26 Haziran 2025 tarihli Resmi Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu İlke Kararı (“Karar”) ile Ürün ve Hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin bazı değişiklikler getirmiştir. İşbu Karar'da ayrıca veri sorumlularının veri güvenliğine ilişkin birtakım yükümlülükleri yerine getirmeleri akabinde bahse konu işlemlerin yürütüldüğü süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesine karar verilmiştir.
I. KARARIN ÖZETİ
Kişisel Verileri Koruma Kurumu'na (“Kurum”) iletilen şikayet ve ihbarlarda; çeşitli hizmet sunum süreçlerinde (örneğin ödeme işlemleri, kayıt açılması, üyelik oluşturulması, teklif sunulması gibi) ilgili kişilerin iletişim bilgilerinin talep edilmesini takiben, cep telefonlarına SMS yoluyla bir doğrulama kodu gönderildiği; bu kodun görevliye bildirilmesinin veya sisteme girilmesinin talep edildiği; akabinde ise ilgili kişilere, veri sorumlusunun faaliyetlerine ilişkin olarak ticari elektronik iletiler gönderildiği belirtilmiştir.
Bu uygulama kapsamında, ilgili kişilerin iletişim bilgilerinin alınması sürecinde aydınlatma yükümlülüğünün yerine getirilmediği, açık rıza alınmaksızın kişisel verilerinin işlendiği ve ticari elektronik ileti gönderimiyle birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusunun yükümlülüklerini ihlal ettiği yönünde değerlendirmelerde bulunulmuştur.
II. KARARIN DEĞERLENDİRİLMESİ
Kişisel Verileri Koruma Kurumu Kurulu (“Kurul) veri sorumlusu veya onun yetkilendirdiği kişiler tarafından yürütülen ürün ve hizmet sunum süreçlerinde, ilgili kişilere SMS yoluyla doğrulama kodu gönderildiğini, bu kodun hizmetin tamamlanabilmesi için gerekli olduğu izlenimi yaratılarak kişilerden paylaşılmasının istendiğini ve bu yolla ticari elektronik ileti gönderimi için açık rıza alındığını tespit etmiştir. Kurul, bu uygulamanın ilgili kişilerin yanıltılmasına neden olduğunu ve kişisel veri işleme faaliyetinin aydınlatma yükümlülüğü yerine getirilmeden gerçekleştirildiğini değerlendirmiştir.
Bahsedilen durumun sıkça uygulandığı Kurum'a iletilen şikayet ve ihbarlardan anlaşılmış olup; Kurul tarafından yapılan değerlendirmeler neticesinde, ürün ve hizmet sunumunu kapsayan süreçlerde ilgili kişilerin telefonuna gönderilecek olan SMS'lerin amacının ne olduğu ve ilk aşamada iletilen kodun verilmesi halinde ne gibi sonuçlar doğurabileceği hususlarında veri sorumluları tarafından açık ve anlaşılır biçimde bilgilendirme yapılması, yani aydınlatma yükümlülüğünün yerine getirilmesi gerektiği sonucuna varılmıştır. Bu doğrultuda, SMS içeriklerinde de bilgilendirme kanallarının sağlanması gerektiğine karar verilmiştir. Bahsi geçen tespitin temelinde, Kanun'un 10. maddesi ile veri sorumlusuna yüklenen aydınlatma yükümlülüğü yer almakta olup; işbu madde uyarınca kişisel verilerin elde edilmesi sırasında, veri sorumlusunun veri işleme amacı, hukuki sebebi ve kişisel verilerin kimlere aktarılabileceği gibi hususlarda ilgili kişiye bilgi vermesi gerekmektedir.
Bu çerçevede, aydınlatma yükümlülüğü yalnızca açık rıza alınması gereken durumlarda değil; Kanun'un 5. maddesinde belirtilen diğer veri işleme şartlarına dayanılarak gerçekleştirilecek işlemlerde de bağımsız ve öncelikli bir yükümlülük olarak yerine getirilmelidir. Ayrıca, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanması halinde dahi, veri sorumlusunun aydınlatma yükümlülüğünü ayrı bir işlem olarak ve açık rızadan bağımsız şekilde ifa etmesi gerekmektedir. Bu kapsamda yapılacak aydınlatmanın, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun biçimde gerçekleştirilmesi gerekmektedir.
