Kişisel Verileri Koruma Kurulu Mağazaların Ürün ve Hizmet Sunumu Sırasında Müşterilere Adeta Zorla İletilen SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Süreçleri Hakkında İlke Kararı Verdi

Son yıllarda mağazalardan yapılan alışverişler sırasında ilgili kişilerin iletişim bilgilerinin talep edilmesi ve/veya SMS ile doğrulama kodu gönderilerek açık rızalarının alınması sonrasında, alınan iletişim bilgilerine reklam amaçlı ticari elektronik ileti gönderilmesi uygulaması fazlasıyla artmıştır. Tüketiciler tarafından artarak dile getirilen bu şikâyetler ile konunun yaygın bir niteliğe ulaşması sonucunda, Kişisel Verilerin Korunması Kurulu ("Kurul") 26.06.2025 tarihinde Resmi Gazete'de yayımlanan 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı ("İlke Kararı") ile bu konuya açıklık getirmiştir.

Belirtmek gerekir ki Kişisel Verileri Koruma Kurumu ("Kurum") esasen konu hakkında ilk olarak 17.12.2021 tarihinde "Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu" yayımlamıştır. Ardından yine iletilen şikâyetler sonucunda Kurul tarafından yayımlanan, 28.09.2023 tarihli ve 2023/1653 sayılı kararıyla veri sorumlusunun açık rızanın geri alınması sonrasında veri işleme faaliyetine son vermesi nedeniyle veri sorumlusuna herhangi bir yaptırım uygulamamıştır. Daha sonradan 13.11.2023 tarihinde "Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu" ile alışverişlerdeki kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi konusuna ilişkin son kamuoyu duyurusunu yayımlamıştır.

Kurul bahsettiğimiz kamuoyu duyuruları ve kararında aydınlatma yükümlülüğünün ve açık rıza alınması süreçlerinin Kişisel Verilerin Korunması Kanunu'na ("Kanun") uygun bir şekilde yürütülmesi, farklı veri işleme faaliyetlerine ilişkin olarak ayrı ayrı açık rıza alınması, alınan açık rızaların alışverişin zorunlu bir unsuruymuş gibi tüketiciye yansıtılmaması konularının altını çizmiştir.

Ancak bütün bu kamuoyu duyurusu ve verilen birel nitelikteki kararlara rağmen söz konusu uygulamanın hala devam etmesi ve ihlalin yaygın bir nitelik taşıması nedeniyle Kurul nihai olarak İlke Kararı'nı yayımlamıştır.

İlke Kararı'nda; Kurul'a ulaşan şikâyetlerde, ödeme veya üyelik gibi işlemler sırasında kullanıcıların iletişim bilgilerinin alınıp SMS ile doğrulama kodu gönderildiği, kodun işlem için zorunluymuş gibi gösterildiği, ardından ticari elektronik ileti gönderilerek açık rızanın bu yolla alındığının tespit edildiği belirtilmiştir.

Bu tespitlerle ortaya konulan uygulamaların; Kanun'un, 3. maddesinde öngörülen açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmesi şartına, 10. maddesinde düzenlenen aydınlatma yükümlülüğünün bütün unsurlarıyla yerine getirilmesi zorunluluğuna ve 12. maddesinde yer alan kişisel verilerin hukuka aykırı şekilde işlenmesi ve erişilmesinin önlenmesi, güvenliğinin sağlanması için gerekli teknik ve idari tedbirlerin alınması yükümlülüklerine aykırı olduğu şüphesizdir.

Bütün bu tespit ve değerlendirmelerin sonucunda Kurul;

1. Ürün ve hizmet sunum süreçlerinde (ödeme, kayıt, üyelik, teklif vb.) ilgili kişilere gönderilen SMS'in amacının ve kodun paylaşılması halinde doğabilecek sonuçların, katmanlı aydınlatma gereği olarak ilk aşamada veri sorumlusu görevlileri tarafından açık ve anlaşılır şekilde açıklanması; ayrıca SMS içeriklerinde de aydınlatma yükümlülüğünün yerine getirilmesine imkân tanıyacak bilgilendirme kanallarının sağlanması,
2. İlgili kişilere gönderilen doğrulama SMS'i üzerinden üyelik onayı, kişisel veri işleme izni, ticari ileti izni gibi farklı işleme faaliyetlerinin tek bir işlemde toplanmasına son verilmesi; açık rıza gerektiren işlemler için seçenek sunularak ayrı ayrı açık rıza alınması,
3. Açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin veri sorumluları tarafından ayrı ayrı gerçekleştirilmesi,
4. Ticari elektronik ileti gönderimi için açık rıza almak amacıyla SMS doğrulama kodu gönderiliyorsa, bu işlemle alınacak açık rızanın Kanun'da belirtilen tüm unsurları kapsaması,
5. Ticari elektronik ileti izni verilmesinin, ürün veya hizmetin sunumu için zorunlu bir şart gibi gösterilmemesi,
6. Ticari elektronik ileti için açık rızanın, ürün veya hizmet sunumunun tamamlanmasından sonra talep edilmesi veya SMS/diğer bilgilendirme kanallarında, kodun paylaşılmaması durumunda ürün ve hizmetin sunulmaya devam edeceği, kod ile verilen izinlerin istenildiğinde değiştirilebileceği bilgisinin açık şekilde belirtilerek rızanın zorunlu unsur gibi algılanmasının önüne geçilmesi,
7. İşlemlerin hukuka uygun yürütülmesi için veri sorumlularının bu süreçlerde görev alan personeline yönelik gerekli eğitim ve farkındalık çalışmalarını periyodik olarak gerçekleştirmesine,
8. Ayrıca, Kanun'un 12. maddesi uyarınca veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları göz önünde bulundurularak yukarıda belirtilen hususların bu yükümlülüklere de uygun bir biçimde yerine getirilmesi gerektiği, aksinin tespit edilmesi durumunda ilgili veri sorumluları hakkında Kanun'un 18. maddesi uyarınca işlem yapılacağına karar verilmiştir.

Bu çerçevede veri sorumluları tarafından; SMS ile doğrulama süreçlerinin yeniden gözden geçirilmesi, aydınlatma metinlerinin güncellenmesi, açık rıza süreçlerinin diğer işlemlerden bağımsız ve ayrı şekilde yürütülmesi, ticari ileti izinlerinin tüketiciye ürün veya hizmet sunumunun adeta bir zorunlu unsuru olarak sunulmaması ve en önemlisi ilgili saha personelinin söz konusu izinlerin alınması noktasında düzenli eğitilmeleri önem arz etmektedir.

Katkılarından dolayı İsmail Arslan'a teşekkürler.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.