Kişisel Veri İşlemede Rıza İlkesi: Geçerlilik Koşulları ve Hukuki Çözümler

Yorum bırakın / Yazan/

Kişisel Veri İşlemede Rıza İlkesi: Geçerlilik Koşulları ve Hukuki Çözümler

Avukat Yalçın Torun | Torun Hukuk Bürosu — Kişisel Veriler ve Anayasa Hukuku Birimi

Özet: Rıza ilkesi, kişisel veri koruması hukukunun temel taşlarından birini oluşturmaktadır. Bu makale, KVKK ve GDPR çerçevesinde rızanın geçerlilik koşullarını kapsamlı biçimde incelemekte; güç asimetrisi, dark patterns, cookie rızası, çocuk rızası ve rızanın geri alınması mekanizmasını ele almaktadır.

Anahtar Kelimeler: Rıza ilkesi, açık rıza, özgür rıza, KVKK m. 3/ı, GDPR m. 7, dark patterns, cookie rızası, güç asimetrisi.

1. Giriş

Rıza, kişisel veri koruma hukukunun en köklü ve aynı zamanda en sorunlu kavramlarından birini oluşturmaktadır. Veri koruma hukukunun felsefi temeli, bireyin kendi hakkındaki veri akışı üzerinde irade özerkliğine sahip olduğu varsayımına dayanmaktadır. Rıza ilkesi de bu özerkliğin somut hukuki ifadesidir.

Ancak dijital ekonominin gerçeklikleri, rıza mekanizmasının bu idealist tabloya ne ölçüde uyduğunu sorgulatmaktadır. Uzun ve anlaşılmaz kullanım koşulları metinleri, cookie duvarları, manipülatif arayüz tasarımları (dark patterns); rızanın bireyin gerçek iradesini yansıtan özgür bir onay mekanizması olma niteliğini ciddi ölçüde zedelemektedir.

2. Rızanın Tanımı ve Hukuki Niteliği

2.1. KVKK’da Rıza Tanımı

KVKK’nın 3/1-ı maddesi, açık rızayı belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlamaktadır. Bu tanım üç zorunlu unsuru içermektedir: belirlilik, bilgilendirilme ve özgürlük.

GDPR’ın 4/11. maddesi rızayı daha ayrıntılı biçimde tanımlamakta; örtülü ve varsayılan rızayı (opt-out consent) doğrudan reddederek her zaman olumlu ve açık bir eylemi (opt-in) zorunlu kılmaktadır.

2.2. Rızanın Geçerlilik Koşulları

Veri koruma hukukunda rızanın geçerli sayılabilmesi için dört temel koşul birlikte sağlanmış olmalıdır: (1) Özgürlük — herhangi bir baskı veya zorlama olmaksızın; (2) Belirlilik — her işleme amacı için ayrı ayrı; (3) Bilgilendirilme — veri sorumlusunun kimliği ve işleme amacı önceden aktarılmış olmalı; (4) Açıklık — aktif bir olumlu tutumla açıklanmış olmalıdır. KVK Kurulu kararlarında bu dört koşul kümülatif olarak aranmaktadır.

3. Rızanın Sorunlu Alanları

3.1. Güç Asimetrisi: İşveren-Çalışan İlişkisi

İşveren-çalışan ilişkisinde çalışanın rızasının gerçek anlamda özgür olup olmadığı meselesi hem GDPR hem de KVKK uygulamasında önemli bir sorun alanı oluşturmaktadır. GDPR kapsamında işyerinde çalışanın rızası kural olarak özgür sayılamaz; zira iş ilişkisinin yarattığı güç dengesizliği çalışanın gerçek iradesini baskı altına almaktadır. Bu nedenle işyerinde veri işleme mümkün olduğunca sözleşme veya meşru menfaat dayanağına oturtulmalıdır.

3.2. Dijital Ekonomide Rıza: Dark Patterns

Dijital platformlar, kullanıcılardan rıza almak amacıyla arayüz tasarımını stratejik biçimde kullanmaktadır. Karanlık örüntüler (dark patterns); büyük ve çekici Kabul Et düğmesinin yanına küçük Reddet seçeneği yerleştirme, çerez tercihlerini erişilmesi güç menülere gömme ve rızanın geri alınmasını karmaşıklaştırma gibi yöntemlerle rızayı manipule etmektedir. EDPB 2022 tarihli kararıyla dark patterns uygulamalarını GDPR kapsamında yasaklamıştır.

3.3. Cookie Rızası

Teknik olarak zorunlu olmayan çerezlerin yerleştirilmesi için kullanıcının önceden bilgilendirilmesi ve açık rızasının alınması gerekmektedir. KVKK uygulamasında yaygın olan “Siteyi kullanmaya devam etmeniz rıza olarak değerlendirilir” yaklaşımı hem KVKK’nın açık rıza koşulunu hem de GDPR’ın olumlu eylem şartını ihlal etmektedir.

4. Rızanın Geri Alınması

KVKK’nın 7. ve 11. maddeleri, veri sahibinin verdiği rızayı geri alabilme hakkını güvence altına almaktadır. GDPR’ın 7/3. maddesi bu hakkı daha ayrıntılı biçimde düzenlemekte; rızanın geri alınmasının verilmesi kadar kolay olması gerektiğini açıkça öngörmektedir.

5. Sonuç

Rıza ilkesi, kişisel veri koruma hukukunun temel güvencelerinden biri olmakla birlikte dijital ekonominin gerçeklikleriyle ciddi bir gerilim içindedir. Güç asimetrisinin özgür rızayı fiilen imkânsız kıldığı hallerde, dark patterns uygulamalarının rızayı manipüle ettiği durumlarda ve cookie duvarlarının bilgilendirilmiş onay şartını işlevsizleştirdiği alanlarda rıza mekanizması, bireysel özerkliği koruma işlevini yerine getirememektedir. Bu nedenle veri işlem sözleşme ve meşru menfaat gibi daha nesnel dayanaklar üzerine inşa edilmeli; rıza yalnızca gerçek anlamda özgür seçimin mümkün olduğu hallerde kullanılmalıdır.

Bu makale, Torun Hukuk Bürosu Akademik Makale Serisi kapsamında hazırlanmıştır. © 2026 Torun Hukuk Bürosu — Avukat Yalçın Torun.

İlgili Makaleler

Ankara İdare Mahkemesince 4045 sayılı Kanun’un ve bu Kanun uyarınca çıkarılan Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği’nin kişisel verilerin korunması kapsamında da özel hayata saygı hakkının güvencelerini sağlayacak hükümlerden yoksun olduğuna ve bu nedenle güvenlik soruşturmasının hukuka aykırı olduğuna karar vermiştir.( Konuya ilişkin 7315 sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu 7 Nisan 2021 tarihinde yürürlüğe girmiştir)

Scroll to Top
'); w.document.close(); w.print(); });$(document).ready(function() { init(); });})(jQuery);