KVKK Aydınlatma Metni Hazırlama Rehberi: Yedi Asgari Unsur ve Pratik Şablon

Aydınlatma metni; veri sorumlusunun, kişisel veri işleme faaliyetinden önce veri sahibini bilgilendirme yükümlülüğünün yazılı çıktısıdır. KVKK md. 10; bu yükümlülüğün asgari unsurlarını sıralar. Bu rehber; aydınlatma metninin pratik hazırlığını, yedi asgari unsurunu, sektörel uyarlama noktalarını ve tipik hataları operasyonel düzlemde ele alır¹.

I. Aydınlatma Yükümlülüğünün Hukuki Temeli

KVKK md. 10; veri sorumlusu veya yetkilendirdiği kişinin, kişisel veri elde edilmesi sırasında veri sahibine aşağıdaki bilgileri vermesini şart koşar.

İlk bilgi: veri sorumlusunun ve varsa temsilcisinin kimliği. Tüzel kişiler için unvan, MERSİS no, adres ve iletişim bilgileri.

İkinci bilgi: kişisel verilerin hangi amaçla işleneceği. Genel ifadeler değil; somut amaçların liste hâlinde belirtilmesi gerekir.

Üçüncü bilgi: işlenen verilerin kimlere ve hangi amaçla aktarılabileceği. Yurt içi ve yurt dışı aktarımlar ayrı belirtilmelidir.

Dördüncü bilgi: kişisel veri toplama yöntemi ve hukuki sebebi. KVKK md. 5 veya md. 6 dayanağı açıkça belirtilir.

Beşinci bilgi: KVKK md. 11 sayılan haklar. Bu haklar metin içinde sayılır ve başvuru kanalı belirtilir.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ; bu beş asgari unsurun operasyonel uygulamasına ilişkin ayrıntıları sağlar.

II. Yedi Asgari Unsur Listesi (Operasyonel)

Pratikte aydınlatma metni yedi asgari unsuru kapsamalıdır. İlk beş unsur KVKK md. 10 metninden, son iki unsur Tebliğ ve Kurul yerleşik yaklaşımından türetilir.

İlk unsur: veri sorumlusu kimliği. Unvan, MERSİS, adres, KVKK iletişim noktası (DPO veya muadili) açıkça belirtilir.

İkinci unsur: işleme amaçları. Her amaç; tek başına ölçülebilir ve doğrulanabilir biçimde tanımlanır.

Üçüncü unsur: işlenen veri kategorileri. Kimlik, iletişim, finans, lokasyon, sağlık, davranışsal vb. kategoriler bazında.

Dördüncü unsur: hukuki temel. KVKK md. 5/2 (hukuki temeller) veya md. 5/1 (açık rıza) açıkça belirtilir. Özel nitelikli veriler için md. 6 dayanağı ayrıca verilir.

Beşinci unsur: aktarım tarafları ve amaçları. Yurt içi alt yükleniciler, hizmet sağlayıcıları, grup şirketleri ve yurt dışı transferler ayrı kalemler hâlinde.

Altıncı unsur: saklama süresi. Her veri kategorisi için belirlenen saklama süresi veya saklama süresinin belirlenme yöntemi.

Yedinci unsur: veri sahibi hakları ve başvuru kanalı. KVKK md. 11'de sayılan hakların özeti ve başvuru kanalı (e-posta, KEP, posta) belirtilir.

III. Aydınlatmanın Zamanlaması ve Şekli

Aydınlatma; veri toplamadan önce veya veri toplama anında yapılmalıdır. Geri dönük aydınlatma; KVKK md. 10 yükümlülüğünü karşılamaz.

Aydınlatmanın şekli; yazılı, elektronik veya görsel olabilir. Web sitesi üzerinden veri toplandığında; aydınlatma metni form alanı veya banner ile sunulmalıdır. Telefonla iletişimde; aydınlatma sesli kayda alınabilir. Yüz yüze toplamada; kâğıt çıktı veya elektronik onay ekranı kullanılabilir.

Aydınlatma metni; açık ve anlaşılır bir dille yazılmalıdır. Hukuki jargon, belirsiz ifadeler ve aşırı uzun cümleler; aydınlatma yükümlülüğünün esasını gölgeler.

IV. Katmanlı Aydınlatma Yaklaşımı

Modern uygulamada katmanlı aydınlatma (layered notice) yaklaşımı yaygındır. Bu yaklaşımda iki katman bulunur.

Birinci katman: kısa özet. Veri toplama noktasında 3-5 cümlelik özet sunulur. Bu özet; veri sorumlusunun kimliği, ana işleme amacı ve detay bağlantısını içerir.

İkinci katman: detaylı metin. Bağlantı veya alt sayfa üzerinden erişilen tam metin. Yedi asgari unsurun tamamını kapsar.

