KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları

KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları

Kişisel verilerin korunması, günümüzün en hassas konularından biri haline geldi. Özellikle dijitalleşmenin hız kazanmasıyla birlikte, şirketlerin kişisel verileri işleme süreçlerine yönelik beklentiler de giderek arttı. Türkiye’de Kişisel Verileri Koruma Kurumu (KVKK) bu konuda son derece kritik ve yol gösterici kararlar alıyor. 10/06/2025 tarihli ve 2025/1072 sayılı KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları, bu alanda dikkat edilmesi gereken önemli hususları net şekilde ortaya koydu.

Bu blog yazısında, bu kararın detaylarını, açık rıza süreçlerinde yaşanan sık hataları ve bunların nasıl önlenebileceğini samimi ve anlaşılır bir dille ele alacağız.

KVKK Danışmanlığı
KVKK Danışmanlığı

KVKK Uyarıyor: Açık Rıza Süreçleri Birbirinden Ayrılmalı!

Kişisel Verileri Koruma Kurulu, 2025/1072 sayılı İlke Kararında çok önemli bir noktaya vurgu yapıyor: Açık rıza süreçleri kesinlikle birbirinden ayrılmalı. Yani, birden fazla farklı işlem için tek bir onay alınmamalı. Peki neden?

Ürün ya da hizmet satın alma sırasında kullanıcıların iletişim bilgileri talep edilir. Bu aşamada onlara SMS yoluyla bir doğrulama kodu gönderilir ve bu kodun sisteme girilmesi istenir. Ancak sıkça karşılaşılan sorun, bu tek işlemle birlikte hem kişisel verilerin işlenmesine izin verilmesi hem de ticari elektronik ileti onayı alınmasıdır. Kurul’a göre bu, kişilerin haklarına zarar veren ve yanıltıcı bir uygulamadır.

SMS doğrulama kodunun gönderilme amacı net bir şekilde kullanıcıya açıklanmalıdır. Kodun amacı dışında kullanılması, örneğin ticari elektronik mesajlar için onay alınması için zorunlu tutulması yasaya aykırıdır. Yani:

  • Doğrulama kodu sadece işlemin tamamlanması için kullanılmalı,
  • Ticari ileti onayı, tamamen ayrı ve açık bir rıza ile alınmalı.

Bu sayede ilgili kişiler, hangi işlem için izin verdiklerini net olarak bilir ve hakları korunmuş olur.

Açık Rızanın Kanunda Belirtilen Unsurları Nelerdir?

KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları kapsamında açık rızanın taşıması gereken unsurlar da önemle belirtilmiştir. Bunlar, kişisel verilerin hukuka uygun işlenmesi için olmazsa olmazdır.

Açık rıza, özgür iradeye dayanmalı ve bilgilendirmeyi içermeli. Buna göre, ilgili kişiye:

  • Hangi verilerinin işleneceği,
  • İşlemenin amacı,
  • İşleme süresi,
  • Veri sahibinin hakları

gibi konular açık ve anlaşılır şekilde anlatılmalı.

Örneğin SMS doğrulama kodu gönderilirken, sadece kodun ne için gönderildiği değil, bu verinin başka amaçlarla kullanılmayacağı, ticari mesajların ayrı onay gerektirdiği mutlaka ifade edilmeli. Aksi halde açık rıza, geçersiz sayılır.

Ürün ve Hizmet Sunumu Sırasında Kişisel Verilerin İşlenmesinde İyi Uygulama Örnekleri

İlke Kararında belirtilen uygulama hatalarından kaçınmak için bazı iyi uygulama yöntemlerini benimsemek gerekir. Bu, hem veri sahiplerinin haklarını korur hem de veri sorumlularının yasal yükümlülüklerini yerine getirmesini sağlar.

