Single Blog Title

This is a single blog caption

KVKK Kapsamında Açık Rıza Nedir? Açık Rıza Alınmadan Kişisel Veri İşlenebilir mi?

Giriş

Kişisel verilerin korunması, dijitalleşen dünyada hem bireyler hem de şirketler açısından en önemli hukuki konulardan biri haline gelmiştir. İnternet siteleri, mobil uygulamalar, e-ticaret platformları, işverenler, sağlık kuruluşları, eğitim kurumları, bankalar, sigorta şirketleri ve hatta apartman yönetimleri dahi günlük faaliyetleri sırasında çok sayıda kişisel veri işlemektedir. Ad, soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, IP adresi, kamera görüntüsü, konum bilgisi, sağlık verisi, biyometrik veri, finansal bilgi ve müşteri işlem kayıtları kişisel veri kapsamında değerlendirilebilecek bilgiler arasındadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin hangi şartlarda işlenebileceğini, veri sorumlularının yükümlülüklerini ve ilgili kişilerin haklarını düzenlemektedir. Kanun’un en çok bilinen kavramlarından biri ise açık rızadır. Uygulamada birçok şirket, her türlü kişisel veri işleme faaliyeti için açık rıza alınması gerektiğini düşünmekte; bazı şirketler ise açık rıza almadan yapılan her veri işleme faaliyetinin hukuka aykırı olduğunu zannetmektedir. Oysa KVKK sistemi bu kadar basit değildir.

Açık rıza, kişisel veri işleme şartlarından yalnızca biridir. Bazı durumlarda açık rıza alınması zorunlu iken bazı durumlarda açık rıza olmadan da kişisel veri işlenebilir. Bu nedenle “KVKK kapsamında açık rıza nedir?” ve “Açık rıza alınmadan kişisel veri işlenebilir mi?” sorularının cevabı, somut veri işleme faaliyetinin amacına, hukuki sebebine, veri kategorisine ve ilgili kişiyle veri sorumlusu arasındaki ilişkiye göre değişir.

6698 sayılı Kanun’da açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Kanun ayrıca kişisel verilerin işlenmesinde hukuka uygunluk, dürüstlük, belirli ve meşru amaç, ölçülülük ve gerekli süre kadar muhafaza gibi temel ilkeleri de zorunlu kılmıştır.

Açık Rıza Nedir?

KVKK kapsamında açık rıza; kişinin kendi kişisel verilerinin belirli bir amaçla işlenmesine, yeterli şekilde bilgilendirildikten sonra ve herhangi bir baskı altında kalmadan onay vermesidir. Burada önemli olan husus, rızanın genel, belirsiz ve sınırsız olmamasıdır. Örneğin “kişisel verilerimin her türlü amaçla işlenmesini kabul ediyorum” şeklindeki bir ifade geçerli bir açık rıza olarak kabul edilmez. Çünkü bu tür ifadeler veri işleme faaliyetinin kapsamını, amacını, süresini ve sınırlarını açıkça ortaya koymaz.

Açık rızanın geçerli olabilmesi için üç temel unsur aranır. Bunlar; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmasıdır. Kişisel Verileri Koruma Kurumu da açık rızanın belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olduğunu belirtmekte; genel nitelikteki “battaniye rızaların” hukuken geçerli kabul edilmeyeceğini ifade etmektedir.

Bu çerçevede açık rıza metninde hangi kişisel verilerin, hangi amaçla, kim tarafından, ne kadar süreyle ve hangi hukuki sebebe dayanarak işleneceği ilgili kişiye açıkça anlatılmalıdır. Kişi neye rıza verdiğini, rıza vermemesi halinde ne olacağını, rızasını sonradan geri alıp alamayacağını ve verilerinin kimlerle paylaşılacağını anlayabilecek durumda olmalıdır.

Açık Rıza Her Zaman Gerekli midir?

Uygulamada en sık yapılan hatalardan biri, kişisel veri işleme faaliyetlerinin tamamında açık rıza alınması gerektiğinin düşünülmesidir. Oysa KVKK’da açık rıza temel veri işleme şartlarından biri olmakla birlikte tek hukuki sebep değildir. Kanun’un 5. maddesine göre kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın işlenemez; ancak aynı maddede sayılan bazı şartlardan birinin bulunması halinde açık rıza aranmaksızın kişisel veri işlenmesi mümkündür. Bu şartlar arasında kanunlarda açıkça öngörülme, sözleşmenin kurulması veya ifası için veri işlemenin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, bir hakkın tesisi, kullanılması veya korunması ve meşru menfaat gibi hukuki sebepler bulunmaktadır.

