Açık rıza nedir ve hangi şartları taşımalıdır?

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan olumlu onay beyanıdır. Uygulamada rıza metni belirli/ayrıştırılmış olmalı, ilgili kişi aydınlatılmalı ve rıza herhangi bir baskı/şarta bağlanmadan verilmelidir.

Açık rıza istenildiği zaman geri alınabilir mi?

KVKK’da açık rızanın geri alınacağı ana ilişkin sınırlayıcı bir hüküm bulunmaz. Açık rıza, kişiye sıkı sıkıya bağlı bir hak olduğundan ilgili kişi istediği zaman rızasını geri çekebilir. Rızanın geri çekilmesi ileriye dönük sonuç doğurur.

Açık rızanın geri çekilmesi veri sorumlusunu nasıl etkiler?

Rızaya dayalı veri işleme veya aktarım faaliyetleri, geri çekim beyanının veri sorumlusuna ulaşmasından itibaren durdurulmalıdır. İlgili veriler KVKK ve silme-yok etme- anonimleştirme düzenlemeleri kapsamında uygun yöntemle imha edilmelidir.

Açık Rıza Nedir? KVKK’da Açık Rızanın Geri Alınması, Şartları ve Uygulama Rehberi

KVKK · Açık Rıza · Rıza Yönetimi · Uyum

Açık Rıza Nedir? KVKK’da Açık Rızanın Geri Alınması (Geri Çekilmesi) Nasıl Yönetilir?

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan olumlu onay beyanıdır. 6698 sayılı KVKK çerçevesinde, kişisel verilerin işlenmesi ve yurt içi/yurt dışı üçüncü kişilerle paylaşılması kural olarak ilgili kişinin açık rızasına dayanamaz; ancak mevzuatta yer alan diğer işleme şartları da mevcut olabilir. Özel nitelikli kişisel veriler bakımından ise açık rıza gerektiren haller daha hassastır ve süreç tasarımı daha sıkı yönetim gerektirir.

Bu rehberde; açık rızanın hukuki niteliğini, rıza geri çekme hakkının kapsamını, KVKK’da açık rızanın geri alınmasına ilişkin uygulama esaslarını, GDPR ile karşılaştırmalı olarak “kolay geri çekim” ilkesini ve işletmeler için rıza yönetiminde dikkat edilmesi gereken teknik ve idari adımları ele alıyoruz.

Açık Rıza Nedir? Rıza Yönetimini Nasıl Kurarsınız?

İçindekiler 1. Açık Rıza Nedir? Temel İlkeler 2. Açık Rıza Ne Zaman Gerekir? (Doğru Konumlandırma) 3. Açık Rızanın Geri Çekilmesi: Hak, Usul ve Etki 4. Rıza Yönetimi Mimarisinin Kurulması (Kurumsal Model) 5. Uygulanabilir Süreç ve Kontrol Adımları 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Açık rıza: Belirli + bilgilendirilmiş + özgür iradeye dayanan olumlu beyan.
Geri çekim: Kişiye sıkı sıkıya bağlı haktır; istenildiği zaman geri alınabilir ve ileriye dönük etki doğurur.
Kolaylık ilkesi: Rıza nasıl alındıysa geri çekim de en az o kadar kolay olmalıdır.
Operasyonel gereklilik: Rızaya dayalı işlemenin derhal durdurulması, imha/anonimleştirme ve kayıt altına alma.

En kritik hata: İşleme şartı mevcutken açık rıza “yedek” gibi kullanmak. Bu durum, rıza geri çekildiğinde operasyonu zora sokabilir.

Açık Rıza Rıza Geri Çekme KVKK Uyum

Not: Kurumunuza özgü veri işleme faaliyetleri (ör. pazarlama, profil çıkarma, üçüncü taraf aktarımı, özel nitelikli veri süreçleri) dikkate alınmadan rıza metni ve geri çekim mekanizması tasarlamak, uyum riskini artırabilir. Risk bazlı yaklaşım önerilir.

1. Açık Rıza Nedir? Temel İlkeler

Açık rıza; ilgili kişinin kişisel verilerinin işlenmesine ilişkin aktif ve olumlu irade açıklamasıdır. Uygulamada açık rızanın geçerliliği, yalnızca metin varlığıyla değil; rızanın belirli, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmasıyla değerlendirilir.

Açık rızanın “belirli” olması; rızanın kapsamının muğlak bırakılmaması, amaçların ayrıştırılması ve ilgili kişinin hangi faaliyet(ler)e onay verdiğini net şekilde anlayabilmesi anlamına gelir. “Bilgilendirmeye dayalı” olması ise; aydınlatma yükümlülüğü çerçevesinde ilgili kişinin veri işleme faaliyetinin temel unsurları hakkında önceden bilgilendirilmesini gerektirir. “Özgür irade” unsuru da rızanın herhangi bir zorunluluğa veya hizmet şartına bağlanmamasını, rıza vermemenin cezalandırılmamasını ifade eder.

