Açık rıza hizmet şartı haline getirilebilir mi?

Genel ilke olarak bir ürün/hizmet sunumu, ilgili kişinin açık rıza vermesi şartına bağlanmamalıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Aydınlatma metni ile açık rıza tek kutucukta alınabilir mi?

Aydınlatma yükümlülüğü ile açık rızanın alınması ayrı süreçlerdir. Açık rıza hukuki sebebine dayanılıyorsa, aydınlatma ve rıza beyanı ayrı ayrı tasarlanmalı ve ispatlanabilir şekilde kayıt altına alınmalıdır.

2021/389 kararında öne çıkan risk neydi?

Veri sorumlusunun açık rıza ve aydınlatmayı iç içe geçmiş şekilde kullanması, hukuki sebebi açık şekilde ortaya koymaması ve açık rızaya dayanılması gerekmeyen hallerde rıza alınmasının aldatıcı/hakkın kötüye kullanımı niteliğinde değerlendirilebilmesidir.

Sigorta Şirketinde Hizmetin Açık Rızaya Bağlanması: KVKK Kurul Kararı 2021/389 (BES Online İşlemler Rehberi)

KVKK · Açık Rıza · Sigorta/BES Online İşlemler

Hizmetin Açık Rıza Şartına Bağlanması KVKK Kurul Kararı 2021/389

Q: Hukuki sebep neden net yazılmalıdır?

Aydınlatmada “hukuki sebep”, KVKK m.5 ve m.6’daki işleme şartlarından hangisine dayanıldığını ifade eder. Belirsiz veya muğlak bırakılması uyum riskini artırır.

Dijital kanallarda (web/mobil) sunulan sigorta ve bireysel emeklilik işlemleri; kimlik doğrulama, poliçe/teminat görüntüleme, hasar/tazminat süreçleri ve bilgilendirme faaliyetleri nedeniyle kişisel veri işleme ile doğrudan ilişkilidir. Ancak bu ilişki, her durumda “açık rıza” alınmasını zorunlu kılmaz. KVKK Kurulu’nun 20/04/2021 tarihli ve 2021/389 sayılı kararı, “hizmete erişimin açık rıza kutucuğuna bağlanması” iddiası üzerinden; aydınlatma yükümlülüğü, açık rızanın şartları ve hukuki sebebin net gösterilmesi konularında güçlü bir çerçeve ortaya koymuştur.

Bu rehber; kararın olay örgüsünü, Kurul’un aydınlatma metni ve açık rıza değerlendirmesini, “açık rıza dışındaki işleme şartları varken rıza alınmasının” doğurabileceği riskleri ve sigorta/finans kurumları için uygulanabilir bir uyum kontrol listesini (Türkiye genelinde şube ve dijital kanal operasyonları dahil) pratik şekilde sunar.

Karar Özeti Uyum Kontrol Listesi

İçindekiler 1. Karar 2021/389 Neyi Konu Ediniyor? 2. İşlenen Veri Türleri ve İşleme Amaçları 3. Kurulun Kritik Tespitleri (Aydınlatma + Açık Rıza) 4. Hukuki Çerçeve: KVKK m.4, m.5, m.10, Tebliğ 5. Sigorta/BES Dijital Kanallarda Uyum Yol Haritası 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar tarihi / no: 20/04/2021 – 2021/389
Olay: Online işlemler ekranında tek kutucukla hem aydınlatma “kabul” hem de açık rıza “verme” kurgusu.
Kritik mesaj: Hukuki sebep net yazılmalı; aydınlatma ve rıza ayrıştırılmalı; açık rıza dışındaki şart varken rıza almak “dürüstlük” ilkesini zedeleyebilir.
Sonuç: 250.000 TL idari para cezası + metinlerin revizyonu ve Kurula bilgi verme talimatı.

Dijital kanalda “tek tıkla onay” tasarımları, veri işleme hukuki sebebi net değilse yüksek uyum riski üretir.

Aydınlatma Yükümlülüğü Açık Rıza KVKK m.5/2 Dürüstlük İlkesi

Not: Aşağıdaki içerik, karar özetine dayalı genel bilgilendirme niteliğindedir. Kurumunuzun iş modeline (acente, çağrı merkezi, web/mobil kanal), işlenen veri kategorilerine (özellikle sağlık verileri) ve sözleşmesel yapısına göre metinler ve süreçler kuruma özel olarak tasarlanmalıdır.