Bu nedenle bir şirketin, her veri işleme faaliyeti için otomatik olarak açık rıza alması doğru değildir. Öncelikle işlenen verinin hangi amaçla işlendiği belirlenmeli, ardından bu işleme faaliyeti için Kanun’da açık rıza dışında bir hukuki sebep bulunup bulunmadığı değerlendirilmelidir. Açık rıza, başka bir hukuki sebep mevcut olmadığı hallerde veya Kanun’un açık rızayı özellikle gerekli kıldığı durumlarda başvurulması gereken bir hukuki dayanak olarak görülmelidir.

Örneğin bir işverenin çalışanına maaş ödeyebilmesi için çalışanın banka hesap bilgisini işlemesi, iş sözleşmesinin ifası ve işverenin hukuki yükümlülükleri kapsamında değerlendirilebilir. Bu durumda ayrıca açık rıza alınmasına gerek olmayabilir. Benzer şekilde bir e-ticaret sitesinin müşterinin ad-soyad, adres ve telefon bilgilerini siparişi teslim etmek amacıyla işlemesi de sözleşmenin ifası için gerekli olabilir. Ancak aynı e-ticaret sitesinin müşterinin telefon numarasını reklam ve pazarlama amacıyla kullanması farklı bir veri işleme amacı olduğundan, bu faaliyet için açık rıza veya ilgili mevzuatta öngörülen başka bir izin mekanizması gündeme gelebilir.

Açık Rızanın Geçerli Olması İçin Hangi Şartlar Gerekir?

Açık rızanın geçerli kabul edilebilmesi için yalnızca “onay kutusu” konulması veya kişiye bir form imzalatılması yeterli değildir. Rızanın hukuken geçerli olabilmesi için KVKK’nın aradığı şartları taşıması gerekir.

İlk şart, rızanın belirli bir konuya ilişkin olmasıdır. Açık rıza metni, veri işleme faaliyetini net şekilde ortaya koymalıdır. “Kişisel verilerimin işlenmesine izin veriyorum” gibi soyut ifadeler yeterli değildir. Bunun yerine örneğin “telefon numaramın kampanya ve reklam bildirimleri gönderilmesi amacıyla işlenmesine açık rıza veriyorum” gibi belirli bir amaca yönelen açık ifadeler kullanılmalıdır.

İkinci şart, rızanın bilgilendirmeye dayanmasıdır. İlgili kişi, verisinin kim tarafından, hangi amaçla, hangi yöntemle, hangi hukuki sebebe dayanarak işleneceğini ve kimlere aktarılabileceğini bilmelidir. Bu nedenle açık rıza alınmadan önce veya en geç veri elde edildiği sırada aydınlatma yükümlülüğünün yerine getirilmesi gerekir. Aydınlatma yapılmadan alınan rıza, çoğu durumda geçerli kabul edilmez.

Üçüncü şart, rızanın özgür iradeyle açıklanmasıdır. Kişi, gerçek anlamda seçim hakkına sahip olmalıdır. Açık rıza, hizmetin sunulmasının zorunlu şartı haline getirilirse veya kişi rıza vermeye fiilen mecbur bırakılırsa, bu rızanın özgür iradeye dayandığından söz etmek güçleşir. Özellikle işçi-işveren ilişkisi gibi taraflar arasında güç dengesizliği bulunan alanlarda açık rızanın özgür iradeye dayanıp dayanmadığı daha dikkatli değerlendirilmelidir.

Açık rıza ayrıca aktif bir irade beyanı içermelidir. Önceden işaretlenmiş kutular, sessiz kalma, pasif davranış veya itiraz etmeme açık rıza yerine geçmez. İlgili kişinin açık, anlaşılır ve tereddüde yer bırakmayacak şekilde rıza verdiği ispatlanabilmelidir. KVKK uygulamasında ispat yükü veri sorumlusuna aittir. Yani bir uyuşmazlık halinde açık rızanın hukuka uygun şekilde alındığını veri sorumlusu kanıtlamalıdır.

Açık Rıza Alınmadan Kişisel Veri İşlenebilir mi?

Evet, bazı hallerde açık rıza alınmadan kişisel veri işlenebilir. Ancak bunun için KVKK’da düzenlenen diğer veri işleme şartlarından birinin bulunması gerekir. Açık rıza yoksa ve Kanun’da sayılan diğer hukuki sebeplerden hiçbiri mevcut değilse, kişisel veri işleme faaliyeti hukuka aykırı hale gelebilir.