Özel Nitelikli Kişisel Verilerde Açık Rıza Neden Daha Kritik?

Özel nitelikli kişisel veriler; işlendiğinde ilgili kişi açısından daha yüksek risk doğurabileceğinden, bu veriler için işleme şartlarının ve güvenlik tedbirlerinin daha sıkı yönetilmesi beklenir. Bu nedenle özel nitelikli veri süreçlerinde açık rıza gerektiren hallerde; rızanın kapsamı, aktarım kanalları, saklama süreleri ve erişim yetkileri ayrıca netleştirilmelidir.

Kurumsal not: Açık rıza; hukuki uygunluk sebebi olarak “otomatik” tercih edilmemelidir. Öncelikle işleme faaliyeti için açık rıza dışında bir işleme şartı bulunup bulunmadığı değerlendirilmelidir.

2. Açık Rıza Ne Zaman Gerekir? (Doğru Konumlandırma)

KVKK kapsamında kişisel verilerin açık rıza olmaksızın işlenebileceği durumlar da bulunur. Bu nedenle “her işlem için açık rıza” yaklaşımı, uyum tasarımında yanlış konumlandırma yaratabilir. Doğru yaklaşım; her bir veri işleme faaliyeti için hukuki sebebi envanter üzerinden belirlemek ve yalnızca açık rıza gerektiren faaliyetlerde açık rıza mekanizmasını işletmektir.

Açık Rıza Gerektiren Alanlar Nerede Yoğunlaşır?

Uygulamada açık rıza ihtiyacı çoğunlukla; pazarlama amaçlı iletişim, profil çıkarma/segmentasyon, üçüncü taraflarla paylaşımlar, bazı çerez türleri ve özel nitelikli veri süreçlerinde ortaya çıkar. Bu nedenle açık rıza yönetimi; pazarlama, satış, insan kaynakları, bilgi teknolojileri ve hukuk uyum ekiplerinin ortak çalışmasını gerektiren çok paydaşlı bir süreçtir.

Veri Envanteri ve Hukuki Tetkik Neden Şart?

Açık rızanın hangi faaliyetler için zorunlu olduğunu saptamak amacıyla veri sorumlusu tarafından veri işleme envanteri oluşturulmalı; her faaliyet için amaç, veri kategorisi, alıcı grupları, saklama süresi ve hukuki sebep belirlenmelidir. Eğer veri işleme faaliyeti açık rıza dışındaki bir işleme şartına dayanıyorsa, aynı faaliyet için alınmış açık rızanın geri çekilmesi tek başına ilgili faaliyeti durdurmayabilir; ancak burada şeffaf iletişim ve doğru bilgilendirme kritik önemdedir.

Uygulama ipucu: Açık rıza “yedek hukuki sebep” gibi kullanıldığında, ilgili kişi rızasını geri çektiğinde süreçler kilitlenebilir. Bu nedenle envanter bazlı hukuki sebep matrisi oluşturulması önerilir.

3. Açık Rızanın Geri Çekilmesi: Hak, Usul ve Etki

KVKK’da açık rızanın ne zaman geri çekilebileceğine ilişkin sınırlayıcı bir hüküm bulunmaz. Açık rıza, kişiye sıkı sıkıya bağlı bir hak niteliği taşıdığından, ilgili kişi istediği zaman rızasını geri çekebilir. Bu kapsamda veri sorumlusunun, aydınlatma yükümlülüğü çerçevesinde ilgili kişiyi rıza geri çekme hakkı ve yöntemi hakkında bilgilendirmesi gerekir.

GDPR Perspektifi: “Rızayı Vermek Kadar Kolay Geri Çekmek”

KVKK’da bu konuda açık hüküm bulunmamakla birlikte, yol gösterici nitelikteki GDPR yaklaşımı “kolaylık” ilkesine vurgu yapar: rıza verme nasıl gerçekleşiyorsa, geri çekme de en az o kadar kolay olmalıdır. Örneğin; internet sitesi veya mobil uygulamada tek tıkla rıza alınıyorsa, geri çekim de benzer kolaylıkla aynı kanaldan yapılabilmelidir. İlgili kişiden faks/KEP gibi daha ağır yöntemler talep edilmesi, iyi uygulama standartlarıyla bağdaşmayabilir.

Biçim Şartı Var mı? Hangi Kanallardan Geri Çekilebilir?

Açık rızanın verilmesinde olduğu gibi geri çekilmesinde de tek bir biçim şartı bulunmaz. Yazılı, sözlü veya elektronik ortamda; kuşkuya yer vermeyecek şekilde rıza geri çekilebilir. Burada kritik olan; talebin ilgili kişiden geldiğinin doğrulanması ve işlemin kayıt altına alınmasıdır.

