Açık Rıza, Aydınlatma Metni ve Çerez Politikası Hazırlama Süreci
Giriş
Dijitalleşen ticari hayat, kişisel verilerin işlenmesini kaçınılmaz hâle getirmiştir. Şirketler, internet siteleri, e-ticaret platformları, mobil uygulamalar, sağlık kuruluşları, eğitim kurumları, hukuk büroları, danışmanlık şirketleri ve dijital hizmet sağlayıcıları; müşterilerinden, çalışanlarından, ziyaretçilerinden, üyelerinden, abonelerinden veya başvuru sahiplerinden çeşitli kişisel veriler toplamaktadır. Bu veriler kimi zaman ad, soyad, telefon numarası ve e-posta adresi gibi temel iletişim bilgilerinden ibaret olabilirken; kimi zaman IP adresi, cihaz bilgisi, konum verisi, çerez kayıtları, ödeme bilgileri, sağlık verileri, başvuru formları, kullanıcı davranışları veya pazarlama tercihleri gibi daha geniş veri kategorilerini içerebilir.
Bu noktada açık rıza, aydınlatma metni ve çerez politikası kavramları KVKK uyum sürecinin temel yapı taşları hâline gelir. Ancak uygulamada bu üç kavram sıklıkla karıştırılmaktadır. Birçok şirket, internet sitesine genel bir “KVKK metni” koyarak yükümlülüğünü yerine getirdiğini düşünmekte; bazı şirketler açık rıza ve aydınlatma metnini tek metin hâlinde düzenlemekte; bazı internet siteleri ise çerezleri kullanıcıdan geçerli rıza almadan çalıştırmaktadır. Bu hatalar, hem idari para cezası hem de veri işleme faaliyetinin hukuka aykırı kabul edilmesi riskini doğurabilir.
Kişisel Verileri Koruma Kurumu, 2026 yılında yayımladığı kamuoyu duyurusunda açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde sunulmasının Kuruma intikal eden ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılıklardan biri olduğunu belirtmiştir. Kurulun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı’na ilişkin duyurusunda, açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği açıkça vurgulanmıştır.
Bu nedenle şirketlerin, internet sitelerinin ve veri sorumlularının KVKK uyum sürecinde şu üç soruya doğru cevap vermesi gerekir: İlgili kişi hangi veri işleme faaliyeti hakkında aydınlatılacak? Hangi veri işleme faaliyeti açık rıza gerektiriyor? İnternet sitesinde kullanılan çerezler hangi kategoriye giriyor ve bunlar için açık rıza alınması gerekiyor mu?
Açık Rıza Nedir?
Açık rıza, KVKK sisteminde kişisel veri işleme şartlarından biridir. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak kabul edilir. Bu üç unsurdan herhangi biri eksikse, verilen rızanın hukuken geçerli olduğundan söz etmek güçleşir.
Açık rızanın belirli bir konuya ilişkin olması gerekir. Genel ve sınırsız rıza geçerli değildir. Örneğin “kişisel verilerimin her türlü amaçla işlenmesine izin veriyorum” şeklindeki bir beyan, veri işleme faaliyetini somutlaştırmadığı için hukuken risklidir. Rıza hangi veri kategorisi, hangi amaç, hangi işlem ve hangi aktarım için alınıyorsa açıkça belirtilmelidir.
Açık rızanın bilgilendirilmeye dayanması gerekir. Kişi neye rıza verdiğini bilmelidir. Bu nedenle açık rıza alınmadan önce ilgili kişi aydınlatılmalıdır. İlgili kişi hangi verisinin, hangi amaçla, kim tarafından, kimlere aktarılabileceğini ve hangi hukuki sonuçları doğurabileceğini bilmeden rıza veriyorsa, bu rızanın bilinçli ve geçerli olduğu söylenemez.
Açık rızanın özgür iradeyle açıklanması gerekir. Kişiye gerçek bir tercih hakkı sunulmalıdır. Hizmetin sunumu için zorunlu olmayan bir veri işleme faaliyeti, hizmetten yararlanmanın şartı hâline getirilirse açık rıza sakatlanabilir. Örneğin bir internet sitesinin zorunlu olmayan reklam çerezlerini kabul etmeyen kullanıcıya hizmeti tamamen kapatması, açık rızanın özgür iradeyle verilip verilmediği konusunda tartışma doğurabilir.
