ARTICLE
8 May 2026

Kişisel Verilerin Korunmasında Açık Rıza Ve Aydınlatma Yükümlülüğü

SO
Sakar Law Office

Contributor

Sakar Law Office logo
Sakar is a client and solution oriented, investigative and innovative law firm based in Istanbul. Our Firm is committed to provide our clients with high-quality legal services and business-minded approach. We are a full service law firm to clients across a wide range of areas including Mergers and Acquisitions, Corporate and Commercial, Contracts, Banking and Finance, Competition, Litigation, Employment, Real Estate, Energy, Capital Markets, Foundations, E-commerce, Media and Technology, Data Privacy and Data Protection and Intellectual Property. In order to offer the best possible service for our clients, we harness the latest market developments in legal technology and innovation and we closely follow the legislative changes in Turkish Law. Our lawyers are multi-specialists, equipped to handle a broad range of legal matters. In addition to our depth of experience and awareness of market practice, clients know they will benefit from our team’s innovative mindset and willingness.
Explore Firm Details
Bu kapsamda veri sorumlularının, veri işleme faaliyetlerine başlamadan önce ilgili kişileri açık bir şekilde bilgilendirmesi ve gerekli hallerde açık rızalarını temin etmesi, Kanun’un öngördüğü veri koruma yükümlülüklerinin etkin bir şekilde ifası açısından kritik bir öneme sahiptir.
Turkey Privacy
Gözde Esen Sakar and Özlem Yilmaz
Your Author LinkedIn Connections
Sakar Law Office are most popular:
  • within Energy and Natural Resources topic(s)

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) veri sorumlularına getirdiği en önemli yükümlülüklerden olan aydınlatma ve açık rıza yükümlülüklerine ilişkin düzenlemeler, kişisel verilerin hukuka uygun şekilde işlenmesinin temelini oluşturmaktadır. Bu kapsamda veri sorumlularının, veri işleme faaliyetlerine başlamadan önce ilgili kişileri açık bir şekilde bilgilendirmesi ve gerekli hallerde açık rızalarını temin etmesi, Kanun’un öngördüğü veri koruma yükümlülüklerinin etkin bir şekilde ifası açısından kritik bir öneme sahiptir.

Aydınlatma yükümlülüğü, veri sahiplerinin hangi verilerinin, hangi amaçlarla ve hangi hukuki sebeplere dayanılarak işlendiği konusunda bilgi sahibi olmasını sağlarken; açık rıza ise belirli bir konuya ilişkin, yeterli bilgilendirmeye dayanarak ve veri sahibinin özgür iradesiyle ortaya koyduğu bir irade beyanı olarak, veri işleme faaliyetlerine hukuki geçerlilik kazandırmaktadır. Bu yazıda, söz konusu iki yükümlülüğün kapsamı, uygulamadaki yeri ve aralarındaki ilişki, Kanun ve ilgili mevzuat çerçevesinde ele alınacaktır.

A. Aydınlatma Yükümlülüğü

Kanun’un 10. Maddesi uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya veri sorumlusu tarafından yetkilendirilen kişiler tarafından veri sahipleri, aşağıdaki konularda bilgilendirmeleri içeren bir şekilde aydınlatılmalıdır:

  1. Veri sorumlusunun (ve varsa temsilcisinin) kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Veri sahibinin veri sorumlusuna karşı kullanabileceği haklar*

* Bu haklar Kanun’un 11. maddesinde aşağıdaki şekilde sayılmaktadır:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  6. Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Yukarıdaki e ve f bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Kişisel Verileri Korumu Kurumu tarafından yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında, yukarıda sayılan bilgilendirme konularının asgari olarak belirlendiği belirtilmekle birlikte, bu konulardan herhangi birini barındırmayan bir aydınlatma metni geçersiz kabul edilebilecek ve mevzuattan doğan aydınlatma yükümlülüğünün yerine getirilmemesine ilişkin sonuçları doğurabilecektir.