Önerilen uygulamalar şunlardır:

  • Aydınlatma Metinlerini Basit ve Açık Yazın: İlgili kişilerin anlayacağı, karmaşık olmayan dil kullanın.
  • Açık Rıza Formlarını Ayrı Tutun: Örneğin; bir onay kutusu sadece SMS doğrulama için, diğer onay kutuları ticari elektronik ileti veya başka veri işleme faaliyetleri için olmalı.
  • Doğrulama Kodunun Amacını Net Bildirin: SMS ile gönderilen kodun sadece kimlik doğrulama için olduğunu mutlaka belirtin.
  • Rızayı Zorunlu Kılmayın: Ürün ya da hizmet sunumu için gerekli olmayan açık rızalar zorunluymuş gibi gösterilmemeli.
  • İdari ve Teknik Tedbirler Alın: Rıza onaylarının kayıt altına alınması ve izlenmesi için uygun sistem altyapısını kurun.
  • Periyodik Eğitim ve Denetim: Personeli KVKK yükümlülükleri ve iyi uygulamalar konusunda düzenli olarak bilgilendirin.

Ticari Elektronik İletişimde Açık Rızanın Önemi

İşletmeler açısından ticari elektronik ileti (SMS, e-posta, arama vb.) göndermek çok yaygın bir pazarlama aracıdır. Ancak KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları‘nda da belirtildiği gibi, bu iletişim için alınacak rıza, diğer rızalardan kesinlikle bağımsız ve açık olmalıdır.

Birçok işletme, SMS doğrulama kodu gönderimi sırasında kullanıcıya ticari mesajlara onay verip vermediğini sormadan, ya da bunu zorunlu kılarak, yasalara aykırı hareket ediyor. Bu durum hem para cezalarına yol açıyor hem de marka güvenilirliğini zedeliyor.

Doğru yaklaşım:

  • Ticari elektronik iletiye onay vermek isteyenler için ayrı bir onay kutusu sunulmalı.
  • Bu onayın reddedilmesi ürün ya da hizmetin alınmasını engellememeli.
  • Onay veren kişilere kolayca istedikleri zaman onayı iptal etme hakkı tanınmalı.

KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları Sonrası Veri Sorumlularına Düşen Sorumluluklar

Bu karar, veri sorumlularına bir uyarı niteliğinde olup, uygulamada bazı düzenlemeler yapılmasını zorunlu kılıyor. Özellikle:

  • Açık rıza süreçlerini tek bir işlemde birleştirmemek,
  • İlgili kişilere yapılacak aydınlatmanın eksiksiz olması,
  • Ticari elektronik ileti onaylarının zorunlu tutulmaması,
  • İlgili kişilerden alınan onayların kayıt altına alınması,
  • Personelin bu kurallara uygun hareket etmesi için eğitim verilmesi,

veri sorumlularının yerine getirmesi gereken temel adımlar olarak öne çıkıyor.

Aksi halde Kanun’un 18. maddesi uyarınca, kişisel veri koruma yükümlülüklerine uymayan veri sorumluları hakkında yaptırımlar uygulanacak.

Sıkça Yapılan Uygulama Hataları ve Bunlardan Kaçınmanın Yolları

Aşağıda KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları kapsamında sık karşılaşılan ve hataya yol açan uygulamalardan bazılarını ve çözüm önerilerini listeledik:

  • Doğrulama kodu gönderme işlemi ile ticari ileti onayını birleştirmek: Bu iki işlem birbirinden kesinlikle ayrılmalı.
  • Kullanıcıya aydınlatma yapılmadan açık rıza alınması: Veri işleme amaçları net şekilde anlatılmalı.
  • Rızanın alınmasını zorunlu hale getirmek: Ticari ileti onayı, hizmet alma zorunluluğu olmamalı.
  • Onayların kayıt altına alınmaması: İspat açısından rıza kayıtları mutlaka tutulmalı.
  • Personelin yasal yükümlülüklerden haberdar olmaması: Düzenli eğitim şart.
  • Teknik altyapının eksikliği: Rıza yönetim sistemleri kullanılmalı.

