Açık Rıza Metni Hazırlama Rehberi
Türkiye’de veri koruma uyum süreçlerinin en yanlış anlaşılan, en çok ceza yazılan ve en sık değişen parçası şüphesiz “Açık Rıza” metinleridir. Çoğu işletme, açık rızayı her şeyi hukuka uygun hale getiren sihirli bir değnek sanıyor. Oysa KVKK ve Kurul kararları, açık rızanın bir “genel izin kağıdı” değil, sınırları çizilmiş hassas bir irade beyanı olduğunu söylüyor.
Özellikle 2024 yılında yürürlüğe giren 7499 sayılı Kanun ile birlikte, yurt dışına veri aktarımı ve özel nitelikli verilerin işlenmesi konusunda oyunun kuralları tamamen değişti. Eski şablonlar artık firmanızı korumuyor, aksine risk altına sokuyor. Bu rehberde, hukuki jargonun arkasına saklanmadan, insancıl ve uygulanabilir bir dille; “Geçerli bir açık rıza metni nasıl yazılır?”, “Hangi hatalardan kaçınılmalıdır?” ve “Yeni yasaya uygun yurt dışı aktarım metni nasıl olmalıdır?” sorularını en ince ayrıntısına kadar yanıtlayacağız.
Açık Rıza Nedir? Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve
özgür iradeyle açıklanan onaydır.
NE DEĞİLDİR? Genel bir feragatname veya hizmet şartı değildir.
En Büyük Hata: “Battaniye Rıza” (Tüm verilerimin işlenmesini kabul ediyorum).
2024 DEĞİŞİKLİĞİ: Yurt dışı aktarım rızalarında “muhtemel RİSKLER”
ifadesi zorunlu hale geldi.
Yöntem: Opt-in (işaretleyerek onaylama) zorunludur, önceden işaretli kutular yasaktır.
1. Açık Rıza Hakkında Doğru Bilinen Yanlışlar: “Her Şeye Rıza Alalım, Rahat Edelim” Tuzağı
KVKK uyum süreçlerinde sahada gördüğümüz en büyük hata, veri sorumlularının açık rızayı bir “güvenli liman” olarak görmesidir. “Kullanıcıya ‘kabul ediyorum’ kutucuğunu işaretletirsem istediğim veriyi istediğim gibi kullanırım” düşüncesi, sizi doğrudan idari para cezasına götüren en kısa yoldur.
Hukuk doktrininde ve Kişisel Verileri Koruma Kurulu’nun (Kurul) istikrarlı kararlarında açık rıza, veri işlemenin tek yolu değil, istisnai bir yoludur. Eğer bir veriyi işlemek için;
- Kanunlarda açıkça öngörülme (Örn: Fatura kesmek için Vergi Usul Kanunu),
- Bir sözleşmenin kurulması veya ifası (Örn: Kargoyu teslim etmek için adres bilgisi),
- Hukuki yükümlülük (Örn: Çalışanın SGK girişini yapmak),
gibi başka bir hukuki sebebiniz varsa, asla açık rıza almamalısınız. Buna hukukta “hakkın kötüye kullanımı” ve veri işleme şartlarının “yanıltıcı kullanımı” denir.
Açık Rıza Ne Zaman Gerekir?
Açık rıza, diğer işleme şartlarının (sözleşme, kanun, meşru menfaat vb.) yetersiz kaldığı durumlar için bir “anahtardır”. Genellikle şu üç durumda karşımıza çıkar:
- Pazarlama ve Reklam: Müşterinin verilerini analiz edip ona özel kampanya sunmak (Ticari İleti).
- Özel Nitelikli Veri (Kısmen): Sağlık verisi (işyeri hekimi hariç), biyometrik veriler vb.
- Yurt Dışına Aktarım (İstisnai): Eğer yeterlilik kararı veya standart sözleşme yoksa.
