İnternette karşılaştığınız çerez banner’ları, üyelik formları veya e-bülten kayıtları aslında tek bir kritik sürecin parçasıdır: açık rıza. Ancak birçok işletme, kullanıcıdan “onay aldığını” düşünse de bu onayın gerçekten geçerli olup olmadığı çoğu zaman tartışmalıdır.

Önceden işaretlenmiş kutular, belirsiz ifadeler veya zorunlu kabul mekanizmaları gibi hatalı uygulamalar, KVKK kapsamında açık rızayı geçersiz hale getirebilir. Bu nedenle açık rıza yalnızca teknik bir detay değil; hem hukuki uyumun hem de kullanıcı güveninin temelidir.

Bu rehberde; açık rızanın ne anlama geldiğini, açık rızanın unsurlarını, geçerli bir açık rıza onayı nasıl alınır, doğru bir açık rıza metni nasıl hazırlanır ve kullanıcıların bu rızayı nasıl geri alabileceğini adım adım ele alacağız.

açı krıza nedir


Açık Rıza Nedir?

KVKK kapsamında en çok merak edilen konulardan biri olan açık rıza nedir sorusu, kişisel verilerin hukuka uygun şekilde işlenmesinin temelini oluşturmaktadır. 6698 sayılı Kanun’un 3. maddesine göre açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanır. Bu ifade, gündelik hayatta kullanılan basit “onay” kavramından çok daha kapsamlı ve sıkı şartlara bağlı kabul edilir.

Günlük kullanımda bir kutucuğu işaretlemek ya da bir metni kabul etmek çoğu zaman “onay vermek” olarak görülür, KVKK açısından bu durumun geçerli bir açık rıza sayılabilmesi için belirli kriterleri karşılaması son derece önemlidir. Kullanıcının neye onay verdiğini açıkça bilmesi, bu onayı herhangi bir baskı altında olmadan vermesi ve rızanın belirli bir işlem için alınması gerekir. Bu nedenle “açık rıza ne demek” sorusunun cevabı, yalnızca izin vermek değil; bilinçli ve özgür bir tercih ortaya koymak olarak ifade edilebilir.

KVKK’da açık rıza, kişisel veri işlemenin hukuki dayanaklarından biridir. Ancak burada dikkat edilmesi gereken önemli bir nokta vardır: Açık rıza, veri işleme için tek hukuki şart olarak değerlendirilmez. Kanunda yer alan diğer hukuki sebeplerin (sözleşmenin ifası, hukuki yükümlülük gibi) bulunması halinde kişisel veriler, açık rıza olmadan da işlenebilir.

Açık Rızanın 3 Temel Unsuru Nedir?

KVKK’ya göre bir rızanın “açık rıza” sayılabilmesi için üç temel unsurun birlikte sağlanması son derece önemlidir. Bu unsurlardan biri eksikse, alınan onay hukuken geçerli kabul edilmez. Bu nedenle açık rızanın unsurlarını doğru anlamak, KVKK uyumunun en kritik noktalarındandır. Genel olarak açık rızanın 3 temel unsuru, detayları ile aşağıdaki gibidir:

Belirli Bir Konuya İlişkin Olma

Açık rıza, genel ve sınırsız bir onay şeklinde alınamaz. Kullanıcıdan alınan rıza, mutlaka belirli bir veri işleme faaliyetine yönelik olmalıdır. Bu kapsamda “Tüm verilerimin işlenmesine onay veriyorum.” gibi geniş ve belirsiz ifadeler hukuken geçerli sayılmaz.

Her veri işleme amacı için ayrı rıza alınması söz konusu olabilir. Örneğin bir kullanıcıdan pazarlama iletişimi izni ile çerez kullanımı izni aynı onay altında toplanamaz. Her biri ayrı ve açık şekilde kullanıcıya sunulmalıdır.

Bilgilendirilmeye Dayanma

Açık rızanın geçerli olabilmesi için, mutlaka önceden yapılmış bir aydınlatmaya dayanması gerekir. Kısacası kullanıcı, rıza vermeden önce şu bilgileri açıkça öğrenmiş olmalıdır:

  • Hangi verisi işlenecek
  • Hangi amaçla kullanılacak
  • Kimlerle paylaşılacak
  • Ne kadar süre saklanacak

Bu bilgiler genellikle aydınlatma metni aracılığıyla kullanıcıya aktarılır. Aydınlatma yapılmadan alınan bir rıza, KVKK açısından geçersizdir. Bu nedenle temel prensip “önce aydınlat, sonra rıza al.” olmalıdır.

