Kişisel Verileri Koruma Kurulu tarafından 17.12.2021 tarihinde SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyurusu yayınlanmıştır. Kurul, kendisine çok sayıda şikayet ile ihbar geldiğini belirtmiş ve mağazalarda alışveriş sırasında müşterilere giden tek seferlik doğrulama kodunun alınması yoluyla muvafakat sağlamak sureti ile ticari elektronik ileti gönderildiği iddiasını incelemiştir. İnceleme sonucunda kurul, doğrulama kodu gönderilirken veri sorumlusu tarafından aydınlatma yapılmadığını belirtmiş, mağazaların ödeme işlemlerinin tamamlanması veya bilgilerin güncellenmesi için istediği kodların aslında elektronik ileti gönderimine ilişkin açık rıza almak amacını taşıdığını tespit etmiştir.
Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesine atıf yaparak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtmiştir. Sonrasında açık rızanın üç unsurunu belirtmiştir. Açık rızanın ilk unsuru, açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olmasıdır. Kısacası, veri sorumlusu açık rızayı hangi kapsamda aldığını açıkça göstermekle yükümlüdür. İkinci unsur ise açık rızada bulunan kişinin neye rıza gösterdiğini tam olarak bilmesi ve sonuçlarının farkında olmasıdır. Üçüncü unsur ise kişinin yaptığı davranışın, verdiği iznin bilincinde olmasıdır. Böylece, kişinin iradesini sakatlayacak ve özgür şekilde karar vermesinin önüne geçecek durumlarda özgür iradeden dolayısıyla açık rızadan bahsedilemeyecektir. Kararın konusunu oluşturan olayda olduğu gibi, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.
Kurum tüm bu tespitleri sonucunda şu sonuçlara ulaşmıştır:
· Katmanlı aydınlatmanın bir gereği olarak mağaza çalışanları tarafından SMS’in amacı ve sonuçlarının ilgili kişiye bildirilmesi gerekmekte, ayrıca sonrasında SMS içeriklerinde gerekli kanallar sağlanmalıdır.
· Ödeme esasında gönderilen kod ile üyelik sözleşmesi, kişisel verileri işletme izni, ticari elektronik ileti onayı gibi birbirinden farklı işleme faaliyetleri tek bir eylemle gerçekleştirilmesinde ilişkin uygulamalara son verilmesi ve sayılan işlemlerin seçenekli olarak tek tek, açık rıza alınarak yapılması gerekmektedir.
· Aydınlatma yükümlülüğü ve açık rıza tek bir işlemle alınmamalıdır.
· Ticari elektronik ileti gönderimini sağlamak için SMS gönderilmesi halinde yukarıda belirtilen açık rızanın tüm unsurları mevcut olmalıdır.
Kararın tamamına aşağıdaki linkten ulaşabilirsiniz:
Comments