KVKK Kurulu yaklaşımı; katmanlı sunumu kabul eder ancak ikinci katmana erişimin kolay ve görünür olmasını arar. Gizli linkler veya zorlaştırılmış erişim; aydınlatma yükümlülüğünü sakatlar.

V. Aydınlatma ile Açık Rızanın Ayrı Belgelendirilmesi

Pratikte sıkça yapılan bir hata; aydınlatma metni ile açık rıza beyanının aynı belgeye karıştırılmasıdır.

Aydınlatma; veri sorumlusunun yükümlülüğüdür ve veri sahibinin onayını gerektirmez. Açık rıza ise; veri sahibinin iradesini ifade ettiği beyandır. İki belge ayrı olmalı; veri sahibi aydınlatmayı okuduğunu beyan etmeli ve açık rıza gerektiren işlemler için ayrıca onay vermelidir.

KVKK Kurulu; iki belgenin karıştırılmasını "rızanın özgür olma şartına aykırılık" olarak değerlendirir. Pratikte aydınlatma metni alt bölümünde "açık rıza beyanı" başlığı kullanılabilir; ancak bu başlık tıklama veya imza ile ayrı bir kayıt üretmelidir.

Dijital pazarlama bağlamında bütünleşik uyum akışı için dijital pazarlama KVKK uyum rehberini inceleyebilirsiniz.

VI. Sektörel Uyarlama Notları

Aydınlatma metni; sektörün özelliklerine göre uyarlanmalıdır. Beş tipik sektör için uyarlama noktaları aşağıda sıralanır.

Birinci sektör: e-ticaret. Ödeme, kargo, ürün iadesi, müşteri hizmetleri ve pazarlama aktarımları ayrı kalemler hâlinde belirtilmeli; çerez politikası ayrı bir metinle desteklenmelidir.

İkinci sektör: sağlık hizmetleri. KVKK md. 6 kapsamındaki özel nitelikli veriler ayrı bir hukuki temel altında işlenmeli; hasta dosyası saklama süresi mevzuata uygun belirtilmelidir.

Üçüncü sektör: finansal hizmetler. BDDK ve MASAK mevzuatına dayalı yasal saklama süreleri; veri paylaşım yükümlülükleri açıkça gösterilmelidir.

Dördüncü sektör: insan kaynakları. Çalışan adayları ile mevcut çalışanlar için ayrı aydınlatma metni hazırlanmalı; iş sözleşmesinin ifası ile özlük dosyası mevzuatına dayalı işleme açıkça ayrılmalıdır.

Beşinci sektör: eğitim hizmetleri. Reşit olmayan öğrencilerin verisi için yasal temsilcinin aydınlatma ve rıza süreci ayrıca yönetilmelidir.

VII. Otomatik Karar ve Profilleme Uyarısı

Veri sorumlusu; otomatik karar verme veya profilleme uygulaması yapıyorsa; aydınlatma metni bunu açıkça belirtmelidir. Otomatik karar mantığının özeti, sonucu ve veri sahibinin KVKK md. 11/g itiraz hakkı; ayrı bir alt başlık altında sunulur.

Profilleme rejimi ve veri sahibi hakları için dijital profilleme ve otomatik karar verme makalesini inceleyebilirsiniz.

VIII. Yurt Dışı Aktarım Bilgisi

Veri sorumlusu, yurt dışı aktarım yapıyorsa aydınlatma metni; aktarımın hukuki temelini (KVKK md. 9), aktarılan ülkeyi ve aktarımın güvencesini belirtmelidir. Yeterli korumaya sahip ülkeler listesi, taahhütname veya standart sözleşme klozları gibi güvenceler ayrı kalemler hâlinde gösterilir.

ABD merkezli bulut sağlayıcılarının kullanıldığı durumlarda; bulut sağlayıcısının veri işleyen sıfatı, aktarımın güvenceleri ve veri sahibinin haklarına etkisi şeffaf biçimde açıklanmalıdır.

IX. Aydınlatma Metni Güncelleme Disiplini

Aydınlatma metni; bir defalık değil sürekli güncellenen bir belgedir. Aşağıdaki dört durumda metnin güncellenmesi zorunludur.

İlk durum: yeni veri kategorisinin işlenmeye başlanması.

İkinci durum: yeni işleme amacının eklenmesi.

Üçüncü durum: yeni aktarım tarafının veya ülkenin eklenmesi.

Dördüncü durum: KVKK Kurulu rehber veya kararlarında yapılan önemli değişiklik.

Güncellemenin veri sahibine aktif bildirimi (e-posta, push notification) iyi uygulama olarak kabul edilir. Pasif güncelleme (sadece web sitesinde değişiklik); aydınlatmanın etkin biçimde ulaşmasını zayıflatır.