Kısacası; açık rıza metni yazmaya başlamadan önce kendinize şu soruyu sorun: “Bu veriyi işlemek için kullanıcının onayına gerçekten ihtiyacım var mı, yoksa işimi yapmak için zaten bu veriyi almak zorunda mıyım?”
2. Altın Kurallar: Geçerli Bir Rızanın 3 Kurucu Unsuru
Kanun’un 3. maddesi, açık rızayı üç sütun üzerine inşa eder. Metninizde bu sütunlardan biri bile eksikse, o rıza hukuken “yok hükmünde” (batıl) sayılır. Gelin bu teknik terimleri günlük dile çevirelim.
2.1. Belirli Bir Konuya İlişkin Olma (Granülarite İlkesi)
Kullanıcı neye “evet” dediğini net olarak bilmelidir. Hukuk dünyasında buna “Battaniye Rıza” (Blanket Consent) yasağı denir. Nasıl ki bir restorana gidip “Mutfaktaki her şeyi sipariş ediyorum” demezseniz, veri sahibinden de “Tüm verilerimin her türlü amaçla işlenmesini kabul ediyorum” diyerek rıza isteyemezsiniz.
“Şirketinizin her türlü faaliyetinde verilerimin kullanılmasına ve dilediğiniz iş ortaklarınızla paylaşılmasına izin veriyorum.”
“Alışveriş geçmişimin analiz edilerek bana özel kampanya teklifleri sunulması (profilleme) amacıyla verilerimin işlenmesini onaylıyorum.”
Burada anahtar kelime “ayrıştırma” (unbundling)dır. Pazarlama izni ile 3. taraf paylaşım izni birbirinden ayrı kutucuklarla sunulmalıdır.
2.2. Bilgilendirmeye Dayanma
Rıza, “körlemesine” verilen bir onay olamaz. Kişi, onay butonuna basmadan önce Aydınlatma Metni’ni okumuş ve anlamış olmalıdır. Ancak burada sık yapılan hata, aydınlatma metni ile rıza metnini birbirine karıştırmaktır.
- Aydınlatma Metni: Bilgi verir. Tek taraflıdır. “Verilerinizi şu amaçla işliyoruz” der.
- Açık Rıza Metni: İzin ister. Çift taraflıdır. “İşlenmesini onaylıyor musunuz?” diye sorar.
Rıza metninizde mutlaka “Aydınlatma Metni’nde detayları anlatıldığı üzere…” şeklinde bir atıf bulunmalı, ancak sadece atıfla yetinmeyip, rızanın konusu kısaca (özet olarak) tekrar edilmelidir.
2.3. Özgür İradeyle Açıklanma
Belki de en kritik madde budur. Kişi, rıza vermezse başına bir iş gelmemelidir. Eğer bir hizmeti almak için, o hizmetle alakasız bir veriye rıza göstermek zorundaysa, orada özgür irade sakatlanmıştır.
Spor Salonu Örneği: Bir spor salonu, üyeliğin başlaması için “Parmak izi verisini” şart koşamaz. Çünkü giriş kartı veya şifre ile de hizmet verilebilir. “Ya parmak izini ver ya da üye olamazsın” denildiği anda, o parmak izi için alınan imza geçersizdir. Bu duruma “Hizmetin Rıza Şartına Bağlanması Yasağı” denir.
3. 2024 Reformu: 7499 Sayılı Kanun ve “Muhtemel Riskler” Dönemi
1 Haziran 2024 tarihinde veri koruma dünyasında kartlar yeniden dağıtıldı. 7499 sayılı Kanun ile KVKK’da yapılan değişiklikler, özellikle yurt dışına veri aktarımı ve özel nitelikli veriler konusunda ezberleri bozdu. Eğer web sitenizde 2023’ten kalma bir metin duruyorsa, şu an risk altındasınız demektir.
Yurt Dışı Aktarımda “Muhtemel Risk” Vurgusu
Eskiden yurt dışına (örneğin; Gmail kullanmak, sunucusu İrlanda’da olan bir CRM kullanmak, AWS/Google Cloud kullanmak) veri aktarırken sadece “Yurt dışına aktarımı kabul ediyorum” demek yetiyordu. Artık yetmiyor.
