Kişisel Verilerin Korunması Kurulu, 2026 yılında aldığı ilke kararı ile veri sorumlularına önemli bir yükümlülüğü yeniden hatırlattı. Buna göre açık rıza metni ile aydınlatma metni aynı içerikte veya tek bir onay altında sunulamaz; her iki metnin ayrı ayrı hazırlanması ve sunulması zorunludur.
Kurul kararında, açık rıza ile aydınlatma yükümlülüğünün hukuki açıdan farklı kavramlar olduğuna dikkat çekilmektedir. Aydınlatma metni, ilgili kişilerin bilgilendirilmesini amaçlarken; açık rıza, yalnızca gerekli durumlarda başvurulan bir veri işleme şartıdır. Bu nedenle iki metnin tek bir metin içinde birleştirilmesi hukuka uygun kabul edilmemektedir.
Aydınlatma metni kapsamında veri sorumluları; kimlik bilgilerini, kişisel verilerin hangi amaçlarla işlendiğini, kimlere aktarılabileceğini, veri toplama yöntemini ve hukuki dayanağını, ayrıca ilgili kişilerin haklarını açık ve anlaşılır şekilde bildirmek zorundadır. Bu metnin amacı onay almak değil bilgilendirme yapmaktır. Bu sebeple metinlerde “okudum ve kabul ediyorum” veya “onaylıyorum” gibi ifadelere yer verilmemesi, bunun yerine bilgilendirmenin yapıldığını gösteren ifadelerin kullanılması gerekmektedir. Ayrıca aydınlatma yükümlülüğünün yerine getirildiğini ispat etme sorumluluğu veri sorumlusuna aittir.
Açık rıza metni ise yalnızca veri işleme faaliyetinin açık rızaya dayanması gereken durumlarda hazırlanmalıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilen bir beyan olmalıdır. İlgili kişi, hangi işlem için rıza verdiğini açıkça anlayabilmeli ve istediği zaman bu rızayı geri alabilmelidir. Açık rızanın usulüne uygun alındığını ispat yükü de veri sorumlusuna aittir.
Karara göre, veri işleme faaliyeti açık rızaya dayanıyorsa aydınlatma metni ve açık rıza metni ayrı ayrı düzenlenmelidir. Aynı sayfada yer alsalar dahi farklı başlıklar altında ve ayrı beyanlarla sunulmaları gerekmektedir. Buna karşılık veri işleme açık rıza dışındaki hukuki sebeplere dayanıyorsa, yalnızca aydınlatma yükümlülüğünün yerine getirilmesi yeterli olup ayrıca açık rıza alınmamalıdır.
Kurul tarafından yapılan incelemelerde sık karşılaşılan hatalar da ayrıca belirtilmiştir. Bunlar arasında metinlerin tek metin halinde sunulması, aydınlatma için rıza talep edilmesi, başka kurumlara ait metinlerin aynen kullanılması, belirsiz ve yanıltıcı ifadeler kullanılması ile gereksiz derecede uzun ve karmaşık metinler hazırlanması yer almaktadır. Özellikle veri işleme amacı, veri kategorileri ve hukuki sebebin açık ve net şekilde belirtilmesi gerektiği vurgulanmaktadır.
Karar, veri sorumlularına sadece metin hazırlamanın yeterli olmadığını, bu metinlerin doğru hukuki çerçevede ve doğru yöntemle sunulmasının da zorunlu olduğunu ortaya koymaktadır. Aydınlatma metni bilgilendirme amacı taşırken, açık rıza yalnızca gerekli durumlarda ve ayrı bir şekilde alınmalıdır.
Ayrıca bu yükümlülüklere uyulmaması halinde durumun, kişisel verilerin korunmasına yönelik idari ve teknik tedbirlerin eksikliği olarak değerlendirilebileceği ve ilgili mevzuat kapsamında yaptırım uygulanabileceği belirtilmektedir.