Duyurular

KVKK Tarafından "SMS'le Doğrulama Kodu" İstenmesine İlişkin İlke Karar Yayınlanmıştır

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Kişisel Kişisel Verileri Koruma Kurulunun (“Kurul”) 10/06/2025 Tarihli ve 2025/1072 Sayılı Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında İlke Kararı (“İlke Karar”) 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanmıştır.

 

Ödeme yapma, üyelik oluşturma veya kayıt açma gibi işlemler sırasında iletişim bilgileri talep edilerek vatandaşların cep telefonlarına SMS ile doğrulama kodu gönderilmesi; ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenilmesi uygulamasıyla ilgili Kurum'a çok sayıda şikâyet ve ihbar ulaşmıştır.

 

Söz konusu şikayet ve ihbarlara ilişkin Kurul tarafından gerçekleştirilen incelemelerde veri sorumlusu tarafından veya yetkilendirdiği kişilerce ilgili kişilere ürün ve hizmet sunumlarına ilişkin süreçlerde doğrulama kodu gönderilen SMS’lerin içeriklerinde veya SMS gönderimi öncesinde herhangi bir aydınlatma yapılmadığı, söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı  tespit edilmiştir.

 

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3’üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.

 

Açık rızanın taşıması gereken üç unsur bulunmaktadır. Bu unsurlar sırasıyla aşağıdaki şekildedir;

 

  1. İlk olarak alınan açık rıza belirli bir konuya ilişkin ve o konu ile sınırlı olmalıdır. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanı söz konusu ise açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir.
  2. Geçerli bir açık rıza için kişinin neye rıza gösterdiğini bilmesi, kişinin hem konu hakkında hem de rızasının sonuçları hakkında bilgi sahibi olması gerekmektedir.
  3. Son olarak, bir irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde yani özgür irade söz konusu ise geçerlilik kazanacaktır.

İlke Karar’da ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürülmesi halinde özgür irade unsurun zedelendiğinden geçerli bir açık rızadan söz edilemeyeceğine vurgu yapılmıştır.

 

Bunun yanında, somut olaylara ilişkin Kurul tarafından yapılan inceleme ve değerlendirmeler sonucunda aşağıdaki hususlar tespit edilmiştir;

 

  • Ürün ve hizmet sunumlarına ilişkin ödeme, üyelik ve benzeri işlemler esnasında veri sorumlusunun görevlileri tarafından ilgili kişilerin telefonuna gönderilecek olan SMS’e ilişkin gerekli aydınlatmanın yapılması gerektiği, söz konusu SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı açık ve anlaşılır bir dille aktarılmalıdır.
  • Açık rıza alınması ile aydınlatma yükümlülüğünün yerine getirilmesi işlemleri birbirinden bağımsız olarak yürütülmelidir.
  • Ticari elektronik ileti gönderimine ilişkin açık rızanın alınması amacıyla SMS doğrulama kodu gönderilmesi uygulamasına başvurulması halinde söz konusu rıza Kanun’da öngörülen tüm unsurları taşıyacak şekilde alınmalıdır.
  • Ticari elektronik ileti gönderimine yönelik kişisel veri işleme faaliyetleri kapsamında alınacak açık rıza, ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur olarak sunulmamalıdır; aksi halde rızanın “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” unsurları zedelenecektir. Bu nedenle tüm süreçler Kanun’a uygun biçimde yürütülmelidir.
  • Ticari elektronik ileti gönderilmesine yönelik açık rızanın ürün ve hizmet sunumu tamamlandıktan sonra talep edilmesi veya SMS içeriklerinde, veri sorumlusu tarafından yapılan fiziksel ya da dijital bilgilendirmelerde; ilgili kişiye, doğrulama kodunun görevli ile paylaşılmasının ürün ve hizmetin sunulması için zorunlu olmadığı, kodun verilmemesi durumunda da hizmetin sunulmaya devam edileceği, ayrıca verilen izin ve tercihlerin istendiği zaman değiştirilebileceği hususlarına açıkça yer verilmesi gerekmektedir. Böylece açık rızanın hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmelidir.
  • Süreçlerin hukuka uygun yürütülmesini teminen, veri sorumlularınca bu süreçlerde görev alan personele yönelik düzenli olarak gerekli eğitim ve farkındalık çalışmaları gerçekleştirilmelidir.
  • Ayrıca veri sorumlusu tarafından Kanun’un 13. maddesi uyarınca gerekli tüm teknik ve idari tedbirler alınmalıdır.

 

Alınan İlke Karar’a uygun hareket etmeyen veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesinde yer alan cezai işlemler uygulanacaktır.

 

Söz konusu İlke Karar’ın tam metnine buradan ulaşabilirsiniz.