Açık rıza alınmadan kişisel veri işlenebilecek başlıca haller şunlardır:

Birincisi, kanunlarda açıkça öngörülme halidir. Örneğin işverenin çalışanlara ilişkin bazı bilgileri Sosyal Güvenlik Kurumu’na bildirmesi, vergi mevzuatı gereğince bazı kayıtları tutması veya kamu kurumlarına bildirimde bulunması kanuni yükümlülük kapsamında olabilir.

İkincisi, sözleşmenin kurulması veya ifası için gerekli olma halidir. Bir mal veya hizmet satın alan kişinin teslimat adresinin alınması, üyelik sözleşmesi kapsamında temel kimlik ve iletişim bilgilerinin işlenmesi veya banka işlemlerinde müşteri bilgilerinin kullanılması bu kapsamda değerlendirilebilir.

Üçüncüsü, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için veri işlemenin zorunlu olmasıdır. Muhasebe kayıtlarının tutulması, fatura düzenlenmesi, çalışan özlük dosyasının oluşturulması gibi faaliyetlerde bu hukuki sebep gündeme gelebilir.

Dördüncüsü, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olmasıdır. Örneğin bir şirketin dava dosyasında savunma yapabilmesi, alacak takibi başlatabilmesi veya hukuki delil sunabilmesi için belirli kişisel verileri işlemesi gerekebilir.

Beşincisi, meşru menfaat sebebidir. Ancak meşru menfaat her somut olayda otomatik olarak uygulanamaz. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında denge kurulmalıdır. Kişinin mahremiyetine ağır müdahale eden, ölçüsüz veya beklenmedik veri işleme faaliyetleri meşru menfaat kapsamında hukuka uygun hale gelmeyebilir.

Bu nedenle “açık rıza alınmadan kişisel veri işlenebilir mi?” sorusuna tek cümlelik bir cevap vermek doğru değildir. Açık rıza olmadan veri işlenmesi mümkündür; fakat bunun için KVKK’da yer alan diğer hukuki sebeplerden birinin somut olayda gerçekten mevcut olması gerekir.

Açık Rıza ile Aydınlatma Metni Aynı Şey midir?

Hayır. Açık rıza metni ile aydınlatma metni aynı şey değildir. Aydınlatma metni, ilgili kişiye kişisel verilerinin nasıl işlendiğini açıklayan bilgilendirme metnidir. Açık rıza metni ise kişinin belirli bir veri işleme faaliyetine onay verdiğini gösteren irade beyanıdır. Bu iki kavramın karıştırılması KVKK uygulamasında ciddi hukuki riskler doğurur.

Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı ilke kararına ilişkin duyuruda da açık rıza metni ile aydınlatma metninin iç içe geçirilmesinin Kurum’a intikal eden ihbar ve şikâyetlerde en sık karşılaşılan hukuka aykırılıklardan biri olduğu belirtilmiştir. Kurul, açık rıza ve aydınlatma metinlerinin ayrı başlıklar altında düzenlenmesi, aynı sayfada bulunmaları halinde dahi iki metin için ayrı beyan alınması ve aydınlatma metninde “okudum ve onaylıyorum” gibi rıza anlamına gelebilecek ifadelerden kaçınılması gerektiğini vurgulamıştır.

Bu nedenle bir şirketin internet sitesinde, iş başvuru formunda, müşteri kayıt ekranında veya sözleşme sürecinde tek bir metin altında hem aydınlatma hem de açık rıza almaya çalışması hukuka aykırılık riski doğurabilir. Doğru uygulama, önce ilgili kişiyi aydınlatmak, ardından gerekiyorsa ayrı bir açık rıza metniyle belirli veri işleme faaliyeti için açık rıza almaktır.

Açık Rıza Ne Zaman Alınmalıdır?

Açık rıza, ilgili kişisel veri işlenmeden önce alınmalıdır. Kişisel veri işlendikten sonra geriye dönük olarak açık rıza alınması, hukuka aykırı işleme faaliyetini her zaman ortadan kaldırmaz. Özellikle pazarlama, reklam, ticari elektronik ileti, yurt dışına veri aktarımı, çerez kullanımı, özel nitelikli kişisel veri işleme gibi alanlarda açık rızanın zamanı ve yöntemi büyük önem taşır.

Örneğin bir internet sitesinin kullanıcıya ait çerez verilerini reklam ve profil oluşturma amacıyla işlemesi halinde, kullanıcıdan önceden ve geçerli şekilde rıza alınması gerekebilir. Aynı şekilde bir özel hastanenin sağlık verilerini, tıbbi hizmetin zorunlu kapsamı dışında farklı ticari amaçlarla kullanması halinde de açık rıza gündeme gelebilir. İşverenlerin çalışanlardan biyometrik veri alması, parmak iziyle giriş-çıkış takibi yapması veya çalışan görüntülerini farklı amaçlarla kullanması da ayrıca dikkatle incelenmesi gereken alanlardandır.

