ARTICLE
1 July 2025

Kişisel Verileri Koruma Hukuku Bülteni Kişisel Verileri Koruma Kurulu'nun (KVKK) Sms Doğrulama Kodu Yoluyla Gizli Onay Alinmasına Yönelik Kritik İlke Kararı

Bu uygulamada şirketler (veri sorumluları); ödeme, üyelik, kayıt veya teklif alma gibi işlemler sırasında tüketiciden iletişim bilgilerini (genellikle cep telefonu numarası) talep etmektedir.
Turkey Privacy

Karar Bilgileri:
Kurum: KVKK
Karar Türü: İlke Kararı
Tarih: 10/06/2025
Sayı: 2025/1072

1. Kararın Özeti:
KVKK, tüketicilerden gelen şikayetler üzerine yaygın bir uygulamayı mercek altına almıştır.

Bu uygulamada şirketler (veri sorumluları); ödeme, üyelik, kayıt veya teklif alma gibi işlemler sırasında tüketiciden iletişim bilgilerini (genellikle cep telefonu numarası) talep etmektedir. Ardından, bu numaraya bir SMS ile doğrulama kodu gönderilmektedir.

Tüketiciye bu kodun; faturanın oluşturulması, ödemenin tamamlanması veya bilgilerin güncellenmesi gibi işlem için zorunlu bir adım olduğu izlenimi verilmektedir. Ancak tüketici bu kodu sisteme girdiğinde veya görevliye söylediğinde, aslında farkında olmadan ticari elektronik ileti (pazarlama SMS'leri, epostaları vb.) gönderilmesine de onay vermiş olmaktadır. Kısacası, işlemsel bir gereklilik beyanı ile tüketiciden pazarlama faaliyetleri için rızaya dayanmadan onay alınmaktadır.

2. Kurul'un Kararları ve Getirilen Standartlar
KVKK, yukarıda özetlenen uygulamanın tüketiciyi yanılttığını ve kişisel verilerin korunması ilkesine aykırı
olduğunu belirterek aşağıdaki standartların altını çizmiştir:

Şeffaflık ve Aydınlatma Yükümlülüğü: Şirketler, gönderdikleri SMS kodunun gerçek amacını net bir şekilde açıklamak zorundadır. Tüketici, bu kodu paylaştığında verilerinin nasıl işleneceği ve ne gibi sonuçlar doğuracağı konusunda açık ve anlaşılır bir şekilde bilgilendirilmelidir.

“Tek Tıkla” Çoklu Onay Döneminin Sonu: Tüketicinin tek bir eylemiyle (örneğin, bir kodu girmesiyle) hem üyelik sözleşmesini onaylaması, hem kişisel verilerinin işlenmesine izin vermesi, hem de pazarlama iletilerine onay vermesi gibi birbiriyle alakasız birden fazla onayın aynı anda alınması uygulamasına son verilmelidir.

Açık Rızanın Ayrıştırılması: Eğer bir veri işleme faaliyeti (örneğin pazarlama) için “açık rıza” gerekiyorsa, bu rıza diğer onaylardan ayrı olarak, özgür iradeyle alınmalıdır. Tüketiciye “pazarlama iletilerini almak istemiyorum” seçeneği sunulmalıdır ve bu seçenek varsayılan olarak işaretli olmamalıdır.

Hizmeti Rızaya Bağlama Yasağı: Pazarlama amacıyla veri işlenmesine onay verilmesi, bir ürünün satın alınması veya bir hizmetin sunulması için bir ön şart olarak sunulamaz. Tüketici, pazarlama izni vermediği için hizmetten mahrum bırakılamaz.

Şirketler, bunu sağlayacak teknik ve idari altyapıyı kurmakla yükümlüdür.

3. Kararın Olası Etkileri

Tüketiciler İçin Çıkarımlar:

  • Daha Fazla Kontrol: Artık bir alışveriş yaparken gelen doğrulama kodunun ne işe yaradığını sorgulama ve sadece pazarlama amaçlı ise reddetme hakkınız doğacaktır.
  • Hizmet Alma Hakkının Korunması: Bir ürünü satın almak için o şirketin reklam mesajlarına maruz kalmak zorunda değilsiniz.

Bu karar, hizmet alımını pazarlama izninden net bir şekilde ayırmaktadır.

  • “Karanlık Tasarım Desenlerine” (Dark Patterns) Karşı Koruma: Karar, şirketlerin kullanıcı arayüzlerini ve işlem akışlarını, tüketicileri istemedikleri eylemlere yönlendirecek şekilde tasarlamasını engelleyen önemli bir adımdır.

Veri Sorumluları İçin Çıkarımlar:

  • Acil Eylem Gerekliliği: Veri sorumlularının ödeme, üyelik ve kayıt süreçlerini derhal gözden geçirmeleri gerekmektedir. “Kodu girerek hem sözleşmeyi hem de kampanya bilgilendirmelerini kabul etmiş olursunuz” şeklindeki tüm ifadeler ve uygulamalar hukuka aykırı hale gelmiştir.
  • İşlemsel İleti vs. Ticari İleti Ayrımı: Şirketler, fatura veya teslimat bilgisi gibi işlemsel
    (zorunlu) iletiler ile kampanya, indirim gibi ticari (isteğe bağlı) iletiler arasındaki ayrımı sistemlerinde net bir şekilde yapmalıdır. Doğrulama kodu, sadece işlemsel amaçlar için kullanılabilir.

Ticari amaçlar için ayrı ve açık bir onay mekanizması (örneğin, işaretlenmemiş bir onay kutucuğu) kurulmalıdır.

  • Risk Yönetimi: Bu karara uymamak, sadece KVKK tarafından Kanun'un 18. maddesi

uyarınca kesilecek yüksek idari para cezaları anlamına gelmez. Aynı zamanda marka itibarını zedeleyen ve müşteri güvenini sarsan bir risk faktörüdür.

Bu karar, KVKK'nın, GDPR gibi modern veri koruma rejimlerinin temel ilkelerinden olan “rızanın ayrıştırılması” ve “şeffaflık” ilkelerini Türkiye'deki uygulamalara ne kadar kararlılıkla entegre ettiğini göstermektedir.

4. Sonuç ve Yaptırım

KVKK, bu ilke kararına uymayan veri sorumluları hakkında Kanun'un 18. maddesi uyarınca idari para
cezası başta olmak üzere gerekli yasal işlemleri yapacağını net bir şekilde ifade etmiştir. Bu nedenle,
tüm şirketlerin ilgili süreçlerini bu yeni standartlara uygun hale getirmesi kritik bir zorunluluktur.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More