Aydınlatma Metni Nedir?
Aydınlatma metni, veri sorumlusunun kişisel veri işlediği kişiyi bilgilendirmek amacıyla hazırladığı metindir. Aydınlatma yükümlülüğü, KVKK m.10 kapsamında veri sorumlusunun temel yükümlülüklerinden biridir. Kişisel verilerin elde edilmesi sırasında ilgili kişi; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile KVKK m.11 kapsamındaki hakları konusunda bilgilendirilmelidir. Aydınlatma Tebliği’nde bu asgari unsurlar açıkça sayılmıştır.
Aydınlatma metninin amacı, ilgili kişinin kişisel verileri üzerinde bilgi sahibi olmasını sağlamaktır. Bu nedenle aydınlatma metni sade, açık, anlaşılır ve somut olmalıdır. “Kişisel verileriniz mevzuata uygun olarak işlenmektedir” gibi genel ifadeler yeterli değildir. Hangi verilerin, hangi amaçlarla, hangi hukuki sebeplere dayanılarak işlendiği açıkça yazılmalıdır.
Kurumun 2026 tarihli duyurusunda, aydınlatma metinlerinde anlaşılır, açık ve sade dil kullanılması; genel, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği belirtilmiştir. Aynı duyuruda “işleme amacı” ile “hukuki sebep”in ayrı unsurlar olduğu vurgulanmış; gizlilik politikaları veya genel veri işleme politikalarının, işleme faaliyetiyle sınırlı aydınlatma metni yerine kullanılmaması gerektiği ifade edilmiştir.
Açık Rıza ile Aydınlatma Metni Arasındaki Fark
Açık rıza ve aydınlatma metni uygulamada en çok karıştırılan iki kavramdır. Aydınlatma, veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğüdür. Açık rıza ise ilgili kişinin belirli bir veri işleme faaliyetine onay vermesidir. Aydınlatma tek taraflı bir bilgilendirme işlemidir; açık rıza ise ilgili kişinin olumlu irade beyanıdır.
Her kişisel veri işleme faaliyeti açık rızaya dayanmaz. KVKK m.5 ve m.6’da açık rıza dışında farklı veri işleme şartları da bulunmaktadır. Örneğin bir sözleşmenin kurulması veya ifası için gerekli olan veri işleme faaliyeti, kanuni yükümlülüğün yerine getirilmesi için veri işleme veya veri sorumlusunun meşru menfaati kapsamında veri işleme açık rıza dışında başka hukuki sebeplere dayanabilir. Bu durumda ilgili kişiye açık rıza metni sunulmasına gerek olmayabilir; ancak aydınlatma yükümlülüğü yine de yerine getirilmelidir.
Kurumun 2026 tarihli İlke Kararı duyurusunda, kişisel veri işleme faaliyetinin açık rıza dışındaki Kanun’da sayılan diğer işleme şartlarından birine dayanması hâlinde sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması gerektiği belirtilmiştir. Aynı duyuruda, açık rıza ve aydınlatma metinlerinin aynı sayfada yer alması durumunda dahi farklı başlıklar altında ve ayrı beyanlarla düzenlenmesi gerektiği açıklanmıştır.
Bu nedenle “Aydınlatma metnini okudum ve açık rıza veriyorum” şeklindeki tek kutucuklu uygulamalar hukuken risklidir. Doğru yöntem, öncelikle ilgili kişiye aydınlatma yapılması; açık rıza gereken veri işleme faaliyetleri için ise ayrı ve açık bir rıza beyanı alınmasıdır.
Aydınlatma Metni Hazırlama Süreci
Aydınlatma metni hazırlama süreci, hazır bir şablonun internet sitesine eklenmesiyle tamamlanmaz. Her veri sorumlusunun faaliyetleri, veri kategorileri, veri işleme amaçları, alıcı grupları ve saklama süreçleri farklıdır. Bu nedenle aydınlatma metni veri sorumlusunun gerçek iş süreçlerine göre hazırlanmalıdır.