Açık rızanın alınması kadar, bu rızanın saklanması ve gerektiğinde ispatlanması da önemlidir. Fiziki form, elektronik kayıt, zaman damgası, log kaydı, IP bilgisi, çağrı merkezi kaydı veya dijital onay sistemi gibi yöntemlerle rızanın kim tarafından, hangi tarihte, hangi metin üzerinden ve hangi kapsamda verildiği ispatlanabilir olmalıdır.

Açık Rıza Geri Alınabilir mi?

Evet. Açık rıza kişiye sıkı sıkıya bağlı bir haktır ve ilgili kişi verdiği açık rızayı dilediği zaman geri alabilir. Rızanın geri alınması, ileriye dönük sonuç doğurur. Yani rıza geri alındıktan sonra veri sorumlusu, açık rızaya dayalı olarak yürüttüğü veri işleme faaliyetini durdurmalıdır. KVKK, açık rızanın geri alınmasının ilgili kişinin kişisel verilerinin geleceğini belirleme hakkı kapsamında değerlendirilmesi gerektiğini kabul eder. Kurum da açık rızanın geri alınabileceğini ve geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğuracağını belirtmektedir.

Örneğin bir kişi, bir mağazaya kampanya mesajları gönderilmesi için telefon numarasının işlenmesine açık rıza vermişse, daha sonra bu rızasını geri alabilir. Bu durumda mağaza, kişinin telefon numarasını artık pazarlama amacıyla kullanmamalıdır. Ancak aynı kişinin fatura kayıtları, muhasebe mevzuatı veya sözleşme ilişkisi sebebiyle belirli sürelerle saklanmaya devam edebilir. Çünkü her veri işleme faaliyeti aynı hukuki sebebe dayanmaz.

Bu noktada veri sorumlularının rıza geri alma süreçlerini kolay, erişilebilir ve anlaşılır şekilde düzenlemesi gerekir. Rıza vermek kolay, rızayı geri almak ise zor ise bu durum KVKK bakımından sorun yaratabilir.

Özel Nitelikli Kişisel Verilerde Açık Rıza

Özel nitelikli kişisel veriler, öğrenildiği takdirde kişinin ayrımcılığa uğramasına veya mağduriyet yaşamasına neden olabilecek daha hassas verilerdir. Sağlık verileri, biyometrik veriler, genetik veriler, ceza mahkûmiyeti bilgileri, dini inanç, siyasi düşünce, sendika üyeliği, cinsel hayat ve benzeri veriler bu kapsamda değerlendirilir.

Özel nitelikli kişisel verilerin işlenmesi, genel nitelikli kişisel verilere göre daha sıkı kurallara tabidir. 7499 sayılı Kanun ile 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenmesini düzenleyen 6. maddesinde değişiklik yapılmış ve özel nitelikli kişisel veri işleme şartlarına yeni hukuki sebepler eklenmiştir. KVKK tarafından yayımlanan rehberde de bu değişikliğin, özel nitelikli kişisel veri işleme şartlarının doğru hukuki sebebe dayandırılması bakımından önem taşıdığı belirtilmiştir.

Bu nedenle özel nitelikli veri işleyen şirketlerin, kurumların ve işverenlerin çok daha dikkatli hareket etmesi gerekir. Örneğin çalışanlardan sağlık raporu alınması, iş sağlığı ve güvenliği süreçleri, biyometrik giriş sistemleri, kamera kayıtlarının yüz tanıma sistemiyle kullanılması veya sağlık kuruluşlarında hasta verilerinin işlenmesi gibi durumlar özel değerlendirme gerektirir. Her özel nitelikli veri işleme faaliyeti için açık rıza alınması gerektiği söylenemez; ancak açık rıza dışında bir hukuki sebep yoksa, açık rızanın geçerli şekilde alınması zorunlu hale gelebilir.

Açık Rıza Alınmadan Veri İşlenirse Ne Olur?

Açık rıza alınması gereken bir durumda açık rıza alınmadan kişisel veri işlenmesi, KVKK’ya aykırılık oluşturabilir. Bu durumda ilgili kişi, öncelikle veri sorumlusuna başvurarak verilerinin işlenip işlenmediğini öğrenme, hukuka aykırı işleme faaliyetinin durdurulmasını isteme, verilerin silinmesini veya yok edilmesini talep etme, yanlış verilerin düzeltilmesini isteme ve zarara uğramışsa tazminat talep etme haklarını kullanabilir.