Yeni kanun (Madde 9), açık rızayı “istisnai” bir yöntem olarak tanımlıyor. Eğer bir “Yeterlilik Kararı” yoksa veya “Standart Sözleşme” imzalayamıyorsanız, arızi (süreklilik arz etmeyen) durumlarda rıza alabilirsiniz. ANCAK; metinde mutlaka “İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla” şartı aranıyor.
Peki nedir bu riskler? Metninizde şuna benzer bir uyarı olmak zorundadır: “Verilerinizin aktarılacağı ülkede Türkiye standartlarında bir veri koruma mevzuatı bulunmayabileceği, verilerinize yerel otoritelerce (istihbarat vb.) erişilebileceği ve hak arama yollarınızın kısıtlanabileceği…”
Bu uyarıyı içermeyen yurt dışı aktarım rızaları, yeni dönemde geçersiz kabul edilme riski taşımaktadır.
4. Uygulamalı Yazım Rehberi: Senaryo ve Şablonlar
Teoriyi geride bıraktık. Şimdi “kalemi elimize alma” vakti. Aşağıdaki şablonlar, 2024 düzenlemelerine göre revize edilmiş, süreç bazlı örneklerdir. Bunları firmanıza uyarlarken mutlaka hukukçunuza danışın.
Senaryo A: Yurt Dışı Bulut Hizmeti Kullanan Şirket (2024 Uyumlu)
Bu metin, verileri Google Drive, Dropbox, AWS veya yurt dışı menşeli e-posta sunucularında tutanlar içindir.
[Şirket Unvanı] Aydınlatma Metni’ni okudum ve anladım. İş süreçlerinin yürütülmesi amacıyla kullanılan sunucuların ve bulut hizmeti sağlayıcılarının yurt dışında bulunması sebebiyle;
Kimlik ve İletişim verilerimin; hizmet alınan teknoloji tedarikçisi [Tedarikçi Adı]’nın [Ülke Adı]’ndaki sunucularına aktarılmasına;
Muhtemel Riskler Hakkında Bilgilendirme: İlgili ülkede Türkiye Cumhuriyeti mevzuatına eşdeğer bir veri koruma düzenlemesi bulunmayabileceği, verilerimin o ülkenin yerel makamları tarafından ulusal güvenlik gerekçeleriyle erişime tabi tutulabileceği ve bu durumda Türkiye’deki yasal haklarımı kullanmamın zorlaşabileceği riskleri hakkında bilgilendirilmiş olarak;
Özgür irademle,
[ ] KABUL EDİYORUM / ONAYLIYORUM
Senaryo B: E-Ticaret ve Pazarlama (ETK & İYS Entegrasyonu)
Burada hem KVKK hem de Elektronik Ticaret Kanunu (ETK) devreye girer. Kullanıcıya “SMS istiyor musun, E-posta istiyor musun?” seçeneğini ayrı ayrı sunmak en güvenli yoldur.
Kişisel verilerimin (e-posta, telefon, alışveriş geçmişi); bana özel kampanyaların oluşturulması, hedef kitle analizi yapılması (profilleme) ve ürün önerilerinin sunulması amacıyla işlenmesini;
[ ] KABUL EDİYORUM
Ayrıca, tarafıma aşağıdaki kanallardan reklam, promosyon ve kutlama içerikli ticari elektronik ileti gönderilmesini onaylıyorum:
SMS: [ ] Evet
E-Posta: [ ] Evet
Telefon Araması: [ ] Evet
Not: Verdiğiniz izinleri İleti Yönetim Sistemi (İYS) üzerinden dilediğiniz zaman geri alabilirsiniz.
Senaryo C: İnsan Kaynakları (Özel Sağlık Sigortası)
Çalışanın sağlık verisi “Özel Nitelikli” veridir. İşveren olarak SGK yükümlülüğü dışında, ek bir “Özel Sağlık Sigortası” yan hakkı veriyorsanız, çalışanın rızası gerekir. Çünkü bu bir yan haktır, zorunluluk değildir.
