Bilindiği üzere, Kişisel Verileri Koruma Kurumu (“Kurum”), kendi internet sitesinde kamuya açık olarak yayımlamış olduğu 17 Aralık 2021 tarihli kamuoyu duyurusu, 13 Kasım 2023 tarihli kamuoyu duyurusu ve Kişisel Verileri Koruma Kurulunun (“Kurul”) 2023/1653 sayılı kararı ile mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi faaliyetlerinin hukuka uygunluğunun temin edilebilmesi amacıyla veri sorumlularını bilgilendirmiş ve talimatlandırmıştır. Ancak aradan geçen süre zarfında söz konusu uygulamaların hala hukuka uygun olarak yürütülmediğine ilişkin Kurul’a intikal eden çok sayıda ihbar ve şikayeti takiben, mağazalarda gerçekleştirilen alışveriş işlemleri kapsamında (i) ilgili kişilerin iletişim bilgilerinin talep edilmesi, (ii) ardından ilgili kişilere SMS ile doğrulama kodu gönderilmesi, (iii) ödemelerin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin / sisteme girilmesinin istenmesi ve (iv) ancak bahsi geçen işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderilmesi dolayısıyla ilgili faaliyetleri gerçekleştiren tüm veri sorumluları tarafından bağlayıcı olarak uyulması gereken esaslar, 26 Haziran 2025 tarihli ve 32938 sayılı Resmi Gazete’de yayımlanan Kurul’un 10 Haziran 2025 tarihli ve 2025/1072 sayılı ilke kararında (“İlke Kararı”) ilan edilmiştir.
İlke Kararı’nda yer verildiği üzere, mağazalarda ürün ve hizmetlerin sunulmasına ilişkin süreçlerde ilgili kişilere gönderilen doğrulama kodu içerikli SMS’ler kapsamında, veri sorumlularınca gerekli aydınlatma yükümlülüğünün yerine getirilmediği ve/veya kodların yalnızca ödeme işlemlerinin tamamlanması ya da bilgilerin güncellenmesi amacıyla istendiği izlenimi verilerek ilgili kişilerden ticari elektronik ileti onayı niteliğinde açık rıza alındığı tespit edilmiştir. Bu doğrultuda İlke Kararı’nda, doğrulama kodu temininin alışverişin zorunlu bir unsuru şeklinde sunularak ilgili kişilerin yanıltılması dolayısıyla özgür irade unsurlarının zedeleneceğine kanat getirilmiş olup anılan faaliyetlerin hukuka uygun olarak yürütülmesinin temini adına aşağıdaki esaslar belirlenmiştir:
Yukarıda açıklanan esaslara ek olarak, İlke Kararı ile:
Kurul, İlke Kararı’nda anılan esasların yerine getirilmemesi durumunda, Kanun’un 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri sorumlularının kişisel verilerin hukuka uygun işlenmesini teminen öngörülen idari ve teknik tedbirleri alma yükümlülüğünün yerine getirilmemesi dolayısıyla Kanun’un 18’inci maddesi uyarınca idari işlem tesis edeceğini İlke Kararı’nda ayrıca bildirmiştir.
İlke Kararı’na buradan ulaşabilirsiniz.