Kanun’a göre ilgili kişi, veri sorumlusuna başvuru yaptıktan sonra başvurunun reddedilmesi, cevabın yetersiz bulunması veya süresinde cevap verilmemesi halinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir. Veri sorumlusu başvuruları en geç otuz gün içinde sonuçlandırmakla yükümlüdür. Kurula şikâyet bakımından da Kanun’da belirli süreler öngörülmüştür.

Hukuka aykırı veri işleme faaliyeti idari para cezasına konu olabileceği gibi, somut olayın niteliğine göre Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, ele geçirilmesi veya yok edilmemesi gibi suçlar da gündeme gelebilir. Ayrıca kişilik hakları ihlal edilen kişiler genel hükümlere göre manevi veya maddi tazminat talebinde bulunabilir.

Şirketler Açısından Açık Rıza Sürecinde En Sık Yapılan Hatalar

Şirketler açısından açık rıza süreçlerinde yapılan hatalar çoğu zaman benzer niteliktedir. En sık karşılaşılan hatalardan biri, açık rıza metni ile aydınlatma metninin tek metin halinde düzenlenmesidir. İkinci hata, açık rızanın çok genel ifadelerle alınmasıdır. Üçüncü hata, açık rızanın hizmetin zorunlu şartı haline getirilmesidir. Dördüncü hata, açık rızaya gerek olmayan durumlarda gereksiz şekilde açık rıza alınmasıdır. Beşinci hata ise alınan açık rızanın ispatlanabilir şekilde saklanmamasıdır.

Bunların dışında başka şirketlerden kopyalanan KVKK metinlerinin kullanılması da ciddi bir sorundur. Her şirketin veri işleme faaliyeti, organizasyon yapısı, faaliyet alanı, veri kategorileri, aktarım süreçleri ve saklama süreleri farklıdır. Bu nedenle başka bir şirketin aydınlatma metninin veya açık rıza metninin aynen kullanılması, çoğu durumda hukuka uygun bir KVKK uyum süreci sağlamaz.

KVKK uyum süreci yalnızca internet sitesine birkaç metin eklemekten ibaret değildir. Veri envanteri hazırlanmalı, veri işleme amaçları belirlenmeli, hukuki sebepler ayrıştırılmalı, açık rıza gerektiren faaliyetler tespit edilmeli, aydınlatma metinleri sade ve anlaşılır şekilde hazırlanmalı, saklama ve imha politikaları oluşturulmalı, çalışanlara eğitim verilmeli ve teknik-idari tedbirler alınmalıdır.

Sonuç

KVKK kapsamında açık rıza, kişisel verilerin korunması hukukunun en önemli kavramlarından biridir. Ancak açık rıza, her durumda başvurulması gereken tek hukuki sebep değildir. Kişisel veri işleme faaliyetinin hukuka uygun olabilmesi için öncelikle veri işleme amacının, veri kategorisinin, ilgili kişi grubunun ve hukuki sebebin doğru tespit edilmesi gerekir. Açık rıza ancak gerçekten gerekli olduğu hallerde, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle alınmalıdır.

Açık rıza alınmadan kişisel veri işlenmesi bazı durumlarda mümkündür. Kanunlarda açıkça öngörülme, sözleşmenin ifası, hukuki yükümlülük, hakkın tesisi veya korunması ve meşru menfaat gibi hukuki sebepler mevcutsa, açık rıza alınmadan da veri işlenebilir. Ancak bu hukuki sebeplerin bulunmadığı veya açık rızanın zorunlu olduğu hallerde açık rıza alınmadan yapılan veri işleme faaliyeti hukuka aykırı sonuçlar doğurabilir.

Şirketler, işverenler ve veri sorumluları açısından en güvenli yol, her veri işleme faaliyetini ayrı ayrı analiz etmek ve KVKK’ya uygun bir veri işleme haritası oluşturmaktır. Bireyler açısından ise kişisel verilerinin hangi amaçla işlendiğini bilmek, gerektiğinde veri sorumlusuna başvurmak ve hukuka aykırılık halinde Kurul’a şikâyet veya tazminat yollarını değerlendirmek önemlidir.

Bu nedenle açık rıza metinleri, aydınlatma metinleri ve kişisel veri işleme süreçleri basit birer form olarak görülmemeli; her somut faaliyet bakımından hukuki değerlendirme yapılarak hazırlanmalıdır. KVKK’ya uygun hareket etmek yalnızca idari para cezalarından kaçınmak için değil, aynı zamanda kişi mahremiyetini korumak, şirket itibarını güçlendirmek ve hukuki riskleri azaltmak için de zorunludur.

Leave a Reply

Call Now Button