26 Haziran 2025 Tarihli Resmi Gazete
Sayı: 32938
Kişisel Verileri Koruma Kurumundan:
KARAR
Karar Tarihi: 10/06/2025
Karar No: 2025/1072
Toplantı Sıra Sayısı: 2025/18
Konu Özeti: Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı
Toplantıya Katılan Üyeler
Başkan: Prof. Dr. Faruk BİLİR
Üyeler: Cennet ALAS ŞEKERBAY, Bayram ARSLAN, Şaban BABA, Muhammed Serdar CAFOĞLU, Dr. Ayşenur KURTOĞLU
Kişisel Verileri Koruma Kurulunun 10/06/2025 tarih ve 2025/1072 sayılı İlke Kararında, Kurula intikal eden ihbar ve şikayetlerde yaygın bir uygulama olduğu görülen, ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin iletişim bilgilerinin talep edilmesi ve SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında değerlendirmelerde bulunulmuştur.
Bu kapsamda ürün ve hizmet sunumlarında ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında ilgili kişilerin iletişim bilgilerinin talep edildiği, akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçeleri öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenildiği ancak bahse konu işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiği yolundaki iddialar değerlendirilmiştir.
İlke Kararında, bahse konu kodun verilmesinin alışverişin zorunlu bir unsuru gibi sunulması halinde ilgili kişilerin yanıltılmasına neden olabileceği değerlendirmesinden hareketle;
- Gönderilen SMS kodunun amacının ne olduğu, kodun verilmesi halinde kişisel veriler açısından ne gibi sonuçlar doğuracağı hususunda ilgili kişilere aydınlatma yapılması gerektiği,
- İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi gerektiği, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması gerektiği,
- Açık rızaya istinaden kişisel veri işlenmesi halinde açık rızanın Kanun’da belirtilen unsurları kapsaması gerektiği,
- Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması gerektiği ve bunu sağlamak adına veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerektiği
konularına dikkat çekilerek belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda değerlendirmede bulunulmuştur. (Kaynak: KVKK)
Kişisel Verileri Koruma Kuruntuna (Kurum) intikal eden muhtelif sayıda şikâyet ve ihbarda, ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin iletişim bilgilerinin talep edildiği ve akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenildiği ancak bahse konu işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir.
Kişisel Verileri Koruma Kurulu (Kurul) tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) doğrulama kodu gönderilen SMS’lerin içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca veya yetkilendirdiği kişilerce herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme İşlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.
Bilindiği üzere;
– 6698 sayılı Kişisel Verilerin Korunması Kanuııu’nun (Kanun) 5’inci maddesinde kişisel verilerin İşlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin İşlenmesinin mümkün olduğu işleme şartlan sayılmıştır.
– Kanun’un 3’üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir İrade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tanı bilgi sahibi olması gerekmektedir, Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.
– Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Veri sorumluları tarafından yapılacak aydınlatma, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine de uygun olmalıdır.
– Öte yandan, Kanun’un 12’nci maddesinde veri sorumlularının veri güvenliğine ilişkin yükümlülüklerine yer verilmiş olup söz konusu yükümlülüklerin yerine getirilmemesi halinde Kanun hükümleri gereğince veri sorumluları hakkında Kanun’un 18’inci maddesinde düzenlenen yaptırımların uygulanması gerekmektedir.
Bu kapsamda, yaygın olarak uygulandığı anlaşılan somut duruma ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;
• Ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla (Ş.Abacı) söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
• İlgili kişilere SMS İle doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza İle gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması,
• Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi takdirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceği, bu nedenle tüm süreçlerin Kanun’a uygun şekilde gerçekleştirilmesi,
• Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi ile ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi,
• Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi
gerektiği kararlaştırılmıştır.
Ayrıca, Kanun’un 12’nci maddesinin birinci fıkrası “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ” hükmünü amirdir.
Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve bu kapsamda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.