İlk aşamada veri işleme envanteri çıkarılmalıdır. Hangi kişisel veriler toplanıyor? Bu veriler kimlerden alınıyor? Hangi kanallardan elde ediliyor? Hangi amaçla işleniyor? Hangi hukuki sebebe dayanıyor? Kimlere aktarılıyor? Yurt dışına aktarım var mı? Ne kadar süre saklanıyor? Bu sorular cevaplanmadan sağlıklı bir aydınlatma metni hazırlanamaz.
İkinci aşamada ilgili kişi grupları belirlenmelidir. Müşteriler, çalışanlar, çalışan adayları, internet sitesi ziyaretçileri, tedarikçi yetkilileri, iş ortakları, üyeler, aboneler, danışanlar veya hastalar farklı veri işleme süreçlerine tabi olabilir. Tüm bu grupları tek ve uzun bir metin içinde anlatmak çoğu zaman karmaşaya yol açar. Bu nedenle ilgili kişi grubuna ve veri işleme faaliyetine göre ayrı veya katmanlı aydınlatma yapılması daha doğru olabilir.
Üçüncü aşamada veri işleme amaçları ve hukuki sebepler somutlaştırılmalıdır. Örneğin “iletişim süreçlerinin yürütülmesi”, “ürün veya hizmet satış süreçlerinin yürütülmesi”, “sözleşmenin ifası”, “hukuki yükümlülüklerin yerine getirilmesi”, “talep ve şikâyetlerin alınması”, “pazarlama faaliyetlerinin yürütülmesi” gibi amaçlar ayrı ayrı değerlendirilmelidir. Bu amaçların her biri için KVKK m.5 veya m.6 kapsamında uygun hukuki sebep belirlenmelidir.
Dördüncü aşamada aktarım yapılan taraflar açıklanmalıdır. Kişisel veriler muhasebe firması, kargo şirketi, ödeme kuruluşu, avukat, danışman, tedarikçi, bulut hizmet sağlayıcısı, yazılım firması, reklam platformu veya kamu kurumu ile paylaşılabilir. Aydınlatmada alıcı grupları ve aktarım amaçları açıkça gösterilmelidir. Kurumun 2026 duyurusunda da kişisel veri aktarımı söz konusu olduğunda aktarım amacı ve alıcı gruplarına aydınlatmada ayrıca yer verilmesi gerektiği belirtilmiştir.
Açık Rıza Metni Hazırlama Süreci
Açık rıza metni, ilgili kişinin belirli bir veri işleme faaliyetine özgür iradesiyle onay verdiğini gösterecek şekilde hazırlanmalıdır. Bu metin aydınlatma metninden ayrı olmalıdır. Metnin başlığı, amacı ve kullanıcıdan beklenen beyan açık olmalıdır.
Açık rıza metninde öncelikle rızanın hangi faaliyet için alındığı belirtilmelidir. Örneğin reklam ve pazarlama amacıyla elektronik ileti gönderimi, özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı veya zorunlu olmayan çerezlerin çalıştırılması gibi durumlar açıkça ayrıştırılmalıdır. Birden fazla faaliyet için tek ve toplu rıza alınması, rızanın belirli bir konuya ilişkin olma unsurunu zayıflatabilir.
İkinci olarak, açık rıza metni kişinin olumlu irade beyanını içermelidir. Önceden işaretlenmiş kutucuklar, sessiz kalma, internet sitesini kullanmaya devam etme veya formu göndermeyi rıza sayma gibi yöntemler çoğu durumda güvenli değildir. Kullanıcı aktif bir işlemle rızasını vermelidir. Çerezlerde bu ilke özellikle önemlidir.
Üçüncü olarak, rıza geri alınabilir olmalıdır. İlgili kişi daha önce verdiği açık rızayı geri çekebilmelidir. Bu nedenle şirketler, rızanın ne zaman, hangi kanal üzerinden, hangi metne göre alındığını ispatlayabilmeli ve rıza geri çekildiğinde ilgili veri işleme faaliyetini durdurabilecek teknik altyapıya sahip olmalıdır.