1. Karar 2021/389 Neyi Konu Ediniyor?

Kuruma intikal eden ihbarda; bir sigorta şirketinden bireysel emeklilik sözleşmesi (BES) yaptıran ilgili kişinin, şirketin internet sayfasındaki poliçe/sözleşme bilgilerine erişmek için giriş yapmak istediğinde bir onay kutucuğu ile karşılaştığı, bu kutucuk işaretlenmeden sistemde hiçbir işlem yapılamadığı ve bu durumun “kişisel verilerin işlenmesine onay vermeye zorlamak” anlamına geldiği ileri sürülmüştür.

Başlık	Bilgi
Karar Tarihi	20/04/2021
Karar No	2021/389
Konu	Sigorta şirketinin hizmeti (online işlemler) açık rıza şartına bağlaması hakkında ihbar
Temel İhtilaf	Aydınlatma metni ile açık rızanın tek kutucukta birleştirilmesi, hukuki sebebin net gösterilmemesi ve rıza tasarımının özgür iradeyi tartışmalı hale getirmesi
Sonuç	250.000 TL idari para cezası + metinlerin/süreçlerin revizyonu ve Kurula bilgi verme

Kurumsal yorum: Karar; dijital kanallarda “kabul ediyorum” kutucuğu altında hem aydınlatma hem de açık rıza toplanması yaklaşımının, tasarım açısından pratik olsa da uyum açısından ciddi risk doğurabileceğini net biçimde gösterir.

2. İşlenen Veri Türleri ve İşleme Amaçları

İnceleme kapsamında veri sorumlusu; web üzerinden sunulan hizmetlerde müşterinin kim olduğunun anlaşılması ve kimlik doğrulama, tazminat taleplerinin alınması, poliçe/sözleşme ve teminatların kontrolü, hasar takibi ve e-posta ile bilgilendirme gibi amaçlarla kişisel veri işleyebildiğini belirtmiştir. Bu kapsamda, karar özetinde yer alan veri türleri arasında:

Kimlik / doğrulama verileri: T.C. kimlik numarası, doğum tarihi, baba adı vb.
İletişim verileri: Telefon numarası, e-posta adresi
Özel nitelikli veri olabilecek içerikler: Sağlık bilgileri, sağlık hizmeti faturaları ve sağlık harcama bedeli talepleri

“Amaç” ile “Hukuki Sebep” Ayrımı Neden Kritik?

Birçok kurum, aydınlatma metinlerinde amaçları sıralamakla yetinerek “hukuki sebep” kısmını muğlak bırakabilmektedir. Oysa aydınlatma kapsamında hukuki sebep; KVKK m.5 ve m.6’da sayılan işleme şartlarından hangisine dayanıldığını ifade eder. Bu ayrım net değilse, veri işleme faaliyetinin “neden açık rıza istediği” veya “neden rıza istemediği” denetlenebilir şekilde ortaya konulamaz.

Uygulama notu: Sigorta/BES süreçlerinde sözleşmenin kurulması/ifası, kimlik doğrulama, dolandırıcılık önleme, mevzuat yükümlülükleri gibi gerekçeler, doğru kurgulanırsa birçok veri işleme faaliyeti için açık rıza dışındaki şartlar gündeme gelebilir. Bu durumda rıza tasarımı ayrıca değerlendirilmelidir.

3. Kurulun Kritik Tespitleri (Aydınlatma + Açık Rıza)

Kurul, ihbar dilekçesi, veri sorumlusunun savunması ve ilgili mevzuat hükümlerini birlikte değerlendirerek iki ana eksende kritik tespitler yapmıştır: (i) aydınlatma metninin mevzuata uygunluğu, (ii) açık rızanın hizmet şartına bağlanıp bağlanmadığı ve rızanın geçerliliği.

A) Aydınlatma Metnine İlişkin Tespitler

Hukuki sebep belirsizliği: “Hukuki sebep” başlığı altında KVKK m.5/m.6’daki hangi işleme şartına dayanıldığı açıkça gösterilmemesi, uyumsuzluk riski yaratır.
Muğlak aktarım ifadeleri: “Sigortacılık ve sair mevzuat” gibi genel ibarelerin; aktarımın hangi mevzuata dayanarak yapıldığını açıkça belirtmemesi nedeniyle şeffaflık zafiyeti doğurabilir.
Metinlerin güncelliği: Aydınlatmada yer alan kurum/kuruluş isimlerinin güncel olmaması, aydınlatmanın doğruluk/güncellik beklentisini zedeleyebilir.
Aydınlatma ve rıza tek kutuda: Tek bir kutucukla hem “aydınlatmayı okudum/kabul ediyorum” hem de “açık rıza veriyorum” kurgusu, süreçlerin ayrıştırılması gerekliliğiyle çelişir.

B) Açık Rızanın Niteliği ve “Hizmete Bağlama” Tartışması

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Kurul değerlendirmesinde; açık rızanın genel nitelikte olamayacağı, açık uçlu veri işleme faaliyetleri için rıza alınamayacağı, ayrıca taraflar arasında güç dengesizliği varsa özgür iradenin daha dikkatle ele alınması gerektiği vurgulanmıştır.

Bununla birlikte kararda; ilgili dijital uygulamanın kullanımında talep edilen verilerin, sözleşmenin kurulması/ifası ile bağlantılı bir işleme şartı kapsamında değerlendirilebileceği ve bu yönüyle “hizmetin açık rızaya şart koşulmasından söz edilemeyebileceği” yönünde bir değerlendirme de yer almıştır. Ancak aynı uygulamada açık rıza alınması ve aydınlatma ile rızanın iç içe geçirilmesi, veri sorumlusunun hukuki sebebi net ifade etme yükümlülüğünü daha da kritik hale getirmiştir.

Kararın En Stratejik Mesajı

Eğer veri işleme faaliyeti KVKK m.5/2 veya m.6 kapsamındaki açık rıza dışındaki bir şartla yürütülebiliyorsa, buna rağmen açık rıza alınması; aldatıcı veya hakkın kötüye kullanımı niteliğinde görülebilir ve bu durum KVKK m.4’teki “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık riski doğurabilir.

2021/389 açık rıza aydınlatma yükümlülüğü hukuki sebep tek kutucuk onay dürüstlük ilkesi

4. Hukuki Çerçeve: KVKK m.4, m.5, m.10 ve Tebliğ

Karar özeti; özellikle aşağıdaki düzenlemelerin birlikte değerlendirilmesiyle şekillenmiştir:

KVKK m.10 (Aydınlatma yükümlülüğü): Veri sorumlusunun, veri elde edilirken ilgili kişiyi belirli unsurlarla bilgilendirmesi gerekir.
Aydınlatma Tebliği: Aydınlatmanın kapsamı ve usulü; ayrıca aydınlatma ile açık rızanın birbirinden ayrıştırılması yaklaşımı.
KVKK m.5 (Kişisel verilerin işlenme şartları): Açık rıza kural; m.5/2’deki şartlar mevcutsa rıza aranmaksızın işleme mümkündür.
KVKK m.4 (Genel ilkeler): Hukuka ve dürüstlük kurallarına uygunluk, amaçla bağlantılı-sınırlı-ölçülü olma, süreyle sınırlılık vb.

Sigorta/BES Özelinde Pratik Risk Noktaları

Sigorta ve BES süreçlerinde; sözleşmesel yükümlülükler, mevzuat gereği saklama/raporlama, fraud yönetimi ve kimlik doğrulama gibi süreçler, veri işleme faaliyetlerinin hukuki dayanağını çoğu zaman “açık rıza” dışına taşıyabilir. Bu durumda “genel rıza” yaklaşımı yerine; işleme faaliyetini doğru şartla gerekçelendirme ve yalnızca gerçekten rıza gerektiren kısımlar için rıza alma, uyumun daha sağlıklı yönetilmesini sağlar.

Kurumsal kontrol: Aydınlatma metninde “hukuki sebep” ifadesi mutlaka KVKK m.5/m.6’daki şart(lar)la eşleştirilerek yazılmalı; “sair mevzuat” gibi muğlak ibareler yerine aktarımın dayanağı ve alıcı grupları netleştirilmelidir.

5. Sigorta/BES Dijital Kanallarda Uyum Yol Haritası (Uygulanabilir Kontrol Listesi)

Aşağıdaki adımlar; sigorta ve BES online işlemlerinde (web/mobil) “onay kutucuğu tasarımı”, aydınlatma/rıza ayrımı ve hukuki sebep netliği açısından 2021/389 kararında öne çıkan riskleri azaltmaya yönelik pratik bir çerçeve sunar.

1) İşleme Faaliyetlerini Haritalayın

Dijital giriş/kimlik doğrulama, poliçe görüntüleme, hasar/tazminat, bildirimler ve destek süreçlerini ayrı ayrı listeleyin.
Her süreç için veri kategorisi, amaç, saklama süresi, alıcı grupları ve hukuki sebep eşleştirmesi yapın.
Özel nitelikli veri (örn. sağlık) geçen adımlarda ayrı risk değerlendirmesi uygulayın.

2) Aydınlatma Metnini Tebliğe Uyumlu Hale Getirin

Hukuki sebebi, KVKK m.5/m.6’daki işleme şartlarına açıkça bağlayın (genel ifadelerden kaçının).
“Sair mevzuat” gibi muğlak aktarım ifadelerini netleştirin; alıcı gruplarını ve aktarım amaçlarını güncel tutun.
Metin güncelliği için periyodik gözden geçirme takvimi oluşturun (versiyonlama + yürürlük tarihi).

3) Açık Rıza Mekanizmasını Ayrıştırın ve Sınırlayın

Aydınlatma kabulü ile açık rıza beyanını aynı kutucukta toplamayın.
Rıza gerekiyorsa; rızayı belirli konuya özgü ve granüler (kategori bazlı) tasarlayın.
Rızanın geri alınması ve tercih yönetimi için erişilebilir bir mekanizma kurun (panel/hesap ayarları).

4) “Hizmete Bağlama” Algısını Yönetin

Rıza gerektirmeyen zorunlu işlemler için rıza istemeyin; rıza istenecekse hangi hizmetin hangi kısmı için istendiğini açıkça belirtin.
Rıza verilmediğinde kullanıcıya “hiç işlem yaptırtmama” kurgusu oluşturulacaksa, bunun hukuki gerekçesini ve alternatif kanalları kurumsal olarak değerlendirin.
Kullanıcı arayüzünde yanıltıcı/tek seçenekli tasarımlardan kaçının (şeffaf ve anlaşılır dil).

5) İspat ve Denetlenebilirlik

Rıza kayıtlarını zaman damgası, kanal (web/mobil), metin versiyonu ve kullanıcı aksiyonu ile birlikte saklayın.
Aydınlatma metninin ilgili kişiye sunulduğunu ve erişilebilir olduğunu gösterecek kayıt/kanıt mekanizması oluşturun.
Çağrı merkezi ve acente kanallarında da aynı standartta aydınlatma/tercih süreçlerini uyumlu hale getirin.

GEO/operasyon notu: Türkiye genelinde geniş müşteri kitlesi olan finans kuruluşlarında, dijital kanal tasarımındaki küçük bir uyumsuzluk çok sayıda ilgili kişiyi etkileyebilir. Bu nedenle metin/süreç revizyonları yalnızca “hukuk metni” olarak değil; ürün tasarımı + UX + bilgi güvenliği bileşenleriyle birlikte yönetilmelidir.

sigorta KVKK uyum BES online işlemler rıza tasarımı aydınlatma tebliği hukuki sebep 250.000 TL ceza

6. Sık Sorulan Sorular (SSS)

“Aydınlatma metnini okudum” ile “açık rıza veriyorum” aynı şey mi?

Değildir. Aydınlatma, veri sorumlusunun bilgilendirme yükümlülüğüdür; açık rıza ise belirli bir veri işleme faaliyeti için ilgili kişinin irade beyanıdır. Süreçler ayrı ayrı tasarlanmalı ve ispatlanabilir olmalıdır.

Hukuki sebep olarak “KVKK ve sair mevzuat” yazmak yeterli mi?

Uyum açısından yeterli kabul edilmez. “Hukuki sebep”, KVKK m.5/m.6’daki hangi işleme şartına dayanıldığını ifade eder ve aydınlatmada açıkça gösterilmelidir.

Açık rıza dışındaki şart varken rıza almak neden riskli?

Çünkü ilgili kişiye “rıza vermezsen hizmet alamazsın” algısı oluşabilir. Ayrıca rızaya gerek yokken rızaya dayanmak, dürüstlük ilkesine aykırılık ve aldatıcılık değerlendirmesine konu olabilir.

Online işlemlerde kimlik doğrulama için hangi yaklaşım benimsenmeli?

Kimlik doğrulama, çoğu zaman hizmetin güvenli sunumu ve sözleşmenin ifası ile bağlantılıdır. Burada esas olan; veri minimizasyonu ve amaçla bağlantılı-sınırlı-ölçülü işlemeyi sağlamaktır.

Sağlık verisi geçiyorsa süreç nasıl etkilenir?

Sağlık verisi özel nitelikli veri kapsamında değerlendirilebileceğinden, işleme şartları, erişim kontrolleri, saklama ve aktarım mekanizmaları daha sıkı ele alınmalıdır. Metin ve süreç tasarımı kuruma özel risk analizi ile desteklenmelidir.

Kurumsal olarak en hızlı düzeltme adımı nedir?

(1) Aydınlatma ve açık rıza kutucuklarını ayrıştırmak, (2) aydınlatmada hukuki sebebi KVKK m.5/m.6 ile netleştirmek, (3) muğlak aktarım ifadelerini ve alıcı gruplarını güncellemek; pratikte en hızlı uyum kazanımı sağlar.