Ceza, Ücret veya Hizmet Kısıtı Uygulanabilir mi?

İlgili kişi açık rızasını zarara veya cezaya uğratılmaksızın geri çekebilmelidir. Bu çerçevede rıza geri çekimi için ücret talep edilmesi, sırf rıza geri çekildi diye hizmetin tamamen sonlandırılması veya “daha düşük nitelikli hizmet” dayatılması, rızanın özgür irade unsurunu tartışmalı hale getirebilir. Ancak işleme faaliyeti gerçekten açık rızaya dayanıyorsa ve rıza geri çekildiğinde hizmetin teknik olarak sürdürülemeyeceği durumlarda, veri sorumlusu bu gerçeği baştan şeffaf şekilde açıklamalıdır.

Hukuki Etki: Geri Çekim İleriye Dönüktür

Açık rızanın geri çekilmesi ileriye dönük sonuç doğurur. Bu nedenle geri çekim işleminden önce rızaya dayalı olarak yürütülen işleme faaliyetlerinin hukuka uygunluğu, kural olarak etkilenmez. Ancak geri çekim beyanının veri sorumlusuna ulaştığı andan itibaren; rızaya dayalı veri işleme ve/veya aktarım faaliyetleri derhal durdurulmalı, rızaya bağlı veriler için uygun imha/anonimleştirme süreci işletilmelidir.

Operasyonel zorunluluk: Geri çekim taleplerinin işlendiği tarihler, uygulanan aksiyonlar, durdurulan süreçler ve imha yöntemleri kayıt altına alınmalı; denetlenebilirlik ve hesap verebilirlik sağlanmalıdır.

4. Rıza Yönetimi Mimarisinin Kurulması (Kurumsal Model)

Açık rıza yönetimi; tek bir metinden ibaret değil, uçtan uca süreç tasarımıdır. Kurumsal düzeyde sürdürülebilir bir rıza yönetimi mimarisi için; rıza toplama kanalları (web, mobil, çağrı merkezi, fiziksel formlar), rıza kayıt mekanizması, geri çekim kanalları, kimlik doğrulama ve “rızaya bağlı işleme” süreçlerinin teknik olarak ayrıştırılması gerekir.

Önerilen Mimari Bileşenler

Rıza matrisi: Amaç bazlı rıza kırılımları (pazarlama, kampanya, 3. taraf aktarımı, profil çıkarma vb.)
Kayıt ve ispat: Rızanın alındığı tarih/saat, kanal, metin versiyonu, işlem logları
Geri çekim akışı: Tek tık / tek adım prensibi, doğrulama ve otomatik tetiklenen durdurma mekanizması
Entegrasyon: CRM, e-posta/SMS servisleri, çağrı merkezi, üyelik sistemleri ve çerez yönetimiyle uyum
Kontrol ve denetim: Periyodik kontrol listeleri, örneklem denetimler ve raporlama

Çocuklar ve Rıza: Uygulamada Dikkat Edilecek Hususlar

KVKK’da çocukların rıza süreçlerine ilişkin özel bir yaş eşiği düzenlemesi yer almadığından, uygulamada velayet/vasi ilişkisi ve ayırt etme gücü gibi unsurlar önem kazanır. Çocuklara ilişkin veri işleme süreçlerinde; doğrulama, bilgilendirme, kayıt ve gerektiğinde veli/vasi onayı gibi ek kontroller tasarlanmalıdır.

Kurumsal yaklaşım: Rıza geri çekildiğinde “hangi sistemlerde hangi kampanyalar duracak, hangi kayıtlar imha edilecek?” sorusuna cevap veren teknik plan, rıza yönetiminin sürdürülebilirliğini belirler.

5. Açık Rıza ve Geri Çekim Süreci Nasıl Tasarlanır? (Uygulanabilir Adımlar)

Aşağıdaki adımlar, açık rıza gerektiren faaliyetler için hem uyumu hem de operasyonel sürekliliği güçlendiren pratik bir çerçeve sunar:

1. Veri Envanteri Üzerinden “Rıza Gereken” Faaliyetleri Ayrıştırın

Her faaliyet için amaç, veri kategorisi, alıcı grubu, saklama süresi ve hukuki sebebi netleştirin. Açık rıza gerekmeyen faaliyetlerde, açık rızayı hukuki sebep olarak konumlandırmaktan kaçının.

2. Amaç Bazlı ve Ayrıştırılmış Rıza Tasarlayın

Tek bir onay kutusuyla tüm süreçleri kapsamak yerine; pazarlama, üçüncü taraf aktarımı, profil çıkarma gibi amaçları ayrı ayrı sunun. Bu yaklaşım, rızanın “belirli” olma şartını güçlendirir.