Dördüncü olarak, açık rızanın hizmetin zorunlu şartı hâline getirilmemesine dikkat edilmelidir. Örneğin bir e-ticaret sitesinin sipariş için gerekli olmayan pazarlama rızasını alışverişin şartı hâline getirmesi hukuken sorun yaratabilir. Hizmetin sunulması için zorunlu veri işleme faaliyetleri ile pazarlama veya reklam amaçlı işleme faaliyetleri birbirinden ayrılmalıdır.
Çerez Politikası Nedir?
Çerez politikası, internet sitesinde kullanılan çerezlerin hangi amaçlarla kullanıldığını, hangi çerezlerin zorunlu olduğunu, hangi çerezlerin açık rıza gerektirdiğini, çerezlerin ne kadar süreyle saklandığını, birinci taraf mı üçüncü taraf mı olduğunu ve kullanıcıların çerez tercihlerini nasıl yönetebileceğini açıklayan metindir.
Çerezler, internet sitesinin çalışmasını sağlayan teknik dosyalar olabileceği gibi kullanıcı davranışlarını izleyen, reklam hedeflemesi yapan, analiz ve performans ölçümü sağlayan veya üçüncü taraf platformlara veri aktaran araçlar da olabilir. Bu nedenle her çerez aynı hukuki rejime tabi değildir.
KVKK Kurulu’nun 2023/1645 sayılı karar özetinde, çerezler aracılığıyla kişisel veri işlenirken Kurum tarafından yayımlanan Çerez Uygulamaları Hakkında Rehber’deki kriterlerin dikkate alınması gerektiği belirtilmiştir. Kararda, açık rıza gerektiren çerezler bakımından aktif eyleme dayalı “opt-in” yönteminin kullanılması, çerez yönetim panelinde “kabul et”, “reddet” ve “tercihler” seçeneklerinin eşit şekilde sunulmasının iyi uygulama örneği olabileceği ifade edilmiştir.
Zorunlu Çerezler ve Açık Rıza Gerektiren Çerezler
Çerez politikasının doğru hazırlanabilmesi için öncelikle çerezler sınıflandırılmalıdır. Genel olarak zorunlu çerezler, işlevsel çerezler, performans/analitik çerezler ve reklam/pazarlama çerezleri şeklinde bir ayrım yapılabilir.
Zorunlu çerezler, internet sitesinin çalışması için gerekli olan çerezlerdir. Oturum yönetimi, güvenlik, sepetin korunması, kullanıcı tercihinin hatırlanması veya hizmetin teknik olarak sunulması için gerekli bazı çerezler bu kapsamda değerlendirilebilir. Bu çerezler için her zaman açık rıza gerekmeyebilir. Ancak yine de kullanıcı bu çerezler hakkında aydınlatılmalıdır.
Performans ve analitik çerezleri, kullanıcıların siteyi nasıl kullandığını ölçmek için kullanılır. Ziyaretçi sayısı, sayfa görüntüleme, tıklama davranışı, oturum süresi ve benzeri bilgiler bu çerezlerle toplanabilir. Kullanılan teknolojiye ve verinin kişisel veri niteliğine göre açık rıza ihtiyacı doğabilir.
Reklam ve pazarlama çerezleri, kullanıcı davranışlarını takip ederek hedefli reklam, yeniden pazarlama veya profil oluşturma amacıyla kullanılır. Bu tür çerezler çoğunlukla açık rıza gerektiren çerezlerdir. Özellikle üçüncü taraf reklam platformları, sosyal medya pikselleri ve davranışsal reklam araçları kullanılıyorsa açık rıza ve yurt dışına aktarım şartları ayrıca değerlendirilmelidir.
KVKK Kurulu’nun 2022/229 sayılı karar özetinde, kesinlikle gerekli olmayan çerezler bakımından kullanıcıların internet sitesine veya mobil uygulamaya giriş anında iradi aktif hareketleriyle onay vermesini sağlayan, varsayılan olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması gerektiği değerlendirilmiştir.
