KVKK Açık Rıza: Geçerlilik Şartları ve Sık Yapılan Hatalar
6698 sayılı KVKK kapsamında açık rızanın tanımı, geçerlilik koşulları, rızanın geri alınması ve kurul kararları ışığında pratik rehber.
KVKK'da açık rızanın önemi
6698 sayılı Kişisel Verilerin Korunması Kanunu m.5/2-a: "Açık rıza" kişisel veri işlemenin en temel hukuki dayanaklarından biridir. Ancak açık rıza, KVKK'nın sunduğu hukuki dayanaklardan yalnızca biridir; diğer hukuki dayanaklara (kanunda açıkça öngörülme, sözleşme zorunluluğu, meşru menfaat vb.) göre daha kırılgandır çünkü geri alınabilir.
Açık rızanın tanımı — KVKK m.3/1-a
KVKK m.3/1-a: "Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza."
Üç unsur zorunlu:
- 1Belirli bir konuya ilişkin — kapsam belirli olmalı,
- 2Bilgilendirilmeye dayanan — aydınlatma önceden yapılmalı,
- 3Özgür iradeyle açıklanan — baskı, yanıltma veya mecburiyet olmamalı.
Geçerlilik şartları
1. Özgür irade
Rıza, herhangi bir baskı veya zorlama altında alınmış olmamalı. Kişisel Verileri Koruma Kurulu'nun yerleşik kararlarında:
"Hizmetin sunulmasını rızaya bağlamak, rızayı özgürlükten yoksun kılar."
Pratik örnek: Bir uygulamanın kullanımını konuma erişim rızasına bağlamak, konum verisinin işlenmesi için zorunlu olmadığı hallerde geçersiz rıza sayılır.
2. Aydınlatma zorunluluğu
Rıza alınmadan önce KVKK m.10 kapsamında aydınlatma metni sunulmalı:
- Veri sorumlusunun kimliği,
- İşlenecek kişisel veriler ve amaçları,
- Aktarım yapılacak kişiler,
- Veri sahibinin hakları.
Aydınlatma yapılmadan alınan rıza geçersizdir.
3. Kapsam belirliği
"Her türlü veri işleme için rıza veriyorum" ifadesi geçersizdir. Rıza:
- Hangi veri kategorisi için,
- Hangi amaçla,
- Hangi süreyle işleneceğini net belirtmeli.
4. Yazılı veya elektronik form
Rıza kâğıt, e-posta, checkbox vb. yollarla alınabilir. Önemli olan ispat imkânı. Kurul, rıza kaydının tutulmasını zorunlu sayar.
Özel nitelikli kişisel veriler (sağlık, din, biyometri vb.) için açık rıza yazılı alınmalıdır.
Bundled consent yasağı
Tek bir genel rıza metniyle birden fazla işleme faaliyetinin onaylanması geçersiz kabul edilir. Örneğin:
- Pazarlama iletişimi için rıza,
- Üçüncü tarafla paylaşım için rıza,
- Profilleme için rıza
— bunların her biri ayrı checkbox ile alınmalıdır.
Rızanın geri alınması — KVKK m.11/1-b
Veri sahibi açık rızasını her zaman geri alabilir. Geri alma:
- Geriye dönük etkili değildir — rıza döneminde yapılan işlemler hukuka uygun kalır,
- İleriye dönük işlemeyi durdurur,
- Geri alma mekanizması rıza verme kadar kolay olmalıdır.
Pratik: E-posta aboneliğini iptal eden kullanıcının daha önceki izinli gönderimler için rıza geriye dönük geçersiz olmaz.
Çocukların kişisel verileri
18 yaşından küçükler için açık rıza yasal temsilci tarafından alınmalıdır. Dijital hizmetlerde yaş doğrulama mekanizması zorunlu.
Kurul kararları — pratik örnekler
Karar 2020/966: Mobil uygulama, kullanıcının konum verisini hizmetle zorunlu olmadığı halde işlemek için rıza almış; hizmet rızaya bağlandığından rıza geçersiz sayılmıştır.
Karar 2021/1177: Rıza metni aydınlatmayla birleştirilmiş; tek tıkla her ikisi de onaylatılmış; bundled consent gerekçesiyle geçersiz bulunmuştur.
Karar 2022/783: Çalışan verilerini işlemek için açık rıza kullanılmış; iş ilişkisinde güç dengesizliği nedeniyle rızanın özgür irade ürünü olmadığı tespit edilmiştir. Çalışan verileri için uygun dayanak meşru menfaat veya kanuni zorunluluk olmalıdır.
Ne zaman açık rıza gerekmez?
KVKK m.5/2'de diğer hukuki dayanaklara sahipseniz açık rıza almak zorunda değilsiniz — ve genellikle almamanız daha güvenlidir çünkü rıza geri alınabilir:
- Sözleşme zorunluluğu: müşterinin adres bilgisi,
- Kanuni yükümlülük: vergi kaydı,
- Meşru menfaat: dolandırıcılık önleme log'ları,
- Hayati menfaat: acil tıbbi durum.
Rıza yönetim sistemi
KVKK uyumlu bir rıza yönetim sistemi içermeli:
- CMP (Consent Management Platform): web sitelerinde çerez rızası,
- Rıza kayıtları: kim, ne zaman, ne için onayladı,
- Geri alma kanalı: kolay erişilebilir opt-out,
- Versiyon yönetimi: metin değiştiyse yeniden rıza.
E-ticaret ve dijital hizmetlerde pratik kontrol listesi
| Kontrol | Gereklilik |
|---|---|
| Aydınlatma metni rızadan önce mi? | Zorunlu |
| Her veri işleme amacı ayrı checkbox mı? | Zorunlu |
| Rıza hizmet kullanımına bağlı değil mi? | Zorunlu |
| Geri alma mekanizması mevcut mu? | Zorunlu |
| Çocuk için yasal temsilci rızası var mı? | Zorunlu |
| Rıza kayıtları saklanıyor mu? | Zorunlu |
Sık yapılan 5 hata
1. Aydınlatma ve rızayı tek metne sıkıştırmak — ikisi farklı belgeler; rıza aydınlatmayı teyit eder, aydınlatmanın kendisi değildir.
2. Hizmeti rızaya bağlamak — en yaygın hata; uygulama veya web sitesini açık rızasız kullanılamaz hale getirmek rızayı özgürsüz kılar.
3. Genel rıza metni kullanmak — "tüm işlemler için rıza veriyorum" geçersiz; spesifik ve ayrı rıza gerekli.
4. Çalışan verilerini rızayla işlemek — iş ilişkisinde güç dengesizliği nedeniyle rıza özgür sayılmaz; yasal dayanak değiştirmek gerekir.
5. Rıza kayıtlarını tutmamak — Kurul denetiminde ispat yükü veri sorumlusundadır; kayıt yoksa ihlal sayılır.
Kapanış
KVKK açık rızası güçlü bir hukuki araç gibi görünse de en kırılgan hukuki dayanaklardan biridir. Geri alınabilir olması, hizmet sunumunu sekteye uğratabilir. Bu nedenle veri işlemenin başka hukuki dayanakla karşılanabileceği hallerde rızadan kaçınmak, KVKK uyum stratejisinin temel ilkesidir. Avukatın görevi müvekkile en sağlam hukuki dayanağı bulmak ve rıza tercih edildiğinde geçerlilik koşullarını eksiksiz sağlamaktır.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.