X. On İki Tipik Aydınlatma Hatası

Pratikte sıkça karşılaşılan on iki aydınlatma hatası vardır.

Hata 1: veri sorumlusu kimliğinin eksik veya yanıltıcı belirtilmesi.

Hata 2: işleme amaçlarının "iş süreçlerinin yürütülmesi" gibi genel ifadelerle geçilmesi.

Hata 3: hukuki temelin belirtilmemesi veya genel "yasal yükümlülük" ifadesinin yetersiz kullanımı.

Hata 4: yurt dışı aktarımın saklanması veya genel ifadeyle geçilmesi.

Hata 5: saklama süresinin "yasal süre boyunca" gibi belirsiz ifadelerle geçilmesi.

Hata 6: aydınlatmanın açık rıza beyanıyla birleştirilmesi.

Hata 7: KVKK md. 11 haklarının özet hâlinde değil sadece referansla geçilmesi.

Hata 8: aydınlatmanın veri toplandıktan sonra sunulması.

Hata 9: çocuk verilerinin işlenmesinde yasal temsilci aydınlatma sürecinin yönetilmemesi.

Hata 10: otomatik karar ve profilleme uygulamasının metinde belirtilmemesi.

Hata 11: katmanlı aydınlatmada ikinci katmanın gizli veya zor erişilebilir olması.

Hata 12: aydınlatma metninin web sitesi üst menüsünden veya formlardan kolayca erişilebilir olmaması.

XI. Pratik Şablon Çerçevesi

Aşağıdaki on bir başlık; aydınlatma metni şablonunun pratik iskeletini oluşturur. Her başlık ortalama 3-5 cümle ile doldurulduğunda yedi asgari unsur kapsanır.

Başlık 1: Veri Sorumlusunun Kimliği. Unvan, MERSİS, adres, iletişim noktası.

Başlık 2: İşlenen Kişisel Veri Kategorileri. Kimlik, iletişim, müşteri işlem, finansal, lokasyon vb. tablo şeklinde.

Başlık 3: Kişisel Veri İşleme Amaçları. Liste hâlinde; her amaç tek tek.

Başlık 4: Kişisel Veri İşlemenin Hukuki Sebebi ve Yöntemi. KVKK md. 5/2 veya md. 5/1 dayanakları; çerez, form, sözleşme gibi toplama yöntemleri.

Başlık 5: Kişisel Verilerin Aktarıldığı Taraflar ve Aktarım Amacı. Yurt içi ve yurt dışı; her taraf için amaç.

Başlık 6: Saklama Süresi. Kategori bazında tablo.

Başlık 7: KVKK md. 11 Kapsamındaki Haklarınız. Sekiz hak liste hâlinde.

Başlık 8: Başvuru Kanalı. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca e-posta, KEP, posta adresleri.

Başlık 9: Otomatik Karar Verme veya Profilleme. Varsa varlığı, mantığı ve itiraz hakkı.

Başlık 10: Çerez ve İzleme Teknolojileri. Varsa atıf ve ayrı çerez politikasına link.

Başlık 11: Aydınlatma Metni Güncelleme Notu. Son güncelleme tarihi ve değişiklik takip notu.

Bütünleşik dijital pazarlama uyumunun akışı için dijital pazarlama KVKK uyum rehberini inceleyebilirsiniz.

Sonuç

Aydınlatma metni; KVKK uyumunun görünür yüzüdür. Veri sahibi nezdinde güven inşası; veri sorumlusu nezdinde ise denetim ve idari ceza riskinin yönetimi bu metnin titiz hazırlığına bağlıdır. Yedi asgari unsur, katmanlı sunum, sektörel uyarlama ve düzenli güncelleme; aydınlatma yükümlülüğünün etkin yerine getirilmesinin pratik temelleridir.

Pratik bir kullanıcı sorusu için müşteriye SMS göndermenin yasallığı soru sayfasını inceleyebilirsiniz.

Kaynakça

Mevzuat

6698 sayılı Kişisel Verilerin Korunması Kanunu md. 4, 5, 6, 9, 10, 11, 13, 18. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun md. 6. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.

İçtihat

Yargıtay 11. Hukuk Dairesi, 01.10.2025, E. 2025/1043 K. 2025/5854 sayılı karar (reklam dürüstlüğü standardı; aydınlatma metninin şeffaflığı ilkesine kıyasen uygulanır).

Doktrin ve Uluslararası Belgeler

Şükrü KIZILOT / Mehmet ATALAY, Kişisel Verilerin Korunması Hukuku. Regulation (EU) 2016/679 (GDPR), m. 12, 13, 14 (şeffaflık ve bilgi yükümlülüğü).

Dipnotlar

1. 6698 sayılı KVKK, RG 07.04.2016/29677; Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, RG 10.03.2018/30356. ↩