KVKK'da Aydınlatma ve Açık Rıza: İşletmeler İçin Temel Kurallar

Türkiye'de faaliyet gösteren işletmeler, KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamındaki yükümlülükleri değerlendirirken sık sık aynı hataya düşüyor: aydınlatma metni ile açık rıza beyanını tek belgede birleştiriyorlar. Oysa kanun ve bağlı tebliği, bu iki unsurun birbirinden kesinlikle ayrı tutulmasını zorunlu kılıyor. Bu kuralı gözetmeyen işletmeler idari para cezasıyla ve Kişisel Verileri Koruma Kurulu'nun soruşturma süreciyle yüzleşmek durumunda kalıyor.

Aydınlatma ile Açık Rıza: Neden Farklı Yükümlülüklerdir

Kanun, bu iki kavramı ayrı maddelerle düzenlemiştir; birbirinin yerine geçmezler.

Aydınlatma yükümlülüğü KVKK'nın 10. maddesinden kaynaklanır. Veri sorumlusu, kişisel verileri elde ettiği anda ilgili kişiye şu bilgileri vermek zorundadır: kendi kimliği, verilerin işlenme amacı, verilerin aktarılabileceği taraflar ve bu aktarımın amacı, veri toplamanın yöntemi ve dayandığı hukuki sebep. Bu yükümlülük koşulsuzdur; hangi hukuki sebebe dayandığınızdan bağımsız olarak uygulanır. İster açık rıza, ister sözleşme ifası, ister kanuni yükümlülük olsun: aydınlatma her durumda yapılmak zorundadır.

Açık rıza ise KVKK'nın 5. maddesinde sayılan altı işleme şartından yalnızca birisidir. Diğer şartlar arasında kanunlarda açıkça öngörülme, sözleşmenin ifası için zorunluluk ve meşru menfaat yer almaktadır. Başka bir şart mevcut olduğunda açık rıza almaya gerek yoktur. Buna karşın açık rızaya dayandığınızda bu rızanın özgür iradeyle verilmiş, belirli bir amaca yönelik ve bilinçli olması şarttır.

Ayrı Tutma Zorunluluğu Nereden Kaynaklanıyor

10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete'de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5. maddesinin (f) bendi açık hüküm içermektedir: kişisel veri işlemenin açık rıza şartına dayandığı durumlarda, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir. Tek belgede her ikisinin birden karşılanması kabul görmemektedir.

Uygulamada bu şu anlama gelir:

• Aydınlatma metni bağımsız bir belgedir; amacı bilgilendirmektir, rıza almak için bir ön şart değildir.
• Rıza talebi, aydınlatma yapıldıktan sonra ayrı bir form veya belirgin biçimde ayrıştırılmış bir mekanizma aracılığıyla sunulmalıdır.
• Açık rızaya dayanan her işleme amacı için ayrı bir rıza alınmalıdır; "verilerimin işlenmesine onay veriyorum" şeklindeki genel onay kutuları geçerli değildir.
• Hizmetin sunumunun rızaya bağlanması da sorunludur: başka bir hukuki dayanak bulunmaksızın "bu kutuyu işaretlemeden devam edemezsiniz" uygulaması, rızanın özgür irade ürünü olmadığına işaret eder.

Aynı tebliğin 5. maddesinin (e) bendi, aydınlatma yükümlülüğünün yerine getirildiğini ispat etme yükünü veri sorumlusuna yüklemiştir. Kayıt tutulmuyorsa şikayet karşısında savunma yapmak son derece güçleşir. Bu nedenle ne zaman, nasıl ve kime aydınlatma yapıldığını belgelemeniz hukuki güvencenizin temelini oluşturur.

Geçerli Bir Aydınlatma Metninde Neler Yer Almalıdır

KVKK'nın 10. maddesi asgari içeriği belirlemiştir. Hukuka uygun bir aydınlatma metni şunları açıkça belirtmelidir:

• Veri sorumlusunun ve varsa temsilcisinin kimliği
• Kişisel verilerin hangi amaçla işleneceği
• Verilerin kimlere ve hangi amaçla aktarılabileceği
• Veri toplamanın yöntemi ve hukuki sebebi
• İlgili kişinin KVKK'nın 11. maddesinde sayılan hakları

Tebliğ bu gerekliliklere bir de sade dil şartını eklemektedir. "Ticari faaliyetler" gibi muğlak ve kapsamı belirsiz ifadeler kanunu karşılamaz; amaçların belirli, açık ve meşru olması zorunludur.