Kişisel Verileri Koruma Kurulu Kararının İşletmeler İçin Önemi

Bu ilke kararı, dijital dünyada kişisel verilerin korunması konusunda standartları yükseltme amacı taşır. İşletmeler için sadece yasal bir zorunluluk değil, aynı zamanda müşteri güveni kazanmak için fırsattır.

Müşteri, verisinin nasıl ve ne amaçla işlendiğini net bir şekilde anladığında, işletmeye olan güven artar. Bu da uzun vadede daha sağlıklı müşteri ilişkileri ve olumlu marka algısı yaratır.

KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları ile Uyumluluk İçin Pratik Öneriler

İşletmelerin bu karara uygun hareket edebilmesi için uygulayabileceği pratik öneriler şunlardır:

  1. Açık ve anlaşılır aydınlatma metinleri hazırlayın.
  2. Açık rıza süreçlerini modüler hale getirin, her işlem için ayrı rıza alın.
  3. Doğrulama kodu sadece kimlik doğrulama amacıyla kullanıldığını açıkça belirtin.
  4. Ticari elektronik ileti için ayrı ve zorunlu olmayan onay kutuları oluşturun.
  5. Onay alma süreçlerinizi dijital ortamda kayıt altına alın ve arşivleyin.
  6. Personelinizi KVKK farkındalığı için düzenli eğitin.
  7. Teknik altyapınızı güncel tutarak rıza ve veri işlemlerini takip edin.
  8. Kullanıcıların rızalarını kolayca geri çekebilmesi için mekanizmalar sağlayın.

Sık Sorulan Sorular

KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları hakkında sıkça sorulan sorulara aşağıdan ulaşabilirsiniz.

KVKK İlke Kararı nedir?
KVKK İlke Kararı, Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin korunması ve işlenmesi süreçlerinde uyulması gereken esasları belirleyen karar metnidir.

Açık rıza nedir?
Kişisel verilerin işlenmesi için ilgili kişinin özgür iradesiyle, bilgilendirilerek verdiği açık onaydır.

Neden açık rıza süreçleri ayrılmalı?
Her işlem için ayrı açık rıza alınması, ilgili kişilerin hangi verilerinin hangi amaçla işlendiğini net olarak anlamasını sağlar ve kişisel hakların korunmasına yardımcı olur.

SMS ile gönderilen doğrulama kodu ne amaçla kullanılır?
Bu kod, kullanıcıların kimlik doğrulaması için gönderilir ve sadece bu amaçla kullanılmalıdır.

Ticari elektronik ileti için nasıl onay alınmalı?
Ticari elektronik ileti onayı, diğer işlemlerden bağımsız, açık ve özgür iradeye dayalı olarak ayrı alınmalıdır.

Rıza alınmazsa ne olur?
Kişisel veriler hukuka aykırı işlenmiş olur ve veri sorumluları hakkında yasal yaptırımlar uygulanabilir.

Rızanın geri çekilmesi mümkün müdür?
Evet, ilgili kişiler verdikleri rızayı istedikleri zaman kolaylıkla geri çekebilir.

İşletmeler ne tür tedbirler almalıdır?
İdari ve teknik tedbirler alarak, rıza süreçlerini şeffaf, kayıtlı ve kontrol edilebilir hale getirmelidir.

KVKK’nın 10/06/2025 tarihli ve 2025/1072 sayılı KVKK İlke Kararı: Açık Rıza ve Aydınlatma Süreçlerinde Uygulama Hataları, kişisel verilerin korunması ve işlenmesinde hem kullanıcıların haklarının hem de veri sorumlularının yükümlülüklerinin netleşmesini sağlamıştır. İşletmeler bu karara uyarak hem yasal yaptırımlardan korunur hem de müşterileriyle daha güvenilir bir bağ kurar.

Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin

 

admin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir