Açık Rıza Nedir? KVKK’da Şartları, Opt-in/Opt-out ve Çerez Açık Rızası Rehberi

KVKK · Açık Rıza · Çerez Uyum Yönetimi

Açık Rıza Nedir? KVKK’ya Göre Geçerli Açık Rızanın Şartları

Açık rıza; 6698 sayılı Kanun kapsamında, kişisel verilerin işlenmesinde kullanılabilen hukuka uygunluk sebeplerinden biridir. Kurumsal uygulamada açık rıza; sadece bir “onay kutusu” değil, kanıtlanabilir, yönetilebilir ve geri alınabilir bir uyum sürecidir.

Bu rehberde; açık rızanın tanımı, belirli konu – bilgilendirme – özgür irade kriterleri, opt-in/opt-out farkı, çerez açık rızası (cookie consent) ve rıza yönetim platformları (CMP) ile sahada uygulanabilir adımlar kurumsal bakışla ele alınmaktadır.

Açık Rıza Nedir? Uygulamada Nasıl Yönetilir?

İçindekiler 1. Açık Rıza Nedir? 2. Geçerli Açık Rızanın 3 Temel Şartı 3. Opt-in / Opt-out ve Rıza Yorgunluğu 4. Çerez Açık Rızası ve CMP Yaklaşımı 5. Kurumsal Uygulama: Süreç, Kayıt ve Denetim 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Açık rıza: Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilen rızadır.
Opt-in: Kullanıcının aktif eylemiyle (varsayılan kapalı) izin vermesi.
Opt-out: Varsayılan açık gelen izinlerin sonradan kapatılması (uyum açısından risklidir).
Çerez rızası: Zorunlu dışı çerezler için kategorisel ve geri alınabilir onay yönetimi.

Açık rıza, “kolay yol” değildir; yanlış kurgulanırsa geçersiz sayılır ve kurumun ispat yükünü artırır.

KVKK Açık Rıza Çerez Uyum CMP

Not: Açık rıza, her veri işleme faaliyeti için zorunlu değildir. Uygulamada doğru hukuki sebep seçimi, metinlerin kurgusu ve ispat dokümantasyonu birlikte ele alınmalıdır.

1. Açık Rıza Nedir?

6698 sayılı Kanun kapsamında açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza beyanıdır. Kurumsal bakışla açık rıza; veri işleme faaliyetinin kapsamını, amacını, saklama süresini, aktarım ihtimalini ve geri alma yöntemini şeffaf biçimde ortaya koyan bir “uyum mekanizması”dır.

Açık rızanın kritik yönü, yalnızca “alınmış olması” değil; hukuken geçerli ve operasyonel olarak yönetilebilir olmasıdır. Bu nedenle rıza; gerektiğinde denetim, inceleme veya uyuşmazlık süreçlerinde ispatlanabilir kayıt üretmelidir (tarih-saat, kaynak, kapsam, tercih, versiyon vb.).

Açık Rıza Ne Zaman Tercih Edilmelidir?

Açık rıza, özellikle pazarlama/iletişim, kişiselleştirme, davranışsal reklamcılık, zorunlu olmayan çerezler, profil çıkarma gibi faaliyetlerde sık gündeme gelir. Ancak kurumlar açısından temel ilke şudur: “Açık rıza en güvenli seçenek” değildir; doğru seçenek, faaliyetin niteliğine uygun hukuki sebeptir.

Kurumsal kontrol noktası: Açık rızaya dayanıyorsanız; rızanın geri alınması halinde ilgili işlemenin durdurulması, verinin silinmesi/anonimleştirilmesi ve üçüncü taraflara bildirim gibi adımların süreçte tanımlı olması gerekir.

2. Geçerli Açık Rızanın 3 Temel Şartı

Uygulamada açık rızayı “geçerli” yapan üç temel kriter vardır. Bu kriterlerden birinin zayıflaması, rızanın geçersizliğine ve veri işleme faaliyetinin hukuka aykırı kabul edilmesine yol açabilir.

1) Belirli Bir Konuya İlişkin Olma

Rıza, muğlak ve genel ifadelerle değil; belirli amaç ve belirli veri işleme faaliyeti ile sınırlandırılmalıdır. “Her türlü işlemeye onay” gibi kapsamı belirsiz rızalar, pratikte yüksek risk üretir.

2) Bilgilendirmeye Dayanma

Rıza alınmadan önce ilgili kişi; veri sorumlusu kimliği, işleme amaçları, veri kategorileri, aktarım/üçüncü taraflar, saklama süreleri ve haklar gibi temel unsurları anlaşılır şekilde görmelidir. Bu bilgilendirme; kısa metin + detay metne erişim kurgusuyla tasarlanabilir.

3) Özgür İrade ile Açıklanma

Rıza, hizmetin ön koşulu gibi dayatılmamalı; seçenekler kullanıcıyı zorlamayacak biçimde sunulmalıdır. Örneğin; çerez banner’ında “kabul et” var ama “reddet” yoksa, rızanın özgür iradeye dayandığını savunmak güçleşir.

Hukuki Sebep – Uygulama Uyumu

Aşağıdaki tablo, kurumların sahada en sık düştüğü ayrımı netleştirir: rıza “form” değil, “seçim”dir.

Başlık	Uygun Yaklaşım	Yüksek Riskli Yaklaşım
Varsayılan seçim	Opt-in (varsayılan kapalı, kullanıcı aktif seçer)	Opt-out (varsayılan açık, kullanıcı kapatmaya zorlanır)
Rıza kapsamı	Kategori / amaç bazlı (örn. Pazarlama, Analitik)	Tek kutu: “Hepsini kabul et” dışında seçenek yok
Geri alma	Her an erişilebilir ve kolay (aynı kolaylıkta)	Derin menüler, belirsiz adımlar, zor erişim
İspat	Versiyonlu kayıt, zaman damgası, log	“Kabul etti” iddiası var, kayıt yok

3. Opt-in / Opt-out ve “Rıza Yorgunluğu” Yönetimi

Kurumsal web uygulamalarında rıza yönetimi çoğu zaman iki kavram üzerinden yürür: opt-in (kullanıcının bilinçli eylemiyle onay) ve opt-out (varsayılan onayın sonradan geri çekilmesi). Uyum perspektifinde, opt-in yaklaşımı daha güçlü bir ispat ve özgür irade zemini sunar.

Rıza Yorgunluğu Nedir?

Kullanıcının her ziyaretinde aynı rıza talebiyle karşılaşması, karar kalitesini düşürür ve rızanın “özgür irade” boyutunu zayıflatabilir. Bu nedenle, kurumsal tasarımda:

Rıza ekranının makul periyotlarla hatırlatılması,
Kategori bazlı ve anlaşılır seçimlerin sunulması,
“Kabul et / Reddet / Tercihleri Yönet” üçlüsünün dengeli sunulması

önerilir. Buradaki amaç, kullanıcı deneyimini bozmadan uyumu sürdürülebilir kılmaktır.

opt-in opt-out rıza yorgunluğu KVKK uyum

4. Çerez Açık Rızası ve Rıza Yönetim Platformu (CMP) Yaklaşımı

Çerezler; web sitesine giriş yaptığınızda tarayıcı aracılığıyla cihazınıza kaydedilen küçük tanımlama dosyalarıdır. Kurumsal web sitelerinde çerezler; oturum yönetimi, güvenlik, analitik, kişiselleştirme ve pazarlama gibi amaçlarla kullanılır.

Bu çerezlerin bir kısmı “zorunlu” nitelikteyken; analitik, pazarlama ve reklam gibi amaçlarla kullanılan çerezler çoğu senaryoda tercihe bağlı değerlendirilir. Bu noktada kurumlar için kritik gereklilik; kullanıcıya seçim hakkı tanıyan, geri almayı kolaylaştıran ve kayıt altına alan bir rıza yönetim mekanizması kurmaktır.

Çerez Politikasında Bulunması Önerilen Çekirdek Başlıklar

Kullanılan çerezlerin listesi (ad, sağlayıcı, kategori, amaç)
Saklama süreleri (oturum / kalıcı; gün/ay/yıl bazında)
Üçüncü taraflar (analitik/reklam sağlayıcıları vb.)
Rızanın yönetimi (kabul, reddet, tercihleri düzenle, geri alma)
Yurt içi/yurt dışı aktarım ihtimalleri ve çerçevesi

CMP ile “Uygulanabilir” Uyum

Rıza Yönetim Platformu (CMP), kullanıcı tercihlerini kategori bazında toplar, saklar ve site genelinde uygular. Kurumsal kurguda CMP’nin değeri; sadece banner göstermek değil, çalışan etiketleri/skriptleri rıza gelmeden devreye almamak ve tercih değiştiğinde sistemsel olarak uygulamaktır.

Pratik kontrol listesi: (1) Çerez envanteri çıkarın, (2) Zorunlu/tercihe bağlı ayrımını netleştirin, (3) Banner’da “kabul-reddet-düzenle” seçeneklerini dengeleyin, (4) Rıza kaydını versiyonlayın, (5) Geri alma yolunu görünür kılın.

5. Kurumsal Uygulama: Süreç, Kayıt, İspat ve Denetim

Açık rızanın yönetimi, teknik/operasyonel bir “iş akışı” olarak ele alınmalıdır. Aşağıdaki adımlar; özellikle çoklu kanal (web, mobil, çağrı merkezi, fiziksel formlar) çalışan kurumlarda standardizasyon sağlar.

1) Veri İşleme Haritası ve Hukuki Sebep Matrisi

Her veri işleme faaliyeti için amaç, veri kategorisi, alıcı grubu, saklama süresi ve hukuki sebep matrisi oluşturulmalıdır. Açık rıza gerektiren faaliyetler netleşmeden “genel rıza” toplamak, uyum riskini artırır.

2) Rıza Metni Tasarımı

Özet + detay metin (katmanlı bilgilendirme)
Amaç bazlı rıza (pazarlama / analitik / kişiselleştirme)
Hizmetin ön koşulu olarak dayatılmayan seçenek yapısı

3) Kayıt ve İspat (Audit-Ready) Yaklaşım

Rıza kaydında asgari olarak; zaman damgası, kanal (web/mobil), IP/cihaz göstergesi (gerektiği ölçüde), tercih seti, metin versiyonu, kullanıcı aksiyonu ve geri alma kaydı tutulmalıdır. Bu kayıtlar, iç denetim ve olası şikâyet süreçlerinde “savunulabilirlik” sağlar.

4) Geri Alma ve Sonuç Yönetimi

Rıza geri alındığında; ilgili işleme faaliyeti durdurulmalı, çerez/etiketleme akışları güncellenmeli ve gerekiyorsa üçüncü taraflara bildirim süreçleri devreye alınmalıdır. “Geri alındı ama sistem çalışmaya devam etti” senaryosu, en sık görülen uyum açıklarındandır.

rıza kayıtları CMP entegrasyonu kanıtlanabilir uyum çerez banner

6. Sık Sorulan Sorular (SSS)

Açık rıza her zaman gerekli midir?

Hayır. Açık rıza, hukuka uygunluk sebeplerinden yalnızca biridir. Faaliyetin niteliğine göre farklı hukuki sebepler gündeme gelebilir. Kurumsal uygulamada doğru yaklaşım, “en uygun hukuki sebep” seçimi ve bunun süreçlere yansıtılmasıdır.

“Siteyi kullanmaya devam ederek kabul etmiş sayılırsınız” yaklaşımı yeterli mi?

Bu yaklaşım, özellikle tercihe bağlı çerezler ve pazarlama faaliyetlerinde aktif eylem ve özgür irade kriterlerini zayıflatır. Uyum açısından seçenek sunan ve kayıt üreten bir opt-in modeli daha sağlamdır.

Çerez banner’ında hangi butonlar olmalı?

Uygulamada en sağlıklı kurgu; “Kabul Et”, “Reddet” ve “Tercihleri Yönet” seçeneklerinin dengeli biçimde sunulmasıdır. Ayrıca tercihler sonradan kolayca değiştirilebilmelidir.

Rıza geri alındığında ne yapmalıyım?

İlgili işleme faaliyeti durdurulmalı; çerez/etiketleme akışları güncellenmeli; gerekiyorsa ilgili veri setleri silinmeli, anonimleştirilmeli veya saklama süresi politikalarına göre yönetilmelidir. Geri alma süreci “kabul kadar kolay” olmalıdır.

Rıza kayıtlarını ne kadar süre saklamalıyım?

Kurumsal yaklaşım; rıza kaydının saklanmasını, ispat ihtiyacı ve saklama-imha politikalarıyla uyumlu şekilde ele alır. Tek bir “standart süre” yerine, süreç bazlı saklama süreleri belirlenmesi önerilir.

Rıza yönetim platformu (CMP) şart mı?

Büyük ölçekli ve çok etiketli (analytics/ads/pixel) yapılarda CMP, rızayı sadece “göstermeye” değil, teknik olarak uygulamaya yardımcı olur. Basit yapılarda manuel yönetim mümkün olsa da hataya açıktır.