Şirketimizce sunulan “Tamamlayıcı Sağlık Sigortası” yan hakkından yararlanabilmem amacıyla;
Sağlık raporlarımın ve poliçe tanzimi için gerekli tıbbi verilerimin, sigorta teklifinin alınması ve poliçelendirme işlemleriyle sınırlı olmak kaydıyla; [Sigorta Şirketi Adı] ve [Aracı Kurum Adı] ile paylaşılmasına;
Özgür irademle rıza;
[ ] GÖSTERİYORUM
[ ] GÖSTERMİYORUM (Bu durumda poliçe düzenlenemeyecektir)
5. Şekil Şartları ve Tasarım: “Karanlık Desenler”den Uzak Durun
Bir açık rıza metninin içeriği kadar, kullanıcıya sunuluş biçimi de hukuki geçerliliği etkiler. Web sitenizde veya mobil uygulamanızda kullandığınız arayüz (UI), kullanıcıyı kandırmaya veya zorlamaya yönelik olmamalıdır.
Yasaklı Uygulama: “Pre-ticked Boxes” (Önceden İşaretli Kutular)
Kullanıcı sayfayı açtığında, “Kampanyalardan haberdar olmak istiyorum” kutucuğu işaretli gelmemelidir. Rıza, aktif bir harekettir. Kullanıcı o kutuyu kendi parmağıyla/mouse’uyla tıklamalıdır. Önceden işaretli kutular, Kurul tarafından “özgür irade eksikliği” olarak yorumlanmakta ve cezaya konu olmaktadır.
Opt-in vs. Opt-out
Türkiye’deki sistem Opt-in (İçeri girme / Katılma) sistemidir. Yani varsayılan ayar “HAYIR”dır, kullanıcı “EVET”e çevirir. Bazı ülkelerdeki “İstemiyorsan tikini kaldır” (Opt-out) sistemi bizde geçerli değildir.
Yasaklı Uygulama: “Okunamaz Punto”
Rıza metinleri 8 punto, gri renkli ve sayfanın en altına gizlenmiş olmamalıdır. Dürüstlük kuralı gereği, kullanıcının rahatça okuyabileceği (web için en az 12px-14px) bir formatta sunulmalıdır.
6. Kontrol Listesi
Açık rıza metni hazırlamak, sadece kelimeleri yan yana getirmek değil, bir güven süreci tasarlamaktır. Yayınlamadan önce son bir kez şu kontrol listesinden geçirin:
| Kontrol Noktası | Açıklama | Durum |
|---|---|---|
| Hukuki Sebep Testi | Bu işlem için gerçekten rıza gerekiyor mu? (Sözleşme veya Kanun yetmiyor mu?) | ⬜ |
| Ayrıştırma (Unbundling) | Aydınlatma metni ile Rıza onayı ayrı kutucuklarda mı? | ⬜ |
| Granülarite | Farklı işleme amaçları (Pazarlama vs. Paylaşım) için ayrı onaylar var mı? | ⬜ |
| Yurt Dışı Riski | Sunucular yurt dışındaysa “muhtemel riskler” ibaresi eklendi mi? | ⬜ |
| Aktif Hareket | Kutucuklar boş (işaretsiz) olarak mı geliyor? | ⬜ |
| Geri Alma İmkanı | Kullanıcı rızasını verdiği kolaylıkta geri alabiliyor mu? | ⬜ |
Veri koruma dünyasında “mükemmel” metin yoktur, “güncel” metin vardır. Mevzuat yaşayan bir organizmadır. İşletmenizi korumak ve müşterilerinize şeffaf bir deneyim sunmak için metinlerinizi düzenli olarak gözden geçirmeyi ihmal etmeyin.
Daha karmaşık süreçleriniz ve terzi işi çözümler için Nesil Teknoloji’nin uzman kadrosuyla iletişime geçebilirsiniz.
