24 Mart 2026. Dün Resmî Gazete’de yayımlanan bir karar, kişisel veri işleyen her şirketin web sitesini, mobil uygulamasını ve müşteri sözleşmelerini gözden geçirmesini zorunlu kılıyor.
Kişisel Verileri Koruma Kurulu’nun 18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Kararı dün yürürlüğe girdi.
Karar net: Açık rıza metni ile aydınlatma metni artık iç içe sunulamaz. Her biri ayrı belgeler olmalı, ayrı başlıklar altında yer almalı ve ayrı onay mekanizmalarına sahip olmalı.
Kulağa teknik bir düzenleme gibi geliyor. Ama pratikte bu kararın etkileri çok daha geniş — ve uyulmaması halinde 85.437 TL ile 17.092.242 TL arasında değişen idari para cezaları söz konusu.
Bu Karar Neden Çıktı?
KVKK, ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılığın tam olarak bu olduğunu vurguluyor: açık rıza metni ile aydınlatma metninin birleştirilmesi.
Uygulamada neredeyse her şirkette şu sahneyle karşılaşıyorsunuz: Kullanıcıya tek bir form sunuluyor. Formun altında tek bir onay kutusu var. Kutunun yanında yazıyor: “Kişisel Verilerimin İşlenmesine İlişkin Aydınlatma Metnini okudum, anladım ve açık rıza veriyorum.”
Bu ifade, 2026/347 sayılı kararla birlikte artık açıkça hukuka aykırı.
Neden mi? Çünkü aydınlatma yükümlülüğü ile açık rıza birbirinden tamamen farklı hukuki kavramlardır. Biri bilgilendirme amaçlıdır, diğeri veri işleme dayanağıdır. Bu farkı metninize yansıtmamak, yükümlülüğün özünü ortadan kaldırıyor.
Ne Değişti? Karşılaştırmalı Tablo
ESKI UYGULAMA (Artık hukuka aykırı):
“Kişisel Verilerimin İşlenmesine İlişkin Aydınlatma Metnini okudum, anladım ve kişisel verilerimin işlenmesine açık rıza veriyorum.”
☑ Tek onay kutusu — Tek metin — Tek beyan
Bu uygulama: İç içe geçmiş, muğlak, geçersiz.
YENİ UYGULAMA (Zorunlu):
Aydınlatma Metni (ayrı başlık, ayrı bölüm) Veri sorumlusu kimliği, işleme amacı, aktarım alıcıları, saklama süresi, haklarınız…
☐ “Aydınlatma metnini okudum ve anladım.”
Açık Rıza Metni (ayrı başlık, ayrı bölüm) Yalnızca açık rızaya dayalı işlemler için — pazarlama, analiz, üçüncü taraf paylaşımı…
☐ “Açık rıza veriyorum.” ☐ “Açık rıza vermiyorum.”
Bu uygulama: Ayrı, net, hukuka uygun.
Kararın Tam Kapsamı: Neye Dikkat Etmeli?
Kurul kararı oybirliğiyle alındı ve KVKK’nın 5., 6., 10. ve 12. maddeleri ile Aydınlatma Tebliği hükümlerine dayanıyor. Kararda yasaklanan uygulamalar şunlar:
Aydınlatma ve açık rıza metinlerinin tek belgede birleştirilmesi, aydınlatma metninde “Okudum ve kabul ediyorum” veya “açık rıza veriyorum” gibi ifadeler kullanılması, “KVKK’nın 5 ve 6. maddeleri kapsamında” gibi muğlak hukuki dayanak ifadeleri, başka bir kurumun metninin birebir kopyalanması, aşırı uzun ve karmaşık yapıdaki metinler ile yanıltıcı başlıklar.
Kararda ayrıca iyi uygulama ve kötü uygulama şablonları da yayımlandı. Bu şablonlara KVKK’nın resmi sitesinden ulaşabilirsiniz.
Hangi Şirketler Etkileniyor?
Bu karar kişisel veri işleyen her ölçekteki veri sorumlusunu etkiliyor. Özellikle dikkat etmesi gerekenler:
Web sitesi üzerinden iletişim formu, üyelik veya satın alma işlemi yürüten tüm şirketler, mobil uygulama geliştiricileri, insan kaynakları ve işe alım süreçleri yürüten şirketler, sağlık hizmet sağlayıcıları ve klinikler, bankacılık ve fintech şirketleri, e-ticaret platformları ve dijital hizmet sağlayıcıları.
Kısacası: Bir web sitesi işletiyor ve üzerinde iletişim formu varsa bu karar sizi etkiliyor.
Pratik Adımlar: Bugün Ne Yapmalısınız?
1. Mevcut metinlerinizi denetleyin. Web sitenizde, mobil uygulamanızda ve sözleşmelerinizde kaç tane onay kutusu var? Aydınlatma metni ile açık rıza aynı kutucuk altında mı birleştirilmiş?
2. İfadeleri kontrol edin. Aydınlatma metninde “kabul ediyorum”, “onaylıyorum” veya “rıza veriyorum” gibi ifadeler varsa bunları kaldırın. Yalnızca “okudum ve anladım” kullanılabilir.
3. Metinleri ayırın. Aynı sayfada olsalar bile aydınlatma metni ve açık rıza metni farklı başlıklar altında, farklı kutucuklarla sunulmalı.
4. Açık rıza için seçenek sunun. Açık rıza metninde kullanıcıya “veriyorum” ve “vermiyorum” seçeneklerini ayrı ayrı gösterin.
5. Kopyalanan şablonları güncelleyin. Başka bir şirketten alınan metni kullanıyorsanız bunu kendi veri işleme süreçlerinize göre yeniden yazın.
6. Hukuki destek alın. Özellikle birden fazla kanalda veri toplayan şirketler için uyum sürecinin bir uzmanla birlikte yürütülmesi tavsiye edilir.
Sonuç
2026/347 sayılı İlke Kararı dün yürürlüğe girdi. KVKK’nın en sık karşılaşılan ihlallerden birini doğrudan hedef alan bu karar, yalnızca bir metin formatı düzenlemesi değil; şirketlerin veri işleme süreçlerini ve dijital ürün tasarımlarını baştan sona gözden geçirmelerini gerektiren kapsamlı bir değişim.
Beklemek için bir neden yok. Ne kadar erken uyum sağlarsanız, hem hukuki riskinizi o kadar azaltmış hem de müşterilerinize veri güvenliğine verdiğiniz önemi o kadar güçlü biçimde göstermiş olursunuz.
Mevcut belgelerinizin bu karara uygunluğunu değerlendirmek ister misiniz? ACR Legal olarak bu süreçte yanınızdayız.
Yasal Uyarı ve Bilgilendirme Notu
Bu makale yalnızca genel bilgilendirme ve farkındalık amacıyla hazırlanmıştır; hukuki tavsiye, görüş veya danışmanlık hizmeti niteliği taşımamaktadır. Her somut olay kendi koşulları ve güncel mevzuat çerçevesinde ayrıca değerlendirilmelidir. Makale içeriğine dayanılarak alınan kararlardan doğabilecek sonuçlardan ACR Legal ve Av. Ayşe Ece Acar sorumlu tutulamaz.
© 2026 ACR Legal | Av. Ayşe Ece Acar — ayseeceacar.av.tr. Tüm hakları saklıdır. Bu makalenin tamamı veya bir bölümü, kaynak gösterilse dahi izinsiz çoğaltılamaz, yayımlanamaz veya ticari amaçla kullanılamaz.
