Kişisel Verileri Koruma Kurulu (“Kurul”) 10.06.2025 tarihli ve 2025/1072 sayılı ilke kararı (“İlke Kararı”) ile; ürün ve hizmet sunumu süreçlerinde ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi uygulamasının kişisel verilerin işlenmesi esaslarına yer verilmiştir. İlgili İlke Kararı 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete’de ve Kişisel Verileri Koruma Kurumu internet sitesinde yayınlanmıştır.
İlke Kararı Kapsamında Getirilen Esaslar Nelerdir?
Kurul tarafından kendisine iletilen çok sayıda şikâyet ve ihbar üzerine, mağazalarda alışveriş sürecinde kasada kişilere gönderilen SMS doğrulama kodlarının alışverişin tamamlanması için zorunlu bir süreç izlenimi yaratılarak kişilerden alındığı, ancak uygulamada bu kodların veri sorumlusu tarafından elektronik ticari ileti onayı alınmak üzere sisteme girildiğine yönelik iddialar değerlendirilmiştir.
Kurul tarafından yapılan değerlendirmede, ilgili kişilere gönderilen doğrulama kodu içeren SMS gönderimine ilişkin;
- Veri sorumlusunca veya yetkilendirdiği kişilerce gerektiği şekilde aydınlatma yapılmaması ve/veya
- Doğrulama kodunun elektronik ticari ileti gönderimine ilişkin açık rızanın verilmesi için alınmasına karşın alışverişin tamamlanması için gerekli olduğu belirtilerek ön şart olarak sunulması
yoluyla ilgili kişilerin yanıltıldığı tespit edilmiştir. Bu kapsamda Kurul; SMS ile doğrulama kodu gönderilmesi suretiyle ticari elektronik ileti onayı alımına ilişkin süreçteki kişisel veri işleme faaliyetinde uyulması gereken esasları geçmiş Kurul kararları ve Kurum tarafından konu hakkında yapılan açıklamalara paralel olarak İlke Kararı kapsamında belirtmiştir. Buna göre özetle;
(i) İlgili kişi SMS doğrulama kodunun amacı ve sonucu konusunda açıkça bilgilendirilmeli ve SMS içeriğinde gerekli bilgilendirme kanalları sağlanmalıdır,
(ii) Aydınlatma ve açık rıza süreçlerinin ayrıştırılması ve ilgili kişilerden açık rıza gerektiren işleme faaliyetlerine yönelik ayrı ayrı ve Kanun’daki gereklilikleri karşılayacak nitelikte açık rıza alınmalıdır,
(iii) Açık rızanın şarta bağlanmaması ve bu şekilde bir algı oluşmaması adına ilgili kişilerden alışveriş işleminin tamamlanması sonrasında açık rızanın alınması veya kod gönderim sürecinde alınması halinde onay vermelerinin zorunlu olmadığı ve onaylarını değiştirebilecekleri konusunda bilgilendirme yapılması gerekmektedir.
Sonuç
İlke Kararı kapsamında SMS doğrulama kodu iletilmesi sürecinde uyulması gerektiği belirtilen esaslar Kurul’un geçmiş kararlarında ve 2023 yılında yapmış olduğu Kurum duyurusunda da açıkça belirtilmekteydi. Buna karşın uygulamada halen bu süreçlere devam edildiğinin tespitinin Kurul’un konu hakkında İlke Kararı almasında etkili olduğu anlaşılmaktadır.
Ayrıca; Kurul tarafından alınan İlke Kararı’nda geçmiş açıklamalarına ek olarak SMS ile onay kodunun alışverişin tamamlanmasından önce iletilmesi durumunda SMS içeriğinde ilgili kişilerin onay verme zorunluluğu olmadığı ve tercihlerini her zaman değiştirilebileceği bilgilerinin de yer alması gerektiğine yönelik düzenlemenin de uygulama açısından yeni ve önemli bir ekleme olduğu belirtilmelidir.
Sonuç olarak; Kurul tarafından İlke Kararında belirtilen gerekliliklere uyum sağlanmadığı takdirde Kanun’un 12. maddesi uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari yaptırım ile karşılaşılma riski söz konusu olacaktır.
Kurul tarafından yayınlanan İlke Kararı’na
buradan erişebilirsiniz.
Işılay Işık, Avukat
Cemile Tekdemir, Stajyer Avukat