Karar Bilgileri:
Kurum: KVKK
Karar Türü: İlke Kararı
Tarih: 10/06/2025
Sayı: 2025/1072
1. Kararın Özeti:
KVKK, tüketicilerden gelen şikayetler üzerine
yaygın bir uygulamayı mercek altına
almıştır.
Bu uygulamada şirketler (veri sorumluları); ödeme, üyelik, kayıt veya teklif alma gibi işlemler sırasında tüketiciden iletişim bilgilerini (genellikle cep telefonu numarası) talep etmektedir. Ardından, bu numaraya bir SMS ile doğrulama kodu gönderilmektedir.
Tüketiciye bu kodun; faturanın oluşturulması, ödemenin tamamlanması veya bilgilerin güncellenmesi gibi işlem için zorunlu bir adım olduğu izlenimi verilmektedir. Ancak tüketici bu kodu sisteme girdiğinde veya görevliye söylediğinde, aslında farkında olmadan ticari elektronik ileti (pazarlama SMS'leri, epostaları vb.) gönderilmesine de onay vermiş olmaktadır. Kısacası, işlemsel bir gereklilik beyanı ile tüketiciden pazarlama faaliyetleri için rızaya dayanmadan onay alınmaktadır.
2. Kurul'un Kararları ve Getirilen
Standartlar
KVKK, yukarıda özetlenen uygulamanın
tüketiciyi yanılttığını ve
kişisel verilerin korunması ilkesine
aykırı
olduğunu belirterek aşağıdaki
standartların altını çizmiştir:
Şeffaflık ve Aydınlatma Yükümlülüğü: Şirketler, gönderdikleri SMS kodunun gerçek amacını net bir şekilde açıklamak zorundadır. Tüketici, bu kodu paylaştığında verilerinin nasıl işleneceği ve ne gibi sonuçlar doğuracağı konusunda açık ve anlaşılır bir şekilde bilgilendirilmelidir.
“Tek Tıkla” Çoklu Onay Döneminin Sonu: Tüketicinin tek bir eylemiyle (örneğin, bir kodu girmesiyle) hem üyelik sözleşmesini onaylaması, hem kişisel verilerinin işlenmesine izin vermesi, hem de pazarlama iletilerine onay vermesi gibi birbiriyle alakasız birden fazla onayın aynı anda alınması uygulamasına son verilmelidir.
Açık Rızanın Ayrıştırılması: Eğer bir veri işleme faaliyeti (örneğin pazarlama) için “açık rıza” gerekiyorsa, bu rıza diğer onaylardan ayrı olarak, özgür iradeyle alınmalıdır. Tüketiciye “pazarlama iletilerini almak istemiyorum” seçeneği sunulmalıdır ve bu seçenek varsayılan olarak işaretli olmamalıdır.
Hizmeti Rızaya Bağlama Yasağı: Pazarlama amacıyla veri işlenmesine onay verilmesi, bir ürünün satın alınması veya bir hizmetin sunulması için bir ön şart olarak sunulamaz. Tüketici, pazarlama izni vermediği için hizmetten mahrum bırakılamaz.
Şirketler, bunu sağlayacak teknik ve idari altyapıyı kurmakla yükümlüdür.
3. Kararın Olası Etkileri
Tüketiciler İçin Çıkarımlar:
- Daha Fazla Kontrol: Artık bir alışveriş yaparken gelen doğrulama kodunun ne işe yaradığını sorgulama ve sadece pazarlama amaçlı ise reddetme hakkınız doğacaktır.
- Hizmet Alma Hakkının Korunması: Bir ürünü satın almak için o şirketin reklam mesajlarına maruz kalmak zorunda değilsiniz.
Bu karar, hizmet alımını pazarlama izninden net bir şekilde ayırmaktadır.
- “Karanlık Tasarım Desenlerine” (Dark Patterns) Karşı Koruma: Karar, şirketlerin kullanıcı arayüzlerini ve işlem akışlarını, tüketicileri istemedikleri eylemlere yönlendirecek şekilde tasarlamasını engelleyen önemli bir adımdır.
Veri Sorumluları İçin Çıkarımlar:
- Acil Eylem Gerekliliği: Veri sorumlularının ödeme, üyelik ve kayıt süreçlerini derhal gözden geçirmeleri gerekmektedir. “Kodu girerek hem sözleşmeyi hem de kampanya bilgilendirmelerini kabul etmiş olursunuz” şeklindeki tüm ifadeler ve uygulamalar hukuka aykırı hale gelmiştir.
- İşlemsel İleti vs. Ticari İleti
Ayrımı: Şirketler, fatura veya teslimat bilgisi gibi
işlemsel
(zorunlu) iletiler ile kampanya, indirim gibi ticari (isteğe bağlı) iletiler arasındaki ayrımı sistemlerinde net bir şekilde yapmalıdır. Doğrulama kodu, sadece işlemsel amaçlar için kullanılabilir.
Ticari amaçlar için ayrı ve açık bir onay mekanizması (örneğin, işaretlenmemiş bir onay kutucuğu) kurulmalıdır.
- Risk Yönetimi: Bu karara uymamak, sadece KVKK tarafından Kanun'un 18. maddesi
uyarınca kesilecek yüksek idari para cezaları anlamına gelmez. Aynı zamanda marka itibarını zedeleyen ve müşteri güvenini sarsan bir risk faktörüdür.
Bu karar, KVKK'nın, GDPR gibi modern veri koruma rejimlerinin temel ilkelerinden olan “rızanın ayrıştırılması” ve “şeffaflık” ilkelerini Türkiye'deki uygulamalara ne kadar kararlılıkla entegre ettiğini göstermektedir.
4. Sonuç ve Yaptırım
KVKK, bu ilke kararına uymayan veri sorumluları
hakkında Kanun'un 18. maddesi uyarınca idari
para
cezası başta olmak üzere gerekli yasal
işlemleri yapacağını net bir şekilde ifade
etmiştir. Bu nedenle,
tüm şirketlerin ilgili süreçlerini bu yeni
standartlara uygun hale getirmesi kritik bir zorunluluktur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