Çerez Paneli Nasıl Tasarlanmalıdır?
Çerez politikası metni tek başına yeterli değildir. İnternet sitesinde kullanıcıların çerez tercihlerini yönetebileceği teknik bir çerez paneli de bulunmalıdır. Bu panel, kullanıcı siteye ilk girdiğinde görünür olmalı ve kullanıcıya gerçek bir tercih sunmalıdır.
İyi bir çerez panelinde “kabul et”, “reddet” ve “tercihlerimi yönet” seçenekleri dengeli şekilde sunulmalıdır. Reddetme seçeneği küçük puntolu, gri renkli veya zor bulunur şekilde tasarlanmamalıdır. Kabul butonunun büyük ve dikkat çekici, reddet butonunun ise gizli olması özgür irade tartışması yaratabilir.
Panelde çerez kategorileri ayrı ayrı gösterilmelidir. Kullanıcı zorunlu çerezleri kapatamasa bile, analitik, işlevsel, reklam ve pazarlama çerezlerini ayrı ayrı açıp kapatabilmelidir. Tüm zorunlu olmayan çerezler için tek bir “tümünü kabul et” seçeneği sunulması ve kategori bazlı tercih imkânı verilmemesi açık rızanın belirli bir konuya ilişkin olma unsurunu zayıflatabilir.
Kurulun 2023/1645 sayılı karar özetinde, gerekli çerezler dışındaki çerezler için “tüm çerezlere izin ver” seçeneğiyle topluca açık rıza alınmasının ve ilgili kişilere tercih etme imkânı sunulmamasının açık rızanın belirli bir konuya ilişkin olma ve özgür iradeyle verilme unsurlarını sakatladığı değerlendirilmiştir.
Çerez Politikasında Bulunması Gereken Unsurlar
Çerez politikasında öncelikle çerezin ne olduğu sade bir dille anlatılmalıdır. Kullanıcı, internet sitesinin hangi çerezleri kullandığını ve bu çerezlerin ne işe yaradığını anlayabilmelidir.
Çerez politikasında her çerez için mümkün olduğunca şu bilgilere yer verilmelidir: çerezin adı, sağlayıcısı, amacı, türü, saklama süresi, birinci taraf mı üçüncü taraf mı olduğu, hangi hukuki sebebe dayanarak kullanıldığı ve kullanıcı tarafından nasıl yönetilebileceği. Kurulun 2023/1645 sayılı karar özetinde de çerez aydınlatma metninde çerezin adı, kullanım amacı, kullanım süresi ve birinci/üçüncü taraf olup olmadığı bilgilerinin açıkça yer almasının yerinde olacağı belirtilmiştir.
Çerez politikası ile çerez paneli uyumlu olmalıdır. Politikada “reklam çerezi kullanılmamaktadır” denirken internet sitesinde reklam piksellerinin çalışması ciddi bir uyumsuzluk doğurur. Aynı şekilde çerez tablosunda üçüncü taraf çerezler “zorunlu çerez” olarak gösteriliyorsa, gerçekten zorunlu olup olmadıkları teknik ve hukuki açıdan incelenmelidir.
Çerez politikası ayrıca yurt dışına veri aktarımını da değerlendirmelidir. Google, Meta, Microsoft, LinkedIn, TikTok, reklam ağları, analiz araçları veya yabancı canlı destek uygulamaları gibi üçüncü taraf araçlar kullanılıyorsa kişisel verilerin yurt dışına aktarımı gündeme gelebilir. KVKK m.9’da 7499 sayılı Kanun ile yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiş; standart sözleşmeler ve bağlayıcı şirket kuralları yurt dışına aktarım için uygun güvence yöntemleri arasında düzenlenmiştir.
Açık Rıza, Aydınlatma ve Çerez Politikası Hazırlarken Yapılan Hatalar
Uygulamada en sık yapılan hata, başka bir şirketin metnini kopyalayarak kullanmaktır. Her şirketin veri işleme faaliyeti farklıdır. Bir e-ticaret sitesinin çerezleri, bir avukatlık bürosunun iletişim formu, bir sağlık kliniğinin randevu sistemi ve bir oyun platformunun anti-hile yazılımı aynı değildir. Kurumun 2026 tarihli duyurusunda da başka veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusunun kendi organizasyonuna ve faaliyetlerine uygun hazırlanması gerektiği belirtilmiştir.
