Son dönemde sahada en sık karşılaştığım tablo veri sorumlusu yükümlülüklerini yerine getirdiğini düşünüyor, çünkü web sitesine “KVKK metni” eklenmiş, altına da bir onay kutusu konmuş.

Ama işin gerçeği orada başlamıyor bile. Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı ilke kararı ile bu doğrultuda web sitede yapılan kamuoyu duyurusu aslında uzun süredir görmezden gelinen bir soruna doğrudan temas ediyor. Açık rıza ile aydınlatmanın ayrı ayrı ele alınması gerektiği vurgusu, teoride zaten bilinen bir şeydi. Ancak bu kadar net bir hatırlatma gelmesi, sahada bizimde sıklıkla karşılaştığımız üzere uygulamanın ne kadar sorunlu ilerlediğini açıkça gösteriyor.

Bugün birçok kurum, kuruluş ve e ticaret şirketlerinin web sitesinde tek bir metin var. O metin ile hem aydınlatma yapılmış gibi kabul ediliyor hem de açık rıza alınmış sayılıyor. Üstelik bu metinler çoğu zaman kopyala-yapıştır, ne sektörle ilgisi var ne de yapılan işleme faaliyetleriyle.

Daha kritik olan tarafı ise bu metinler genellikle hukukçu olmayan kişiler tarafından hazırlanıyor. Web tasarım sürecinin bir parçası gibi görülüyor. “Siteye KVKK metni koyduk mu?” sorusu soruluyor, “koyduk” cevabı alınınca konu kapanıyor.

Oysa aydınlatma ile açık rıza aynı şey değil. Biri veri sorumlusunun bilgilendirme yükümlülüğü, diğeri ilgili kişinin irade açıklaması. Bunları aynı metnin içine sıkıştırınca, ortaya hukuki bir mekanizma çıkmıyor sadece öyleymiş gibi görünen bir yapı oluşuyor.

Sahada gördüğümüz örneklerde kullanıcı siteye giriyor, bir kutucuğu işaretliyor ve süreç tamamlanmış sayılıyor. Ama kullanıcı neye onay verdiğini gerçekten biliyor mu, hangi veri hangi amaçla işleniyor, rıza gerçekten özgür iradeye dayanıyor mu — bunların çoğu zaman net bir karşılığı yok.

Kurulun bu kararı biraz da bu “mış gibi yapma” haline müdahale niteliğinde. Sadece veri sorumlularına değil, bu alanda hizmet sunduğunu söyleyen kişi ve yapılara da dolaylı bir uyarı içeriyor. Hazır metin üretmekle uyum sağlanmıyor. Her kurumun veri işleme pratiği farklı, dolayısıyla metinlerin ve süreçlerin de ona göre şekillenmesi gerekiyor.

Bir diğer dikkat çekici nokta, denetim yaklaşımındaki değişim. Artık sadece açık ihlaller değil, yükümlülüklerin şeklen yerine getirilmiş gibi gösterilmesi de radar alanına giriyor. Bu da özellikle web siteleri üzerinden yürüyen veri toplama süreçleri ile birlikte sms ile rıza alınması ve aydınlatma yapılmasına dair ilke kararda olduğu gibi yaygın temel yükümlülüklerin yerine getirilmesi ile ilgili re’sen sorgulamaların artacağı bir döneme işaret ediyor.

Kısacası mesele, şekli bir uyum sağlama değil en az iş sağlığı ve güvenliğinde olduğu gibi veri koruma kültürü ve yükümlülüklerinin ne kadar içselleştirildiği. Ne kadar konunun yasal metinlerine uygun bir anlama çabası olursa o kadar doğru bir uygulama ortaya çıkıyor. Bu bakış açısıyla hazırlanan metinlerin arkasında gerçekten işleyen bir hukuki kurgu yoksa ortada bir uyumdan çok iyi kurgulanmış bir görüntü kalıyor.

Bu arada kurumun duyurusuna ve duyuruya konu ilke karara aşağıdaki linkten ulaşabilirsiniz. 

https://www.kvkk.gov.tr/Icerik/8710/veri-sorumlulari-tarafindan-acik-riza-ve-aydinlatma-metinlerinin-ayri-ayri-duzenlenmesi-gerektigi-hakkinda-kisisel-verileri-koruma-kurulunun-18-02-2026-tarihli-ve-2026-347-sayili-ilke-kararina-iliskin-kamuoyu-duyurusu

           https://www.resmigazete.gov.tr/eskiler/2026/03/20260324-3.pdf

                                                                                                                                                                                                                                  Arb. Av. Abdurrahim AY