Kurul, yaptığı değerlendirmede, SMS aracılığıyla gönderilen doğrulama kodlarının, birbirinden farklı nitelikteki veri işleme faaliyetleri için aynı anda kullanılması suretiyle tek bir işlem altında birleştirilmesinin hukuka aykırı olduğunu belirtmiştir. Özellikle üyelik işleminin gerçekleştirilmesi ile ticari elektronik ileti gönderimine onay verilmesi gibi birbirinden bağımsız işleme faaliyetlerinin, aynı doğrulama kodu üzerinden ve tek bir onay süreciyle gerçekleştirilmesi, şeffaflık ilkesini zedelemekte ve açık rıza kavramının temel unsurlarıyla bağdaşmamaktadır.
Kanun'un 3. maddesinde açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bu çerçevede, ilgili kişinin her bir veri işleme faaliyeti bakımından ayrı ayrı bilgilendirilmesi ve bu faaliyetlere özgülenmiş açık rızasının, özgür iradesiyle alınması gerekmektedir. Dolayısıyla, veri işleme süreçlerinin bu ilkelere uygun biçimde kurgulanması ve her bir faaliyet için açık rızanın ayrı ayrı temin edilmesi, hem hukuki geçerlilik hem de veri sorumlusunun yükümlülükleri bakımından gereklilik arz etmektedir.
Bu doğrultuda Kurul, ticari elektronik ileti gönderimine onay verilmesinin, hizmet veya ürün temininin zorunlu bir şartı gibi sunulmasının da açık rızanın geçerliliğini ortadan kaldıracağını belirtmiştir. Açık rızanın özgür iradeye dayanması gerektiği dikkate alındığında, ilgili kişilerin ticari elektronik ileti izni vermeye zorlandıkları veya bu iznin hizmetten yararlanabilmenin ön koşulu gibi sunulduğu durumlarda, alınan rızanın geçerli kabul edilemeyeceği açıktır. Kurul, bu tür uygulamaların Kanun'un 3. maddesinde yer alan “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” unsurlarıyla bağdaşmadığını değerlendirmiştir.
Nitekim Kararda, doğrulama kodunun görevliyle paylaşılması suretiyle verilen onayın, hizmetin sunulması bakımından zorunlu bir unsur olarak yapılandırılmaması gerektiği açıkça ifade edilmiştir. Başka bir deyişle, ilgili kişi doğrulama kodunu paylaşmasa dahi temel hizmet veya ürün sunumunun engellenmemesi gerekmektedir. Aksi takdirde, kişisel veri işleme faaliyeti; Kanun'un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri ile 5. Maddede düzenlenen açık rızaya dair unsurlarla çelişir hale gelecektir. Kurul bu bağlamda, veri sorumlularının ticari elektronik ileti izni alma süreçlerini, hizmet sunumu ile koşullandırmaksızın ve tamamen isteğe bağlı, ayrı bir onay süreci olarak yapılandırmaları gerektiği hususunu önemle vurgulamıştır.
Bununla birlikte Karar'da, söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumu için zorunlu olmadığı, kodun verilmemesi halinde de söz konusu hizmet ve ürünün kişilere sunulabileceği, bunun yanı sıra kod ile verilen izin ve tercihlerin kişilerce diledikleri zaman değiştirilebileceklerine ilişkin bilginin net bir şekilde belirtilmesi ve bunu sağlamaya yönelik yöntemlerin tercih edilmesi gerektiği belirtilmiştir. Bu nedenle, ticari elektronik ileti iznine ilişkin açık rızanın, hizmetin sunulması için zorunluymuş gibi yapılandırılmasının engellenmesi amacıyla, bu sürecin açıkça ayrıştırılması ve gerekli uygulamaların veri sorumlularınca hayata geçirilmesi gerektiği vurgulanmıştır.
