KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN ÜRÜN VE HİZMET SUNUMU SIRASINDA İLGİLİ KİŞİLERE SMS İLE DOĞRULAMA KODU GÖNDERİLMESİ SURETİYLE KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA İLKE KARARI YAYIMLANDI

26.06.2025

Bilindiği üzere, Kişisel Verileri Koruma Kurumu (“Kurum”), kendi internet sitesinde kamuya açık olarak yayımlamış olduğu 17 Aralık 2021 tarihli kamuoyu duyurusu, 13 Kasım 2023 tarihli kamuoyu duyurusu ve Kişisel Verileri Koruma Kurulunun (“Kurul”) 2023/1653 sayılı kararı ile mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi faaliyetlerinin hukuka uygunluğunun temin edilebilmesi amacıyla veri sorumlularını bilgilendirmiş ve talimatlandırmıştır. Ancak aradan geçen süre zarfında söz konusu uygulamaların hala hukuka uygun olarak yürütülmediğine ilişkin Kurul’a intikal eden çok sayıda ihbar ve şikayeti takiben, mağazalarda gerçekleştirilen alışveriş işlemleri kapsamında (i) ilgili kişilerin iletişim bilgilerinin talep edilmesi, (ii) ardından ilgili kişilere SMS ile doğrulama kodu gönderilmesi, (iii) ödemelerin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin / sisteme girilmesinin istenmesi ve (iv) ancak bahsi geçen işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderilmesi dolayısıyla ilgili faaliyetleri gerçekleştiren tüm veri sorumluları tarafından bağlayıcı olarak uyulması gereken esaslar, 26 Haziran 2025 tarihli ve 32938 sayılı Resmi Gazete’de yayımlanan Kurul’un 10 Haziran 2025 tarihli ve 2025/1072 sayılı ilke kararında (“İlke Kararı”) ilan edilmiştir.

İlke Kararı’nda yer verildiği üzere, mağazalarda ürün ve hizmetlerin sunulmasına ilişkin süreçlerde ilgili kişilere gönderilen doğrulama kodu içerikli SMS’ler kapsamında, veri sorumlularınca gerekli aydınlatma yükümlülüğünün yerine getirilmediği ve/veya kodların yalnızca ödeme işlemlerinin tamamlanması ya da bilgilerin güncellenmesi amacıyla istendiği izlenimi verilerek ilgili kişilerden ticari elektronik ileti onayı niteliğinde açık rıza alındığı tespit edilmiştir. Bu doğrultuda İlke Kararı’nda, doğrulama kodu temininin alışverişin zorunlu bir unsuru şeklinde sunularak ilgili kişilerin yanıltılması dolayısıyla özgür irade unsurlarının zedeleneceğine kanat getirilmiş olup anılan faaliyetlerin hukuka uygun olarak yürütülmesinin temini adına aşağıdaki esaslar belirlenmiştir:

• Ürün ve hizmet sunumuna ilişkin faaliyetlerde katmanlı aydınlatmanın gereği gibi yerine getirilmesi adına, SMS doğrulama kodunun amacı ve veri sorumlusu ile paylaşılmasının sonuçları ilk aşamada veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır şekilde aktarılarak ilgili kişiler bilgilendirilmeli ve SMS içeriklerinde de gerekli bilgilendirme kanallarına yer verilmelidir.
• Üyelik sözleşmesinin onaylanması, kişisel veri işleme izni alınması, ticari elektronik ileti onayı alınması ve benzeri farklı veri işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine son verilmelidir. Bu kapsamda, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik ayrı ayrı açık rıza seçeneği sunularak özgür iradeye dayalı açık rıza alınmalı ve açık rıza temin edilmesi ile aydınlatma yükümlülüğünün yerine getirilmesi işlemleri ayrı ayrı gerçekleştirilmelidir.
• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde, söz konusu işlemde alınacak açık rıza, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen tüm unsurları sağlamalıdır.
• Bu kapsamda, doğrulama kodunun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumu için zorunlu olmadığı, kodun verilmemesi halinde de hizmetin sunulmaya devam edeceği ve kod vasıtasıyla verilen izinlerin geri alınabileceği / tercihlerin her zaman değiştirilebileceği bilgisi açık bir şekilde belirtilmelidir. Böylece, ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru olarak algılanmasının önüne geçilmelidir.
• Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından ilgili süreçlerde yer alan görevlilere yönelik gerekli eğitim ve farkındalık çalışmaları periyodik olarak yürütülmelidir.

 

Yukarıda açıklanan esaslara ek olarak, İlke Kararı ile:

 

• geçmiş tarihli duyurular ve karar kapsamında alışverişe ilişkin kasa işlemleri; ödeme yapma, kayıt açma, üyelik oluşturma ve teklif oluşturma süreçleri örneklendirilerek somutlaştırılmış ve
• ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine ilişkin açık rızanın ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi koşulu genişletilerek ürün hizmet sunumu tamamlanmadan önce ilgili kişilere iletilecek SMS içeriklerinde ve/veya fiziksel ya da dijital ortamda yapılan bilgilendirmeler çerçevesinde de açık rızanın hukuka uygun olarak temin edilebileceği belirtilmiştir.

 

Kurul, İlke Kararı’nda anılan esasların yerine getirilmemesi durumunda, Kanun’un 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri sorumlularının kişisel verilerin hukuka uygun işlenmesini teminen öngörülen idari ve teknik tedbirleri alma yükümlülüğünün yerine getirilmemesi dolayısıyla Kanun’un 18’inci maddesi uyarınca idari işlem tesis edeceğini İlke Kararı’nda ayrıca bildirmiştir.

İlke Kararı’na buradan ulaşabilirsiniz.