Kişisel Verilerin Korunması Kurulu ("Kurul") tarafından 10 Haziran 2025 tarihinde verilen 2025/1072 sayılı, ürün ve hizmet sunumu sırasında ilgili kişilere kısa mesaj (SMS) yoluyla doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin İlke Kararı ("Karar"), 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete'de yayımlanmıştır.
Söz konusu Karar, özellikle elektronik ticaret ve dijital hizmet sağlayıcılarının kimlik doğrulama süreçlerinde sıklıkla başvurduğu uygulamaların, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında nasıl değerlendirileceğini ortaya koymakta ve bu doğrultuda veri sorumlularına yönelik hukuki yükümlülükleri netleştirmektedir.
Kurul, ürün ve hizmet sunum süreçlerinde (örneğin ödeme, kayıt, üyelik, teklif alma gibi işlemler sırasında) kişilere SMS yoluyla doğrulama kodu gönderilerek bu kodun sisteme girilmesi ya da görevliye iletilmesinin istenmesi ve bu süreçte kişilere ticari elektronik ileti gönderilmesi üzerine gelen şikâyet ve ihbarlar üzerine bir inceleme gerçekleştirmiştir.
İnceleme sonucunda; kişilere gönderilen SMS'lerde herhangi bir aydınlatma yapılmadığı, kodun ödeme ya da kayıt için gerekli olduğu belirtilerek alındığı ancak ticari ileti onayı amacıyla kullanıldığı tespit edilmiştir. Kurul tarafından bu durumun kişilerin yanıltılması anlamına geldiği ve açık rızanın geçerlilik şartlarını karşılamadığı şeklinde değerlendirilmiştir.
Kurul, söz konusu kararında SMS ile doğrulama kodu gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin çeşitli ihlallerin tespit edildiğini belirtmiş ve bu uygulamalara son verilmesi gerektiğini ifade etmiştir. Bu kapsamda, veri sorumlularının aşağıdaki hususlara özellikle dikkat etmesi gerektiği vurgulanmıştır:
- Doğrulama kodlarının hangi amaçla gönderildiği ve bu işlemin sonuçlarının ilgili kişilere açık ve anlaşılır bir şekilde iletilmesi,
- 6698 sayılı Kanun'un 10. maddesi çerçevesinde aydınlatma yükümlülüğünün eksiksiz olarak yerine getirilmesi,
- Açık rıza alınması gereken durumlarda, ilgili kişilere ayrı, özgür iradeye dayalı ve gerçek bir tercih hakkı tanınması,
- Ticari elektronik ileti izinlerinin, hizmetten yararlanmanın ön şartı gibi sunulmaması, bu izinlerin rıza ilkesine uygun şekilde temin edilmesi,
- Tüm bu süreçlerin etkin bir şekilde yürütülmesini sağlamak amacıyla ilgili personelin gerekli eğitimlerden geçirilmesi.
Karar sonucunda, kişisel veri işleme faaliyetlerine ilişkin açık rıza SMS yoluyla alınacaksa, iki farklı yöntem öne çıkmaktadır. İlk olarak, açık rıza alınmasına yönelik SMS'in alışveriş tamamlandıktan sonra gönderilmesi tercih edilmelidir. Ancak, açık rızaya yönelik SMS'in alışveriş öncesinde veya esnasında gönderilmesi planlanıyorsa, bu durumda hem SMS içeriğinde hem de veri sorumlusu tarafından gerçekleştirilecek fiziksel ya da dijital bilgilendirmelerde, "Doğrulama kodunun verilmemesinin mal veya hizmetin sunumu için zorunlu olmadığı" açıkça belirtilmelidir.
Kurul'un bu değerlendirmesi ile özellikle dijital hizmet sağlayıcılarının kullanıcı verilerini işlerken mevzuata uyum konusunda daha dikkatli hareket etmeleri gerektiği bir kez daha ortaya konmuştur. Kurul, bu uygulamaların hukuka aykırı veri işleme ve aydınlatma eksiklikleri içerdiğini belirtmiş ve veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi uyarınca gerekli idari ve teknik tedbirleri alması gerektiğine hükmetmiştir. Kurul'un bu "İlke Kararı", Kişisel Verileri Koruma Kurumu'nun 13 Kasım 2023 tarihli Mağaza Alışverişlerinde SMS ile Doğrulama Kodu Gönderilmesine İlişkin KVKK Duyurusu ("Duyuru") ile paralellik göstermektedir.
Kurum'un 13 Kasım 2023 tarihli duyurusunda da yine, Kurul tarafından yapılan incelemede; mağazalarda alışveriş sırasında ödeme/fatura işlemleri gerekçesiyle gönderilen SMS kodlarının ticari ileti onayı amacıyla kullanıldığına ilişkin şikâyetlerin ele alındığı ifade edilmiş olup bu kapsamda benzer önemli ilke ve yükümlülükler belirlenmiştir.
Kurul tarafından yapılmış olan değerlendirmeler sonucunda, söz konusu uygulamalarda Kanun uyarınca yerine getirilmesi gereken aydınlatma yükümlülüğünün ihmal edildiği ve açık rızanın yanıltıcı biçimde alındığı belirlenmiştir. Bu durum Kanun hükümlerine aykırılık teşkil etmektedir. Kurum'un13 Kasım 2023 tarihli Duyurusu ile dikkat çekmekte olduğu hususlar, 10 Haziran 2025 tarihli İlke Kararı ile kamuoyuna bir kez daha hatırlatılmış; veri sorumlularının anılan kurallara uymamaları halinde Kanun kapsamında yaptırım uygulanacağı ifade edilmiştir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