Bu yaklaşımla birlikte, veri sorumlusunun yalnızca açık rıza süreçlerini yapılandırmakla yetinmemesi, aynı zamanda kişisel verilerin güvenliğine ilişkin genel yükümlülüklerini de yerine getirmesi gerekmektedir. Nitekim, Kanun'un 12. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirlerin alınması zorunludur. Bu kapsamda, hizmet ve ürün sunumuna ilişkin işlemleri yürüten personelin veri koruma mevzuatına uygun biçimde hareket etmesini sağlamak üzere, farkındalık artırıcı faaliyetlerin düzenli şekilde yürütülmesi gerekliliği de karar kapsamında değerlendirilmiştir.
III. SONUÇ
Kişisel verilerin korunması, bireylerin özel hayatının gizliliği kadar, temel hak ve özgürlüklerinin güvence altına alınması açısından da büyük önem taşımaktadır. Ancak günümüzde, özellikle dijital hizmetlerin sunumu sırasında kişisel verilerin işlenmesi süreci, çoğu zaman ilgili kişilere yeterli bilgilendirme yapılmaksızın ve açık rıza ilkelerine aykırı biçimde yürütülmektedir. Ticari elektronik ileti gönderimi gibi hizmetten bağımsız veri işleme faaliyetlerinin, hizmetin ayrılmaz bir parçası gibi sunulması, açık rızanın geçerliliğini ortadan kaldırmakta; bu durum, Kanunu'nda yer alan temel ilkelerle bağdaşmamaktadır.
Kurul'un 26 Haziran 2025 tarihli İlke Kararı ile, veri sorumlularının; aydınlatma yükümlülüğünü usulüne uygun şekilde yerine getirmeleri, açık rıza süreçlerini her bir veri işleme faaliyeti özelinde ayrı ayrı yapılandırmaları, hizmet sunumunu ticari ileti izniyle koşullandırmamaları ve teknik-idari tedbirleri eksiksiz olarak uygulamaları gerektiği açıkça ortaya konmuştur. Ayrıca, doğrulama kodlarının iletildiği süreçlerde ilgili kişilere şeffaf bir şekilde bilgi verilmesi ve bu sürecin, Kanun'un ruhuna uygun şekilde yapılandırılması zorunluluğu vurgulanmıştır.
Kurum'un bu konuya paralel olarak 17.12.2021 ve 13.11.2023 tarihlerinde “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS İle Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” başlığıyla paylaştığı kamuoyu duyuruları ile güncel ilke kararının temelleri atılmış ve Kurul, kararda işaret ettiği SMS kullanımı yönteminin üzerinde daha sıkı şekilde durulması gerektiğini ifade etmiştir.
Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilebilmesi adına;
a) SMS ile gönderilen kodların ürün ve hizmet sunum süreçlerinden bağımsız yürütülmesi adına uygulanabilir tüm yöntemlerin kullanılması ve müşteriden üyelik onayı, açık rıza ya da ticari ileti izinlerinin ayrı ayrı alınması,
b) Gönderilen SMS içeriklerinde iletilen kodun neden istendiği ve hangi amaçla kullanılacağının anlaşılır bir dille anlatılması,
c) Özellikle ödeme sürecinde faaliyet gösteren şirket personellerinin bu konuda bilinçlenmesi adına eğitimler verilmesi, uygun olacaktır.
Bu çerçevede, karara konu edilen şikayet ve ihbarlar doğrultusunda veri sorumlularının yukarıda belirtilen yükümlülüklere aykırı hareket ettiklerinin tespiti halinde, Kanun'un 18. maddesi uyarınca idari yaptırımların (2025 yılı için Kanun'un 12. Maddesine aykırılık halinde 204.285-TL – 13.620.402-TL aralığı, Kanun'un 15. Maddesine aykırılık halinde 340.476-TL – 13.620.402-TL aralığında uygulanabilecek idari para cezaları) uygulanabileceği hususu kamuoyuna duyurulmuş; veri sorumlularının hem hukuki sorumluluklarını yerine getirmeleri hem de ilgili süreçlerde kişisel veri güvenliğini esas alan uygulamaları vakit kaybetmeksizin hayata geçirmeleri gerektiği belirtilmiştir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
