Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı Hakkında

26.06.2025 tarihli 32938 sayılı Resmi Gazete’de Kişisel Verileri Koruma Kurulu’nun 10/06/2025 Tarihli ve 2025/1072 Sayılı Kararı yayımlanmış olup karara ilişkin bilgilendirmeye aşağıda yer verilmiştir.

Kurul, veri sahiplerinden ürün ve hizmet alım süreçlerinde iletişim bilgisi topladıktan sonra, ödemeyi tamamlamak, fatura oluşturmak ya da bilgileri güncellemek gerekçesiyle SMS ile doğrulama kodu talep edildiği; ancak bu kod girildikten sonra, önceden hiçbir aydınlatma yapılmaksızın ticari elektronik iletiler gönderilerek müşterilerin onayının yanıltıcı şekilde alındığı, SMS’in gerçek amacının, kodun kullanılması hâlindeki sonuçları ve ticari ileti izni konusunda şeffaf davranılmadığı, kodun sisteme girilmesinin zorunlu olduğu izlenimi yaratıldığı tespit edilmiştir.

Kurul tarafından bu uygulamanın Kanunu’nun 3. maddesinde tanımlanan açık rızanın taşıması gereken üç unsuru olan belirlilik, bilgilendirme ve özgür irade unsurlarını ihlal ettiğini, Kanunu’nun 10. maddesinde düzenlenen aydınlatma yükümlülüğünün yerine getirilmediği belirtilmiştir.

Bu kapsamda yapılması gerekenler aşağıdaki şekilde belirtilmiştir.

·SMS ile gönderilecek doğrulama kodunun amacının ve kodu vermenin sonuçlarının, katmanlı aydınlatma kapsamında anlaşılır şekilde baştan bildirilmesi,

·SMS içeriklerine ve ilişkilendirilen dijital ve fizikî kanallara gerekli aydınlatma metinlerinin eklenmesi,

·Üyelik onayı, kişisel veri işleme ve ticari ileti onayı gibi farklı işlemler için ayrı ayrı, özgür iradeye dayalı açık rıza alınması,

·Kod doğrulama için toplanacak rızanın KVKK’da öngörülen tüm unsurları kapsayacak şekilde düzenlenmesi,

·Kod girilmesi zorunluymuş algısını ortadan kaldıracak açıklamaların yapılması (kod verilmezse de hizmet sunulabileceği, izinlerin değiştirilebileceği vb.),

·Bu süreçlerde görevli personele yönelik periyodik eğitim ve farkındalık çalışmaları yürütülmesi.

Belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanunu’nun 18. maddesi hükümleri çerçevesinde işlem tesis edileceği belirtilmiştir. Kararın tamamına buradan ulaşabilirsiniz.