E-ticaret sitem için KVKK'ya uyum sağlamak amacıyla, 18.02.2026 tarihli Kurul Kararı sonrası açık rıza ve aydınlatma nasil uygulanir?

Giriş ve Varsayımsal Kararın Değerlendirilmesi

Değerli veri sorumlusu, Kişisel Verileri Koruma Kurulu'nun (KVKK) 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı ile açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi zorunluluğunun getirildiği yönündeki bilginizi not alıyorum. Henüz bu tarihte yayımlanmış bir Kurul Kararı olmasa da, bu yaklaşım mevcut 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuatın ruhuna ve güncel uygulama prensiplerine oldukça uygun bir adımdır. Zira, veri sorumlularının temel yükümlülüklerinden olan aydınlatma ve açık rıza alma süreçlerinin şeffaf, anlaşılır ve birbirinden bağımsız olması, KVKK’nın temelini oluşturan en önemli ilkelerdendir.

Yasal Dayanak ve Temel İlkeler

KVKK’nın Madde 10’u veri sorumlusunun aydınlatma yükümlülüğünü düzenler. Bu maddeye göre, kişisel verilerin işlenmesinden önce veri sahiplerinin (e-ticaret sitenizdeki kullanıcılarınızın) kimlik, veri işleme amaçları, toplanma yöntemleri, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği ve veri sahibinin hakları konusunda bilgilendirilmesi zorunludur. Bu bilgilendirme, açık, anlaşılır ve kolay erişilebilir olmalıdır.

KVKK’nın Madde 5’i ise kişisel veri işleme şartlarını belirtir. Açık rıza, bu şartlardan sadece biridir ve diğer işleme şartlarının (kanunlarda açıkça öngörülmesi, sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.) bulunmadığı durumlarda başvurulması gereken bir hukuki sebeptir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir.

Varsayımsal Kurul Kararı, bu iki temel yükümlülüğün pratikteki ayrımını daha da netleştirmeyi amaçlamaktadır. Yani, veri sahibinin bilgilendirilmesi (aydınlatma) her durumda zorunluyken, açık rıza alınması yalnızca belirli veri işleme faaliyetleri için gereklidir ve bu rıza, bilgilendirildikten sonra özgürce verilmelidir.

Aydınlatma Metni ve Açık Rıza Beyanının Ayrı Düzenlenmesi

• Aydınlatma Metni (Zorunlu ve Kapsamlı Bilgilendirme):

  Bu metin, e-ticaret sitenizde her zaman kolayca erişilebilir bir konumda (genellikle alt bilgi – footer kısmında, “Gizlilik Politikası” veya “KVKK Aydınlatma Metni” başlığı altında) bulunmalıdır. Kullanıcı siteye girmeden veya herhangi bir işlem yapmadan önce bu metne ulaşabilmelidir. İçeriği KVKK Madde 10’a uygun olarak aşağıdaki bilgileri içermelidir:

  • Veri Sorumlusunun Kimliği (Şirket adı, adresi, Mersis No vb.)
  • Kişisel Verilerin Hangi Amaçla İşleneceği (Örn: siparişin yerine getirilmesi, üyelik işlemleri, finansal işlemler, yasal yükümlülüklerin yerine getirilmesi)
  • İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği (Örn: kargo şirketleri, ödeme kuruluşları, tedarikçiler, resmi kurumlar)
  • Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi (Örn: elektronik formlar, çerezler; hukuki sebep: sözleşmenin ifası, kanuni zorunluluk, meşru menfaat)
  • Veri Sahibinin Hakları (KVKK Madde 11’de sayılan haklar: bilgi edinme, düzeltme, silme/yok etme, itiraz vb.)
• Açık Rıza Beyanı (İsteğe Bağlı ve Spesifik Onay):

  Açık rıza, sadece aydınlatma metninde belirtilen ve diğer yasal işleme şartlarına dayanmayan spesifik veri işleme faaliyetleri için alınmalıdır. E-ticaret sitenizde bu genellikle pazarlama faaliyetleri (e-posta/SMS gönderimi), kişiselleştirilmiş reklamlar veya üçüncü taraf çerezlerinin kullanımı gibi durumlarda ortaya çıkar. Açık rıza beyanı şu özelliklerde olmalıdır:

  • Her bir rıza konusu için ayrı ayrı ve açıkça belirtilmiş olmalıdır.
  • Kullanıcının varsayılan olarak işaretlenmemiş kutucukları kendisinin işaretlemesiyle verilmelidir (opt-in).
  • Rıza metni, kullanıcının neye rıza gösterdiğini net bir şekilde anlamasını sağlamalıdır.
  • Kullanıcı, rızasını dilediği zaman geri çekebilme hakkına sahip olduğunu bilmelidir.

