurallara uymayan veri sorumluları hakkında Kanunun on sekizinci maddesi uyarınca işlem tesis edileceği belirtildi. İlke kararının ekinde iyi ve kötü uygulama şablonlarına da yer verildi.