Özgür İradeyle Açıklanma

Açık rıza, kullanıcının herhangi bir baskı veya zorunluluk olmadan verdiği bir karardır. Eğer kullanıcıya “rıza vermezsen hizmetten yararlanamazsın” gibi bir dayatma yapılırsa, bu rıza özgür iradeye dayanmadığı için geçerli kabul edilmez.

Özellikle iş ilişkilerinde bu konu daha hassas hale gelmiştir. Bir çalışanın işverene verdiği rızanın gerçekten özgür olup olmadığı sorgulanabilir. Bu nedenle bu tür durumlarda açık rıza yerine alternatif hukuki dayanaklar tercih edilmesi son derece önemlidir.

Ayrıca açık rızanın bir diğer önemli özelliği de geri alınabilir olması ile ilişkilidir. Kullanıcı, verdiği rızayı istediği zaman kolayca geri çekebilmelidir. Bu hak baştan tanımlanmalı ve kullanıcıya açıkça belirtilmelidir.

Açık Rıza Hangi Durumlarda Aranmaz?

KVKK’da en sık gözden kaçan ama en kritik konulardan biri açık rızanın her zaman zorunlu olmadığıdır. 6698 sayılı Kanun’un 5/2 maddesinde, açık rıza olmadan da veri işlenebilecek alternatif hukuki şartlar açıkça belirtilmiştir. Bu durum, özellikle web sitesi sahipleri için gereksiz ve hatalı rıza süreçleri kurmanın önüne geçmektedir. Açık rızanın gerekli olmadığı durumlar, örnekleri ile aşağıdaki gibidir:

Kanunlarda açıkça öngörülmesi

Eğer veri işleme bir kanunda açıkça belirtilmişse rıza aranmaz.

**Örnek: **Vergi mevzuatı gereği fatura bilgilerini saklamak için açık rızaya gerek yoktur.

Fiili imkânsızlık nedeniyle rıza açıklayamayan kişinin korunması

Kişi rıza veremeyecek durumdaysa ve hayati bir durum söz konusuysa veri işlenebilir.

**Örnek: **Acil durumda bilinçsiz bir hastanın sağlık verilerinin işlenmesi için açık rıza gerekmez.

Sözleşmenin kurulması veya ifası için zorunluluk

Bir hizmetin sağlanabilmesi için veri işlenmesi gerekiyorsa rıza aranmamaktadır.

Örnek: E-ticaret siparişi için adres ve telefon almakta açık rızaya gerek olmaz.

Hukuki yükümlülüğün yerine getirilmesi

İşletmenin yasal sorumlulukları kapsamında veri işlenmesi gerekiyorsa rıza aranmaz.

**Örnek: **Çalışan verilerinin SGK’ya bildirilmesi için açık rızaya gerek yoktur.

İlgili kişinin kendisi tarafından alenileştirilmiş olması

Kişi verisini kendisi kamuya açtıysa belirli sınırlar içinde işlenebilir.

Örnek: Kullanıcının herkese açık LinkedIn bilgisini incelemek için açık rızaya gerek yoktur.

Bir hakkın tesisi, kullanılması veya korunması için zorunluluk

Hukuki bir hakkı korumak için veri işlenmesi gerekiyorsa rıza aranmaz.

**Örnek: **Bir uyuşmazlıkta sipariş kayıtlarını saklamak için açık rıza gerek olmaz.

Veri sorumlusunun meşru menfaati

İşletmenin meşru bir menfaati varsa ve bu durum kullanıcının temel haklarına zarar vermiyorsa veri işlenebilir.

**Örnek: **Site güvenliği için log kayıtlarının tutulmasında açık rızaya gerek yoktur.

Açık Rıza Nasıl Alınır? Geçerli Onay için 7 Kural

Açık rızanın geçerli olması, yalnızca kullanıcıdan “kabul ediyorum” demesini istemekle sağlanmamaktadır. KVKK’ya uygun bir açık rıza onayı, doğru kurgulanmış bir süreç gerektirir. Aşağıdaki 7 kural, hem hukuki geçerliliği sağlar hem de kullanıcı güvenini artırır:

Aydınlatma metnini önce sunun

Kullanıcı, rıza vermeden önce mutlaka bilgilendirilmesi gerekir. “Önce aydınlat, sonra rıza al” prensibi temel ilkedir.

Onay kutucuğu önceden işaretli OLMAMALI

Kullanıcının aktif bir eylemi olmadan alınan onaylar geçersiz kabul edilmektedir. Pasif rıza (örneğin önceden seçili kutular) KVKK’ya uygun değildir.

Her amaç için ayrı onay alın

Pazarlama, çerez kullanımı ve üçüncü taraf veri paylaşımı gibi farklı işlemler için tek bir rıza yeterli olmaz. Her biri için ayrı ve net onay sunulması gerekir.