E-ticaret Sitesi İçin Adım Adım Uyum Süreci

1. Mevcut Metinlerin Analizi: E-ticaret sitenizdeki mevcut gizlilik politikası, üyelik sözleşmeleri ve diğer metinleri inceleyin. Aydınlatma ve açık rıza ifadelerinin iç içe geçtiği noktaları tespit edin.
2. Veri İşleme Envanterinin Güncellenmesi: Hangi kişisel verileri, hangi amaçlarla, hangi hukuki sebeple ve hangi yöntemlerle işlediğinizi detaylı bir şekilde belirleyin. Bu envanter, aydınlatma metninizin temelini oluşturacaktır.
3. Aydınlatma Metni Oluşturulması: KVKK Madde 10’a ve Kurul’un güncel rehberlerine uygun, sade, anlaşılır ve kapsamlı bir aydınlatma metni hazırlayın. Bu metni sitenizin alt bilgi kısmına kalıcı bir bağlantı olarak ekleyin (Örn: “KVKK Aydınlatma Metni”). Kullanıcı kayıt, sipariş, iletişim gibi formlarda bu metne link vererek kolayca erişimini sağlayın.
4. Açık Rıza Mekanizmalarının Tasarlanması:

   Aydınlatma metninde belirtilen ve açık rıza gerektiren her bir veri işleme faaliyeti için ayrı ayrı onay kutuları oluşturun. Örneğin:

   • “Kampanyalardan ve özel indirimlerden haberdar olmak için tarafıma elektronik ileti gönderilmesine rıza gösteriyorum.” (İşaretlenmemiş kutucuk)
   • “Site deneyimimi kişiselleştirmek ve ilgi alanlarıma uygun ürünler görmek için çerez kullanımına izin veriyorum.” (İşaretlenmemiş kutucuk)

   Bu kutucukların varsayılan olarak işaretli olmamasına dikkat edin.

5. Teknik Entegrasyon ve Kayıt Tutma: Rıza beyanlarının ve geri çekme işlemlerinin tarih ve saat bilgisiyle birlikte güvenli bir şekilde kaydedildiğinden emin olun. Bu kayıtlar, denetimlerde ispat yükümlülüğünüzü yerine getirmenizi sağlar.
6. Periyodik Gözden Geçirme: KVKK mevzuatındaki veya iş süreçlerinizdeki değişikliklere paralel olarak aydınlatma metni ve açık rıza mekanizmalarınızı düzenli olarak gözden geçirin ve güncelleyin.

Örnek Uygulama ve Muhasebe Kaydı İlişkisi

Senaryo: E-ticaret sitenizde bir kullanıcı üye olurken e-bülten almak istiyor.

• Aydınlatma: Üyelik formunun altında veya yakınında, genel aydınlatma metninize bir link (Örn: “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’ni okudum.”) bulunur. Bu metin, şirketin veri işleme amaçları, kargo, ödeme vb. bilgileri kapsar.
• Açık Rıza: Aydınlatma metni linkinden ayrı olarak, e-bülten için özel bir onay kutucuğu yer alır:

  [ ] Kampanya ve duyurulardan haberdar olmak için elektronik ileti gönderilmesine rıza gösteriyorum.

Muhasebe Kaydı İlişkisi: KVKK uyum süreçleri genellikle hukuki danışmanlık, yazılım geliştirme veya mevcut sistemlerin güncellenmesi gibi maliyetler doğurur. Bu tür maliyetler, şirketinizin defterlerinde ilgili gider hesaplarına kaydedilir. Örneğin, bir hukuk bürosundan alınan danışmanlık hizmeti:

770 Genel Yönetim Giderleri (KVKK Danışmanlık Ücreti) XXX TL (Borç)
191 İndirilecek KDV (KDV Tutarı) YYY TL (Borç)
102 Bankalar / 320 Satıcılar (Ödenen Tutar) ZZZ TL (Alacak)

Kaynaklar ve Ek Bilgiler

Konuyla ilgili detaylı bilgi ve güncel rehberler için Kişisel Verileri Koruma Kurumu’nun resmi internet sitesi (www.kvkk.gov.tr) ile Gelir İdaresi Başkanlığı’nın (www.gib.gov.tr) ilgili duyurularını takip etmeniz önem arz etmektedir. Özellikle KVKK tarafından yayımlanan rehberler, pratik uygulamalar konusunda yol göstericidir.

Onemli Noktalar

• Aydınlatma Metni ve Açık Rıza Beyanı'nın KVKK Madde 10 ve Madde 5 gereği ayrı ayrı düzenlenmesi esastır.
• E-ticaret sitesinde aydınlatma metni her zaman erişilebilir olmalı, açık rıza ise spesifik işleme amaçları için, varsayılan işaretli olmayan kutucuklarla alınmalıdır.
• Veri işleme envanterinin güncellenmesi ve rıza kayıtlarının tutulması, uyum sürecinin kritik adımlarıdır.
• KVKK uyum maliyetleri muhasebe kayıtlarında ilgili gider hesaplarına işlenmelidir.

Not: Nihai uygulama oncesi GIB, SGK ve Resmi Gazete duyurulari ile teyit ediniz.