Tebliğ uyarınca, aydınlatma yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilmeli ve aydınlatma yükümlülüğünün yerine getirilmesinde aşağıdaki usul ve esaslara uyulmalıdır:

  • Veri sahibinin açık rızasına veya Kanun’daki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Bu aydınlatma yükümlülüğü, en geç verilerin işlenme esnasında yapılmalı, verilerin işlenmesinden sonra yapılmamalıdır.
  • Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • VERBİS’e kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde veri sahibine verilecek bilgiler, VERBİS’e açıklanan bilgilerle uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi, veri sahibinin talebine bağlı değildir. Bilgilendirme yapılması için veri sahibi tarafından ayrı ve açık bir talep iletilmesine gerek olmaksızın, veri sorumlusu kendiliğinden bu yükümlülüğü yerine getirmelidir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Bu sebeple, aydınlatma yükümlülüğünün yerine getirildiğine dair yazılı beyan alınması veri sorumlusu için ispat kolaylığı oluşturacaktır.
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu Şubat 2026’da vermiş olduğu İlke Kararı ile de, aydınlatma metinleri ile açık rıza metinlerinin ayrı ayrı düzenlenmesi gerektiğini açıkça ortaya koymuş, uygulamada sıklıkla karşılaşılan “tek metin” yaklaşımının hukuka uygun olmadığını açıkça hüküm altına almıştır.
  • Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • Kanun’un veri sorumlusunun veri sahiplerini bilgilendirmesi gereken hususları düzenleyen 10. Maddesinde “kişisel veri toplamanın yöntemi ve hukuki sebebi” ifadesinde yer alan “hukuki sebep”, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanun’un 5. ve 6. Maddelerinde detaylı bir şekilde belirtilen işleme şartlarından hangisine dayanılarak işlendiğini ifade etmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  • Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Kişisel verilerin veri sahibinden elde edilememesi halinde, (i) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, (ii) kişisel verilerin veri sahibi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, ve (iii) kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada veri sorumlusunu aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

B. Açık Rıza

Kanun’da ve Kurum tarafından yayımlanan Açık Rıza Rehberi’nde, açık rızanın açıkça (i) belirli bir konuya ilişkin olması, (ii) bilgilendirmeye dayanması, ve (iii) özgür iradeyle açıklanması gerektiği hüküm altına alınmaktadır.

i. Belirli bir konuya ilişkin olma kriteri kapsamında, açık rıza beyanının hangi konuya ilişkin olduğunun açıkça ortaya konulması gerekmektedir; dolayısıyla “kişisel verilerimin işlenmesini kabul ediyorum” gibi belirsiz açık rızalar Kanun kapsamında geçerli kabul edilmemektedir.

Eğer birden fazla kategoride kişisel veri işlenecek ise, verilen açık rızanın hangi kişisel verilerin hangi amaçlarla işleneceğini ayrı ayrı ve açıkça ortaya koyması gerekmektedir.

ii. Açık rızanın bilgilendirmeye dayanması konusunda dikkat edilmesi gereken, açık rızanın bir irade beyanı olduğu ve veri sahipleri tarafından özgür bir şekilde verilmesi gerekliliğidir. Veri sahibi, bu rızayı vermeden önce neye rıza gösterdiğini ve rızasının sonuçları hakkında tam olarak bilgi sahibi olmalıdır. Söz konusu bilgilendirme ise, kişisel verilerin işlenmesinden önce, açık ve anlaşılır bir şekilde yapılmalıdır.

İlgili bilgilendirmede elde edilecek kişisel verilerin kullanılacağı amaçlar açıkça belirtilmeli ve veri sahibinin bilgilendirmeyi anlamasını zorlaştıracak terimler veya yazı biçimleri kullanılmamalıdır.

iii. Açık rızanın geçerli olması için, veri sahibinin yaptığı davranışın bilincinde olması ve bu davranışın veri sahibinin kararından ve özgür iradesinden kaynaklanması gerekmektedir; dolayısıyla bu rızanın tehdit, hata, hile gibi durumlarda verilmesi, açık rızanın geçersizliği sonucunu doğurabilecektir. İlaveten, açık rızanın alınması bir hizmetin ifası veya bir hizmetten yararlandırılması için ön şart olarak ileri sürülmemelidir.

Kanun’un 5. Maddesi uyarınca, kişisel veriler veri sahibinin açık rızası olmaksızın işlenemez; ancak Kanun’da sayılan ve aşağıda da belirtilen hallerden birinin varlığı halinde kişisel verilerin açık rıza olmaksızın işlenmesi mümkün kılınmıştır:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. Veri sahibinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartlardan yalnızca bir tanesinin bulunması zorunlu olmayıp, birden fazla şartın varlığı da söz konusu olabilir. Bu durumda veri işleme şartları ayrı ayrı incelenmeli ve verilerin işlenme usulleri de ayrı ayrı değerlendirilmelidir.

Veri işlemeye başlanmadan önce, ilk olarak açık rıza dışındaki hukuki sebeplerin bulunup bulunmadığı değerlendirilmeli; eğer bu sebeplerden biri yoksa açık rıza talep edilmesi yöntemine başvurulmalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Gözde Esen Sakar
Gözde Esen Sakar
Photo of Özlem Yilmaz
Özlem Yilmaz
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More