“Reddet” seçeneği “Kabul Et” kadar görünür olmalı

Kullanıcıya gerçek bir tercih sunulması önemlidir. Sadece “kabul et” butonunun öne çıkarılması, rızanın özgür iradeyle verilmediği anlamına gelir.

Rıza geri alma yolunu baştan gösterin

Kullanıcı, verdiği onayı dilediği zaman kolayca geri alabilmelidir. Bu seçenek gizli değil, açık ve erişilebilir olmalıdır.

Onayı kayıt altına alın

Alınan rızalar; tarih, saat, IP bilgisi ve hangi metin versiyonuna onay verildiği ile birlikte saklanmalıdır. Bu kayıtlar olası denetimlerde kritik önem taşır.

Periyodik olarak rızayı yenileyin

Uzun süreli rızalar geçerliliğini kaybedebilir. Bu nedenle belirli aralıklarla kullanıcıdan yeniden onay alınması gerekir.

Açık rıza süreçlerinin doğru yönetilmesi; kullanıcı onaylarının kayıt altına alınması, tercihlerin güncellenebilmesi ve rızanın gerektiğinde geri alınabilmesi gibi birçok operasyonel süreci beraberinde getirir. Bu noktada Kolay Onay, kullanıcı onaylarını daha sistemli şekilde yönetmeye yardımcı olabilir. Böylece hem KVKK uyum süreci kolaylaşır hem de kullanıcı deneyimi daha şeffaf ve sürdürülebilir hale gelir.

Açık Rıza Metni Nasıl Hazırlanır? Aydınlatma Metninden Farkı Nedir?

Doğru hazırlanmış bir açık rıza metni, yalnızca yasal bir gerekliliği yerine getirmekle kalmaz; aynı zamanda kullanıcıya neye onay verdiğini açıkça belirtir. Bunun yanı sıra birçok işletme, internette bulduğu bir açık rıza metni örneğini aynen kullanarak hata yapabilir. Oysa her metin, mutlaka sitenizin veri işleme süreçlerine göre özelleştirilmiş olmalıdır. Bir açık rıza metninde bulunması gerekenler şu şekilde sıralanabilir:

  • Veri sorumlusunun kimliği (şirket unvanı ve iletişim bilgileri)
  • İşlenecek kişisel veri kategorileri (örneğin e-posta, telefon, IP bilgisi)
  • İşleme amacı (belirli ve net şekilde ifade edilmeli)
  • Saklama süresi (verilerin ne kadar süre tutulacağı)
  • Aktarım bilgisi (varsa kimlere ve hangi amaçla aktarılacağı)
  • Geri alma hakkı ve yöntemi (kullanıcı onayını nasıl iptal edebilir)
  • Özgür irade beyanı (kullanıcının rızayı baskı olmadan verdiğini belirten ifade)

Aydınlatma metni ile açık rıza metni sıklıkla karıştırılan iki kavramdır. Bu iki kavramın işlevleri son derece farklıdır. Aydınlatma metni, KVKK kapsamında her durumda sunulması gereken bir bilgilendirme yükümlülüğüdür. Açık rıza metni ise yalnızca belirli veri işleme faaliyetleri için alınan kullanıcı onayını ifade etmektedir. Önce aydınlatma yapılır, sonra açık rıza alınır. Genel olarak doğru kurgulanmış bir açık rıza metni, hem hukuki geçerliliği sağlar hem de kullanıcıya şeffaf bir deneyim sunar.

Açık Rıza Geri Alınabilir mi?

Evet, açık rıza her zaman geri alınabilir. Bu, KVKK’nın en temel ilkelerinden biri olarak görülür. Ayrıca kullanıcıya verisi üzerinde tam kontrol sağlamayı hedefler. Kısacası bir kişi daha önce verdiği açık rıza onayını istediği anda geri alabilir.

Açık rızanın geri alınması anlık olarak etkili olmaktadır. Bu, geçmişte yapılan veri işlemlerinin geçersiz olduğu anlamına gelmemektedir. Genel olarak geri alma anından itibaren ilgili veri işleme faaliyetleri durdurulmalıdır. Yani süreç ileriye dönük olarak sonlandırılmış olur.

Bu noktada önemli bir sorumluluk da veri sorumlusuna aittir. KVKK’ya göre veri sorumlusu, açık rızanın geri alınmasını kolay, hızlı ve erişilebilir hale getirmekle yükümlüdür. Kullanıcının rızayı geri almak için karmaşık veya zorlayıcı adımlardan geçmesi hukuka uygun kabul edilmez. Geri alma işlemi farklı yöntemlerle yapılabilir:

  • E-posta yoluyla talep iletme
  • Kullanıcı hesap ayarları üzerinden tercih değiştirme
  • Fiziksel veya yazılı başvuru

Açık rıza geri alındıktan sonra, eğer veri işleme için başka bir hukuki dayanak mevcut değilse, ilgili kişisel verilerin silinmesi veya yok edilmesi gerekmektedir. Bu da KVKK’nın veri minimizasyonu ve saklama süresi ilkeleriyle doğrudan bağlantılıdır. Bu kapsamda web sitelerinde “Onayımı Geri Al” veya “Tercihlerimi Güncelle” gibi bir seçeneğin, en az aydınlatma metni kadar görünür ve erişilebilir olması gerekir.