Sık Karşılaşılan Aykırılıklar

Antalya'daki otellerden e-ticaret sitelerine, muhasebe bürolarından dijital hizmet firmalarına kadar pek çok işletmede benzer sorunlar tekrar ediyor:

• Aydınlatma metni ve onay kutusu tek form içinde ya da aynı PDF belgesinde birleştiriliyor.
• Onay kutusu önceden işaretli geliyor; bu, özgür iradeye dayanan rızanın oluşmadığına işaret eder.
• İşleme amaçları muğlak ifadelerle tanımlanıyor; spesifik amaca atıf yapılmıyor.
• Tüm işleme amaçları tek bir onay kutusuna bağlanıyor.
• Aydınlatmanın yapıldığını kanıtlayan herhangi bir kayıt bulunmuyor.

Bu son madde özellikle kritiktir. Kurul önünde bir şikayet söz konusu olduğunda ispat yükü size aittir; kayıt yoksa savunmanız büyük ölçüde zayıflar.

KVKK'nın genel uyum yükümlülükleri için bu rehberimizi, çevrimiçi faaliyetlerinizde çerez ve veri işleme gereklilikleri için de e-ticaret KVKK rehberimizi incelemenizi tavsiye ederiz.

İdari Yaptırımlar

KVKK'nın 18. maddesi uyarınca 10. maddedeki aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 TL ile 100.000 TL arasında idari para cezası verilebilir. Kurul kararlarına uymayanlara 25.000 TL ile 1.000.000 TL, VERBİS'e kayıt yaptırmayanlara ise 20.000 TL ile 1.000.000 TL arasında ceza öngörülmektedir. Bu çerçeve, 2 Mart 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile güncellenmiş; artık Kurul'un verdiği para cezaları idare mahkemelerinde dava konusu yapılabilmektedir.

Türkiye'de yabancı kişilerin verilerini işleyen yabancı şirketler de bu kapsamın dışında değildir. Türkiye'de şube, Türkçe web sitesi veya uygulama aracılığıyla kullanıcılara ulaşan her işletme KVKK'nın gerekliliklerine uymak zorundadır.

Sıkça Sorulan Sorular

S: Web sitemizde gizlilik politikamız var. Bu yeterli sayılır mı?

Hayır, tek başına yeterli olmayabilir. Web sitesinde yayımlanmış bir gizlilik politikası aydınlatma yükümlülüğünü kısmen destekler; ancak KVKK'nın 10. maddesi, aydınlatmanın veri toplama anında yapılmasını gerektirmektedir. Veriler bir kayıt formu aracılığıyla toplanıyorsa, aydınlatma metninin o formla birlikte sunulması beklenir.

S: Birden fazla işleme amacı için tek bir onay kutusu kullanabilir miyiz?

Hayır. Açık rızaya dayanan her işleme amacı için ayrı ve açık bir rıza alınması zorunludur. Tüm amaçları kapsayan genel bir onay KVKK çerçevesinde geçerli kabul edilmemektedir.

S: Açık rızaya değil, sözleşme ifasına dayalı işleme yapıyoruz. Yine de aydınlatma yapmak zorunda mıyız?

Evet. Aydınlatma yükümlülüğü hangi hukuki sebebe dayandığınızdan bağımsız olarak uygulanır. Sözleşme ifası için zorunlu olan veriler işleniyorsa bunu aydınlatma metninde açıkça belirtmeniz yeterlidir; ama aydınlatmadan kaçınmak mümkün değildir.

S: KVKK kapsamında ceza aldık; itiraz edebilir miyiz?

Evet. 2024 yılında yapılan değişiklikle KVKK'nın 18. maddesi, Kurul kararlarına karşı idare mahkemelerinde dava açılmasına imkân tanımıştır. Hukuki danışmana başvurmak için süreler kısıtlı olduğundan vakit kaybetmeden hareket etmenizi öneririz.

Mona Hukuk Nasıl Yardımcı Olabilir

Antalya'daki ve Türkiye genelindeki işletmelere aydınlatma metni hazırlama, ayrıştırılmış rıza mekanizmaları oluşturma ve KVKK Kurulu'nun yürüttüğü incelemeler sürecinde hukuki destek sunuyoruz. Türkiye'de faaliyet gösteren ya da Türk kullanıcılara yönelik hizmet veren her işletme, aydınlatma ile rızanın birbirinden ayrı tutulması gerektiğini bu sürecin başından itibaren benimsemek durumundadır.

Antalya'da bir danışmanlık için info@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.