İkinci hata, açık rıza ve aydınlatma metnini tek metin hâlinde düzenlemektir. Aydınlatma metni bilgilendirme, açık rıza ise onay mekanizmasıdır. Bu iki metin ayrı başlıklar altında, ayrı işlevlerle ve ayrı beyanlarla sunulmalıdır.
Üçüncü hata, açık rızanın gerekli olmadığı durumlarda gereksiz açık rıza almaktır. Bir veri işleme faaliyeti kanuni yükümlülük veya sözleşmenin ifası gibi başka bir hukuki sebebe dayanıyorsa, gereksiz açık rıza almak hukuki belirsizlik yaratabilir. Çünkü kişi rızasını geri çektiğinde, veri sorumlusu hangi hukuki sebebe dayanarak işlemeye devam edeceği konusunda sorun yaşayabilir.
Dördüncü hata, çerezlerde kullanıcıya gerçek tercih imkânı sunmamaktır. Sadece “kabul et” butonu bulunan, reddetme seçeneği olmayan veya çerezleri varsayılan olarak çalıştıran uygulamalar risklidir. Açık rıza gerektiren çerezler için kullanıcıdan aktif onay alınmalı ve kullanıcı dilediğinde tercihlerini değiştirebilmelidir.
Beşinci hata, metinlerin çok uzun, karmaşık ve anlaşılmaz hazırlanmasıdır. Kurum, 2026 duyurusunda çok detaylı ve karmaşık metinlerin kullanılmaması gerektiğini, Kanun’un 11. maddesinin tamamını uzun şekilde yazmak yerine “Kanun’un 11. maddesi kapsamındaki haklarınız” gibi daha sade ifadeler kullanılabileceğini belirtmiştir.
İnternet Sitesi İçin Pratik Uyum Adımları
Bir internet sitesi için açık rıza, aydınlatma ve çerez politikası hazırlama sürecinde öncelikle site teknik olarak incelenmelidir. Sitede hangi formlar var? Hangi çerezler çalışıyor? Hangi üçüncü taraf araçlar yüklü? Hangi reklam ve analiz pikselleri kullanılıyor? Hangi veriler CRM, e-posta pazarlama veya bulut sistemlerine aktarılıyor? Bunlar tespit edilmeden doğru metin hazırlanamaz.
İkinci adımda veri işleme faaliyetleri ayrıştırılmalıdır. İletişim formu, üyelik, sipariş, ödeme, e-bülten, ticari elektronik ileti, çerezler, canlı destek ve kullanıcı hesabı süreçleri ayrı ayrı ele alınmalıdır. Her faaliyet için veri kategorileri, amaç, hukuki sebep, alıcı grupları ve saklama süresi belirlenmelidir.
Üçüncü adımda aydınlatma metinleri hazırlanmalıdır. İletişim formu için kısa aydınlatma, internet sitesi ziyaretçileri için çerez aydınlatması, müşteriler için müşteri aydınlatma metni, çalışan adayları için başvuru aydınlatma metni gibi ayrı metinler hazırlanabilir.
Dördüncü adımda açık rıza gerektiren alanlar belirlenmelidir. Pazarlama amacıyla veri işleme, yurt dışına veri aktarımı, açık rıza gerektiren özel nitelikli veri işleme veya zorunlu olmayan çerezler için ayrı açık rıza mekanizmaları kurulmalıdır.
Beşinci adımda çerez paneli teknik olarak düzenlenmelidir. Zorunlu olmayan çerezler, kullanıcı rıza vermeden çalışmamalıdır. Kullanıcıya kabul, ret ve tercih yönetimi seçenekleri sunulmalıdır. Rıza kayıtları saklanmalı ve kullanıcı rızasını geri çekebilmelidir.
