KİŞİSEL VERİLERİ KORUMA KURUMU’NUN 26.06.2025 TARİHİNDE YAYIMLADIĞI İLKE KARARININ DEĞERLENDİRMESİ
Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 2025/1072 sayılı İlke Kararı (“İlke Kararı”) 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlandı.İlke Kararı uyarınca, ödeme, üyelik veya kayıt gibi işlemler sırasında cep telefonuna gönderilen SMS kodları aracılığıyla ticari elektronik ileti izni veya açık rıza alınmasına son verilmesi gerektiği netleştirilmiştir.
İLKE KARARINA İLİŞKİN KRİTİK TESPİTLER
Kurum tarafından yapılan değerlendirmede, bazı firmaların ürün veya hizmet sunumu sırasında kullanıcılara doğrulama kodu içeren SMS’ler gönderdikleri; ancak bu SMS’lerin içeriğinde ya da gönderim öncesinde yeterli bilgilendirme yapılmadığı tespit edilmiştir. Bu durumun, kullanıcıların neye onay verdiklerini tam olarak bilmeden açık rıza vermelerine neden olduğu ve yanıltıcı bir uygulama niteliği taşıdığı belirtilmiştir.
Kurum, İlke Kararı ile aşağıdaki hususlara uyulmasına dikkat çekmektedir:
· Ürün ve hizmet sunumuyla ilgili işlemlerde kişilere gönderilen SMS’lerin ne amaçla gönderildiği ve bu SMS’te yer alan kodun paylaşılması halinde ne gibi sonuçların doğacağı, katmanlı aydınlatma yaklaşımı doğrultusunda, sürecin en başında veri sorumlusu tarafından açık ve anlaşılır bir şekilde ilgili kişilere anlatılmalıdır. Ayrıca, aydınlatma yükümlülüğünün tam olarak yerine getirilebilmesi için SMS içeriklerinde de gerekli bilgilendirme kanallarına yer verilmelidir.
· Tek bir SMS ile hem üyelik onayı hem açık rıza hem de ticari ileti izni almak hukuken geçerli olmadığından buna yönelik uygulamalara son verilmelidir.
· Kişisel verilerin ilgili kişinin açık rızasına dayanarak işlenmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alma süreçlerinin birbirinden ayrı olarak yerine getirilmesi gerekmektedir.
· Ticari elektronik ileti gönderimi amacıyla açık rıza alınırken SMS doğrulama yöntemi kullanılacaksa, bu süreçte alınacak rızanın, Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan tüm şartları eksiksiz şekilde karşılaması gerekmektedir.
· Ticari elektronik ileti gönderimi amacıyla kişisel verilerin işlenmesine ilişkin açık rıza, ürün veya hizmetin sunulması için zorunlu bir şart gibi ilgili kişilere sunulmamalıdır. Aksi halde, bu durum açık rızanın temel unsurlarından olan “bilgilendirmeye dayanma” ve “özgür iradeyle verilme” ilkelerini zedeleyebilir. Bu nedenle, tüm süreçlerin KVKK’ya uygun biçimde yürütülmesi büyük önem taşımaktadır.
· Ticari elektronik ileti izni için alınacak açık rıza, mümkünse ürün veya hizmet sunumu tamamlandıktan sonra talep edilmelidir. Eğer süreçte SMS ile kod gönderiliyorsa, bu kodun hizmetin sunulması için zorunlu olmadığı, kod verilmediğinde de hizmetin sağlanacağı ve rıza tercihinin her zaman değiştirilebileceği açıkça belirtilerek açık rızanın zorunluymuş gibi algılanmasının önüne geçilmelidir.
· Bu süreçlerin hukuka uygun şekilde yürütülebilmesi için, veri sorumlularının ilgili personeline düzenli olarak eğitimler vermesi ve farkındalık çalışmalarını sürdürülebilir biçimde gerçekleştirmesi gerekmektedir.
KARARIN SONUÇLARI
Bu kapsamda, yukarıda belirtilen tüm hususlar, KVKK’nın 12. maddesi uyarınca veri sorumlularının kişisel verileri hukuka uygun şekilde işlemekle yükümlü olduğu idari ve teknik tedbirler arasında değerlendirilmektedir. Belirtilen ilkelere aykırı hareket edildiğinin tespiti halinde, ilgili veri sorumluları hakkında KVKK’nın 18. maddesi uyarınca gerekli yaptırımlar uygulanacaktır.
İlgili süreçleriniz gözden geçirilerek açık rıza uygulamalarınız KVKK’ya uygun hale getirilmeli ve aydınlatma ile rızalar açık, ayrı ve anlaşılır şekilde düzenlenmelidir.