3. Geri Çekimi En Az Rıza Vermek Kadar Kolaylaştırın

Web/mobilde “tek tık” geri çekim; çağrı merkezinde kısa doğrulama adımı; e-posta/SMS’de hızlı opt-out gibi kanallar kurgulayın. İlgili kişiyi faks/KEP gibi daha zorlayıcı yöntemlere yönlendirmekten kaçının.

4. Rızaya Dayalı İşlemeyi Otomatik Olarak Durdurun

Geri çekim beyanı ulaştığında; pazarlama listeleri, kampanya tetikleri, üçüncü taraf aktarımları ve ilgili otomasyonlar derhal durdurulmalı, ilgili kişi “pasif” duruma alınarak yeniden hedefleme engellenmelidir.

5. Silme / Yok Etme / Anonimleştirme Sürecini İşletin

Rızaya dayalı işlenen veriler için; KVKK ve silme-yok etme-anonimleştirme düzenlemeleri kapsamında uygun imha yöntemi belirlenmeli, imha kaydı oluşturulmalı ve gerektiğinde ispatlanabilirlik sağlanmalıdır.

6. Kayıt, Versiyon ve İspat Mekanizması Kurun

Rıza metninin versiyonunu, alınan onayın zaman damgasını, kanal bilgisini ve değişiklik geçmişini saklayın. Bu sayede denetimlerde ve uyuşmazlıklarda hesap verebilirlik güçlenir.

7. Denetim ve Sürekli İyileştirme Döngüsü Oluşturun

Periyodik kontrol listeleriyle geri çekim akışını test edin (örneklem). Geri çekim sonrası otomasyonların gerçekten durduğunu, üçüncü taraf aktarımlarının kesildiğini ve imha kayıtlarının oluştuğunu doğrulayın.

açık rıza geri alma rıza yönetimi KVKK uyum GDPR karşılaştırma silme yok etme anonimleştirme İstanbul KVKK

6. Sık Sorulan Sorular (SSS)

Açık rıza geri çekildiğinde daha önceki işlemler geçersiz mi olur?

Hayır. Açık rızanın geri çekilmesi ileriye dönük sonuç doğurur. Geri çekimden önce rızaya dayalı yapılan işlemler kural olarak hukuka uygun kabul edilir; ancak geri çekim beyanı ulaştıktan sonra rızaya dayalı işleme/aktarım derhal durdurulmalıdır.

Rızayı geri çekmek için yazılı dilekçe şart mı?

Hayır. Geri çekim için tek bir biçim şartı bulunmaz. Yazılı, sözlü veya elektronik ortamda, kuşkuya yer vermeyecek şekilde rıza geri çekilebilir. Önemli olan talebin doğrulanması ve kayıt altına alınmasıdır.

Tek tıkla rıza alınıyorsa geri çekim de tek tık mı olmalı?

İyi uygulama standardı bu yöndedir. Rıza nasıl kolay alınıyorsa, geri çekim de en az o kadar kolay olmalıdır. Bu yaklaşım GDPR’de açıkça vurgulanır ve KVKK uyumunda da risk azaltıcı bir yöntem olarak değerlendirilir.

Rıza geri çekildi diye hizmeti tamamen kesebilir miyim?

Rıza vermemenin veya geri çekmenin cezalandırılması rızanın özgür irade unsurunu zayıflatabilir. Ancak hizmetin sunumu gerçekten yalnızca rızaya dayalı veriye bağlıysa, bu durum baştan şeffaf biçimde açıklanmalı ve alternatif süreçler değerlendirilmelidir.

Açık rıza gerekmeyen bir işlem için alınan rıza geri çekilirse ne olur?

Eğer veri işleme faaliyeti açık rıza dışındaki bir işleme şartına dayanıyorsa, yalnızca rızanın geri çekilmesi o faaliyeti otomatik olarak durdurmayabilir. Bu nedenle en başta hukuki sebebin doğru belirlenmesi ve ilgili kişiye doğru bilgilendirme yapılması önemlidir.

Çocuklarda rıza geri çekimi nasıl yönetilmeli?

KVKK’da çocuklara ilişkin özel bir yaş eşiği düzenlemesi bulunmadığından; veli/vasi ilişkisi ve ayırt etme gücü gibi unsurlar dikkate alınır. Uygulamada veli/vasi doğrulaması, kayıt ve onay akışlarıyla risk azaltıcı kontroller tasarlanması önerilir.

İstanbul / Türkiye geneli uygulama notu: Açık rıza ve geri çekim mekanizması; sadece metin değil, sistem entegrasyonu ve süreç yönetimi gerektirir. Kurumun CRM, pazarlama otomasyonları, çağrı merkezi ve web/mobil kanallarıyla uyumlu bir rıza mimarisi kurmak, denetlenebilirliği güçlendirir.