Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı, (“Karar”) 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanmıştır. Karara konu uygulamaya ve Kişisel Verileri Koruma Kurulunun (“Kurul”) değerlendirmelerine ilişkin açıklamalar aşağıda yer almaktadır.
I. GİRİŞ
Kişisel Verileri Koruma Kurumu’na ulaşan şikayet ve ihbarlar üzerine yapılan incelemelerde; ürün ve hizmet sunumu süreçlerinde (örneğin ödeme, kayıt, üyelik işlemleri sırasında) ilgili kişilere SMS ile doğrulama kodu gönderildiği, bu kodun sistemde girilmesi ya da görevliye bildirilmesi sonrasında ilgili kişilere ticari elektronik iletiler gönderildiği, ancak bu süreçte yeterli aydınlatmanın yapılmadığı ve açık rızanın alınmasına dair hukuka uygun bir yöntem izlenmediği tespit edilmiştir.
II. AÇIK RIZA ALINMASI VE AYDINLATMA SÜREÇLERİNE İLİŞKİN DEĞERLENDİRME
Kurul tarafından yapılan değerlendirmede; ürün ve hizmet sunumu süreçlerinde ilgili kişilere gönderilen SMS doğrulama kodları aracılığıyla açık rıza alınması uygulamalarının, Kişisel Verilerin Korunması Kanunu (“Kanun”)’nda düzenlenen kişisel verilerin işlenme şartlarına, aydınlatma yükümlülüğüne ve veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, açık rızanın geçerliliği için gerekli olan belirli konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurlarının sağlanmadığı; dolayısıyla bazı uygulamaların geçerli bir açık rıza kapsamında değerlendirilemeyeceği ifade edilmiştir. Karar uyarınca Kurul’un değerlendirmesi aşağıdaki gibidir:
- Gönderilen SMS kodunun amacının ne olduğu, kodun verilmesi halinde kişisel veriler açısından ne gibi sonuçlar doğuracağı hususunda ilgili kişilere aydınlatma yapılmalıdır.
- İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması gibi birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmeli ve açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınmalıdır.
- Açık rızaya istinaden kişisel veri işlenmesi halinde açık rıza Kanun’da belirtilen unsurları kapsamalıdır.
- Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesi ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmamalı ve bunu sağlamak adına veri sorumluları tarafından gerekli teknik ve idari tedbirler alınmalıdır.
III. SONUÇ
Kurul, ürün ve hizmet sunumu süreçlerinde kişisel verilerin işlenmesinde şeffaflık, hukuka uygunluk ve veri güvenliğinin sağlanmasının bir zorunluluk olduğunu vurgulamış; bu kapsamda, açık rıza ve aydınlatma süreçlerinin birbirinden bağımsız ve mevzuata uygun şekilde yürütülmesi, ilgili kişilerin açık ve anlaşılır biçimde bilgilendirilmesi ve veri sorumlularınca gerekli idari ve teknik tedbirlerin alınması gerektiğine dikkat çekmiştir. Ayrıca Kurul, anılan yükümlülüklerin yerine getirilmemesi halinde veri sorumluları hakkında Kanun’un 18. maddesi uyarınca yaptırım uygulanabileceğini belirtmiştir.
Discussion