⏱️ Okuma süresi: 12 dk · 📁 Kategori: KVKK & Açık Rıza Yönetimi

KVKK’da Açık Rızanın Geçersiz Olduğu Durumlar: Kurulun Yeni Bakış Açısı

2025 yılı boyunca KVKK Kurulu’nun en sık vurguladığı konu,
“açık rıza ancak gerçekten özgür iradeyle verildiğinde geçerlidir” yaklaşımı oldu.
Kurul, çok sayıda sektörde verilen rızaların aslında hukuken geçerli olmadığını tespit ederek
hem uygulama rehberlerini hem de denetim standartlarını sert biçimde güncelledi.

Bu durumun temel nedeni: Açık rızanın, veri işleme için gerekli olmayan alanlarda yanlış bir “kolay yol” olarak kullanılmaya başlamasıdır.

1. Açık Rızanın Geçersiz Sayıldığı Temel Durumlar

KVKK’ya göre açık rızanın geçerli sayılabilmesi için üç temel kriter bulunur:

• Belirli olmalı
• Bilgilendirmeye dayanmalı
• Özgür iradeyle verilmiş olmalı

Bu üç kriterden biri eksikse rıza → geçersiz.

Kurul’a göre geçersiz sayılan yaygın senaryolar:

• Hizmetin ön şartı olarak rıza sunmak
• Rıza vermeyenin hizmete erişimini kısıtlamak
• Tek bir kutucukla birden fazla işleme onay alma
• Rızayı açık ve anlaşılır olmayan metinlerle istemek
• Rızayı “kayıt olamazsın”, “kullanamazsın” gibi baskı unsurlarıyla zorlamak

2. Kurulun 2024–2025 Karar Örüntüsü: En Çok Hangi Alanlarda Geçersiz Rıza Görüldü?

Kurul’un yakın dönem kararları özellikle üç sektörde yoğunlaştı:

1) Pazarlama & Reklam Süreçleri

• İletişim izinleri ile üyelik/randevu alma süreçlerinin birleştirilmesi
• Kampanya için zorunlu rıza istenmesi
• Toplu rıza kutuları

2) Çerez Politikaları & Dijital Takip

• Analiz ve reklam çerezlerinin varsayılan olarak seçili olması
• “Kabul et” butonunun belirgin, “reddet” seçeneğinin gizli olması
• Tek seçenekli çerez duvarları

3) Çalışan Verileri

• Performans izleme için açık rıza zorunlu tutulması
• Lokasyon/GPS takibi için çalışan rızasının mecburi kılınması
• İşveren–çalışan güç dengesizliği nedeniyle rızanın özgür olmadığı kabulü

3. Zorunluluk – Gönüllülük Kriteri: Kurulun Yeni Yaklaşımı

Açık rızanın en tartışmalı boyutu, “kişinin rıza vermemesi halinde maruz kalacağı sonuç”tur.

Kurulun yeni yıl değerlendirmesinde kullandığı test:

• Rıza verilmezse hizmet sunulabiliyor mu?
• Rıza vermeyen kişi dezavantajlı konuma düşüyor mu?
• Rızanın geri alınması halinde kullanıcı cezalandırılıyor mu?

Bu üç sorudan biri “evet” ise rıza → geçersiz.

Örnekler:

• Kargo firmasında SMS izinleri olmadan gönderi takibi yapamamak → geçersiz rıza
• Bankacılık uygulamasında pazarlama izni olmadan giriş yapılamaması → geçersiz rıza
• Çalışanların GPS takibine rıza vermek zorunda bırakılması → geçersiz rıza

4. Yıl Sonu Değerlendirmesi: En Çok Denetlenen Hatalar

2025 sonunda Kurul’un yayımladığı denetim raporlarında öne çıkan eksiklikler:

• Tek kutuda birden fazla izin isteme (örneğin SMS + e-posta + ticari ileti)
• Çerez banner’ında manipülatif buton yerleşimi
• Zorunlu hizmetlerin rıza şartına bağlanması
• Açık rızanın aydınlatma metni ile karıştırılması
• Rızanın geri alındığında sistemsel olarak uygulanamaması

5. Hangi Durumlarda Açık Rıza Hiçbir Şekilde Kullanılamaz?

1) Çalışan – işveren ilişkisi

• İş ilişkisindeki güç dengesizliği nedeniyle rıza “bağımlı” görülür.

2) Zorunlu hizmet bileşenleri

• Hizmetin verilmesi için zorunlu olan veri işleme → hukuki sebebe dayanmalı

3) Profil oluşturma ve kişiselleştirme

• Kurul, profil oluşturmanın açık rızayla bile sınırlandırılması gerektiği görüşünde

4) Güvenlik izleme

• CCTV, GPS ve ekran izleme işlemleri açık rıza ile değil → meşru menfaat veya kanuni yükümlülükle yapılabilir

6. 2026’ya Hazırlık: İşletmeler Açık Rıza Süreçlerini Nasıl Düzenlemeli?

• Açık rızayı yalnızca “alternatifsiz ve gönüllü” işlemler için kullanmak
• Rıza kutularını işlem bazlı ayırmak (SMS / e-posta / pazarlama / profilleme)
• Rıza geri alındığında sistemde otomatik olarak işlenmesini sağlamak
• Aydınlatma metni + rıza metni ayrımını netleştirmek
• Profil oluşturma süreçlerinde DPIA hazırlamak
• Çerez policy + CMP altyapısını güncellemek

Açık Rıza Uyum Analizi