Altıncı adımda tüm metinler düzenli aralıklarla güncellenmelidir. Yeni reklam aracı eklenirse, yeni CRM sistemine geçilirse, yurt dışı aktarım başlarsa, yeni çerezler kullanılmaya başlanırsa veya veri işleme amacı değişirse metinler de güncellenmelidir. Aydınlatma Tebliği’ne göre kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
Şirketler Açısından Hukuki Riskler
Açık rıza, aydınlatma metni ve çerez politikası süreçlerinin hatalı yürütülmesi şirketler açısından idari para cezası, veri işleme faaliyetinin hukuka aykırı sayılması, Kurul talimatı, itibar kaybı ve ilgili kişi başvuruları gibi sonuçlar doğurabilir.
Kurulun 2023/1645 sayılı karar özetinde, çerezler bakımından açık rıza unsurlarının sağlanmaması, üçüncü taraf çerezler ve yurt dışına aktarım şartlarına uyulmaması gibi nedenlerle veri sorumlusu hakkında idari para cezası uygulanmıştır. Aynı kararda çerez politikası ve çerez beyanı metinlerinin birbiriyle tutarlı ve uyumlu hâle getirilmesi, çerezler yoluyla yurt dışına veri aktarımı yapıldığı hususuna metinlerde yer verilmesi ve gerekli düzenlemelerin yapılması yönünde talimat verilmiştir.
Bu nedenle çerez politikası ve açık rıza süreçleri yalnızca “siteye metin ekleme” işi değildir. Teknik altyapı ile hukuki metinler uyumlu olmalıdır. Sitede çalışan çerezler ile politikada yazan çerezler aynı olmalı; rıza paneli gerçekten çerezleri kontrol edebilmeli; rıza verilmeden reklam ve analiz çerezleri çalışmamalıdır.
Sonuç
Açık rıza, aydınlatma metni ve çerez politikası hazırlama süreci, KVKK uyumunun en önemli aşamalarından biridir. Bu üç belge ve mekanizma birbirine bağlıdır; ancak aynı şey değildir. Aydınlatma metni ilgili kişiyi bilgilendirir. Açık rıza metni, açık rıza gerektiren belirli veri işleme faaliyetleri için ilgili kişinin olumlu irade beyanını alır. Çerez politikası ise internet sitesinde kullanılan çerezlerin türünü, amacını, süresini, sağlayıcısını ve kullanıcı tercihlerini açıklar.
Doğru bir KVKK uyum sürecinde açık rıza ve aydınlatma metinleri ayrı düzenlenmeli; metinler sade, anlaşılır, faaliyetle sınırlı ve veri sorumlusunun gerçek iş süreçlerine uygun olmalıdır. Başka şirketlerden kopyalanan, genel ifadeler içeren, hukuki sebep ile işleme amacını karıştıran veya açık rızayı aydınlatma metniyle iç içe geçiren metinler ciddi risk taşır.
Çerez politikası bakımından ise internet sitesinde kullanılan tüm çerezler teknik olarak tespit edilmeli, zorunlu ve zorunlu olmayan çerezler ayrılmalı, açık rıza gerektiren çerezler için opt-in mekanizması kurulmalı, kullanıcıya kabul, ret ve tercih yönetimi imkânı sunulmalıdır. Üçüncü taraf çerezler ve yurt dışına veri aktarımı varsa KVKK m.9 kapsamındaki şartlar ayrıca değerlendirilmelidir.
Sonuç olarak açık rıza, aydınlatma metni ve çerez politikası hazırlama süreci, yalnızca matbu belge hazırlama faaliyeti değildir. Bu süreç; veri envanteri, hukuki analiz, teknik çerez taraması, rıza yönetimi, yurt dışına aktarım değerlendirmesi, kullanıcı arayüzü tasarımı, saklama kayıtları ve düzenli güncelleme adımlarını içeren bütüncül bir KVKK uyum çalışmasıdır. Şirketlerin, internet sitelerinin ve dijital platformların bu süreci profesyonel şekilde yürütmesi; idari yaptırımlardan kaçınmak, kullanıcı güvenini sağlamak ve kişisel verilerin hukuka uygun işlenmesini temin etmek açısından büyük önem taşır.