Kişisel Verileri Koruma Kurumu, veri sorumluları tarafından kullanıcılara sunulan açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiğine dair önemli bir ilke kararı yayımladı. Yirmi dört Mart 2026 tarihli Resmî Gazete’de yer alan 2026/347 numaralı karar, finansal teknolojiler ekosistemindeki kullanıcı katılım süreçlerini baştan aşağı yeniden şekillendiriyor.
Aydınlatma Metinlerinde Onay İstenmesi Hukuka Aykırı Bulundu
İlgili karar kapsamında, açık rıza ve aydınlatma metinlerinin iç içe geçmiş bir biçimde sunulması en sık karşılaşılan hukuka aykırılıklar arasında sıralandı. Kanunun onuncu maddesinde düzenlenen aydınlatma yükümlülüğü, veri işleme faaliyetlerine ilişkin kişilerin bilgilendirilmesi amacını taşıyor. Açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi maksadıyla öngörülen işleme şartlarından birini oluşturuyor.
Aydınlatma metinleri sözleşme niteliği taşımadığı için “okudum ve kabul ediyorum”, “okudum ve açık rıza veriyorum” veya “okudum ve onaylıyorum” ibareleri yerine “okudum ve anladım” şeklinde bir beyan alınması gerektiği vurgulandı. İlgili metinlerin aynı sayfada yer alması durumunda bile farklı başlıklar altında alt alta konumlandırılması ve her iki metin için tamamen ayrı beyanlar alınması zorunlu kılındı.
Açık Rıza ve Aydınlatma Metinleri Birbirinden Tamamen Bağımsız Sunulacak
Kurul, kopyala-yapıştır mantığıyla başka veri sorumlularından alınan metinlerin kullanılmasını yasaklayarak, her kurumun kendi organizasyonuna uygun, sade ve anlaşılır bir dil kullanmasını zorunlu tuttu. Eksik, yanıltıcı ve aşırı karmaşık ifadelerden kaçınılması uyarısı yapılırken, kurallara uymayan veri sorumluları hakkında Kanunun on sekizinci maddesi uyarınca işlem tesis edileceği belirtildi. İlke kararının ekinde iyi ve kötü uygulama şablonlarına da yer verildi.
KVKK tarafından alınan söz konusu ilke kararı, fintek şirketlerinin ve dijital bankaların müşteri edinimi aşamalarındaki kullanıcı deneyimi tasarımlarını doğrudan ilgilendiriyor. Açık rıza ile aydınlatma yükümlülüğünün tek bir onay kutusuna sıkıştırılması pratiği tarihe karışırken, regülasyon uyumunu merkeze alan çevik arayüz tasarımları pazarı tamamen domine etme potansiyeli taşıyor. Düzenleme teknolojileri (RegTech) çözümlerinin otomatize ettiği dinamik onam yönetimi mimarileri, veri minimizasyonu ilkeleriyle birleşerek kurumların operasyonel şeffaflığını en üst seviyeye taşıyacaktır. İhlallerin ağır yaptırımlarla sonuçlanacağı yeni dönemde, metinleri kullanıcı dostu bir yaklaşımla ayrıştıran platformlar rekabet avantajını elinde tutacak.