Açık Rıza Almada Sık Yapılan Hatalar

Açık rıza süreçleri çoğu zaman “formalite” gibi görülse de, yapılan hatalar doğrudan KVKK ihlaline sebep olabilir. En yaygın hatalar ve doğurdukları riskler, detayları ile aşağıdaki gibidir:

  • “Sitemizi kullanarak çerezleri kabul etmiş sayılırsınız” gibi pasif rıza ifadeleri

bu durum söz konusu ise kullanıcının aktif onayı olmadan varsayılan kabul oluşturulmuştur.

**Risk: **Açık rıza şartı sağlanmaz, alınan onay hukuken geçersiz kabul edilir.

  • Önceden işaretli onay kutuları

Kullanıcıdan gerçek bir seçim alınmamış olur.

Risk: Özgür iradeye dayanmadığı için rıza geçerli kabul edilmemektedir.

  • Rıza ile aydınlatmanın aynı paragrafta birleştirilmesi

Kullanıcı neye onay verdiğini net anlayamamış olur.

**Risk: **Bilgilendirme eksik olduğu için rıza geçersiz kabul edilir.

  • Tek kutucukta birden fazla amaç için rıza alma

Pazarlama, analitik ve veri paylaşımı tek bir onayla alınmış olur.

**Risk: **“Belirli bir konuya ilişkin olma” şartı ihlal edilmiş kabul edilir.

  • Rıza vermeden hizmet sunmama (zorlayıcı yaklaşım)

Kullanıcıya “kabul etmezsen kullanamazsın” dayatması yapılmış olur.

**Risk: **Özgür irade ortadan kalkar, rıza hukuken geçersiz sayılır.

  • Rıza kayıtlarının saklanmaması

Kullanıcının neye, ne zaman onay verdiği belgelenmez.

Risk: Denetimde ispat söz konusu olmaz.

  • “Reddet” butonunun gizlenmesi veya zorlaştırılması

Kullanıcıya gerçek bir alternatif sunulmamış olur.

Risk: Rıza yönlendirmeli kabul edilir ve geçersiz sayılabilir.

  • Rızayı geri almayı zorlaştırma

Onay geri alma seçeneği erişilemez veya karmaşık hale gelir.

Risk: KVKK’nın geri alınabilirlik ilkesi ihlal edilmiş olur.

Bu bilgilere istinaden açık rıza, yalnızca alınması gereken bir onay değil; doğru yöntemlerle alınması gereken bir süreç olarak ifade edilir. Bu hatalardan kaçınmak, hem yasal uyum hem de kullanıcı güveni açısından kritik derecede önemlidir.

Açık Rıza Hakkında Sıkça Sorulan Sorular (SSS)

Açık rıza ile aydınlatma metni aynı şey mi?
Hayır. Aydınlatma metni, kullanıcıyı veri işleme hakkında bilgilendirme yükümlülüğüdür. Açık rıza ise belirli durumlarda alınan onaydır.
Sözlü açık rıza geçerli mi?
Teorik olarak geçerli olabilir ancak ispat edilebilirliği zayıftır. Bu nedenle yazılı veya dijital kayıt altına alınan rızalar tercih edilmelidir.
18 yaş altı için açık rıza nasıl alınır?
Reşit olmayan kişiler için açık rıza, velisi veya yasal temsilcisi tarafından verilmelidir. Aksi halde rıza hukuken geçersiz sayılabilir.
Açık rıza ne kadar süreyle geçerlidir?
Sabit bir süre yoktur. Ancak veri işleme amacı ortadan kalktığında veya uzun süre geçerliğini yitirdiğinde rızanın yenilenmesi gerekir.
Açık rıza vermeyenler hizmet alamaz mı?
Genel olarak hayır. Açık rıza zorunlu olmayan bir veri işleme için şart koşulamaz. Bu durum özgür iradeyi ihlal eder ve rızayı geçersiz kılar.
WhatsApp veya SMS üzerinden açık rıza alınabilir mi?
Evet, alınabilir. Ancak rızanın açık, belirli ve kayıt altına alınabilir olması gerekir. Ayrıca kullanıcıya gerekli aydınlatmanın önceden yapılmış olması şarttır.