ARTICLE
2 July 2025

Kişisel Verileri Koruma Kurulu Tarafından SMS Ile Gönderilen Doğrulama Kodlarına İlişkin Şartlar Netleştirildi

SO
Sakar Law Office

Contributor

Sakar is a client and solution oriented, investigative and innovative law firm based in Istanbul. Our Firm is committed to provide our clients with high-quality legal services and business-minded approach. We are a full service law firm to clients across a wide range of areas including Mergers and Acquisitions, Corporate and Commercial, Contracts, Banking and Finance, Competition, Litigation, Employment, Real Estate, Energy, Capital Markets, Foundations, E-commerce, Media and Technology, Data Privacy and Data Protection and Intellectual Property. In order to offer the best possible service for our clients, we harness the latest market developments in legal technology and innovation and we closely follow the legislative changes in Turkish Law. Our lawyers are multi-specialists, equipped to handle a broad range of legal matters. In addition to our depth of experience and awareness of market practice, clients know they will benefit from our team’s innovative mindset and willingness.
Kişisel Verilerin Korunması Kurulu ("Kurul") tarafından 10 Haziran 2025 tarihinde verilen 2025/1072 sayılı, ürün ve hizmet sunumu sırasında ilgili kişilere kısa mesaj (SMS) yoluyla doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin İlke Kararı ("Karar"), 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete'de yayımlanmıştır.
Turkey Privacy

Kişisel Verilerin Korunması Kurulu ("Kurul") tarafından 10 Haziran 2025 tarihinde verilen 2025/1072 sayılı, ürün ve hizmet sunumu sırasında ilgili kişilere kısa mesaj (SMS) yoluyla doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin İlke Kararı ("Karar"), 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete'de yayımlanmıştır.

Söz konusu Karar, özellikle elektronik ticaret ve dijital hizmet sağlayıcılarının kimlik doğrulama süreçlerinde sıklıkla başvurduğu uygulamaların, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında nasıl değerlendirileceğini ortaya koymakta ve bu doğrultuda veri sorumlularına yönelik hukuki yükümlülükleri netleştirmektedir.

Kurul, ürün ve hizmet sunum süreçlerinde (örneğin ödeme, kayıt, üyelik, teklif alma gibi işlemler sırasında) kişilere SMS yoluyla doğrulama kodu gönderilerek bu kodun sisteme girilmesi ya da görevliye iletilmesinin istenmesi ve bu süreçte kişilere ticari elektronik ileti gönderilmesi üzerine gelen şikâyet ve ihbarlar üzerine bir inceleme gerçekleştirmiştir.

İnceleme sonucunda; kişilere gönderilen SMS'lerde herhangi bir aydınlatma yapılmadığı, kodun ödeme ya da kayıt için gerekli olduğu belirtilerek alındığı ancak ticari ileti onayı amacıyla kullanıldığı tespit edilmiştir. Kurul tarafından bu durumun kişilerin yanıltılması anlamına geldiği ve açık rızanın geçerlilik şartlarını karşılamadığı şeklinde değerlendirilmiştir.

Kurul, söz konusu kararında SMS ile doğrulama kodu gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin çeşitli ihlallerin tespit edildiğini belirtmiş ve bu uygulamalara son verilmesi gerektiğini ifade etmiştir. Bu kapsamda, veri sorumlularının aşağıdaki hususlara özellikle dikkat etmesi gerektiği vurgulanmıştır:

  • Doğrulama kodlarının hangi amaçla gönderildiği ve bu işlemin sonuçlarının ilgili kişilere açık ve anlaşılır bir şekilde iletilmesi,
  • 6698 sayılı Kanun'un 10. maddesi çerçevesinde aydınlatma yükümlülüğünün eksiksiz olarak yerine getirilmesi,
  • Açık rıza alınması gereken durumlarda, ilgili kişilere ayrı, özgür iradeye dayalı ve gerçek bir tercih hakkı tanınması,
  • Ticari elektronik ileti izinlerinin, hizmetten yararlanmanın ön şartı gibi sunulmaması, bu izinlerin rıza ilkesine uygun şekilde temin edilmesi,
  • Tüm bu süreçlerin etkin bir şekilde yürütülmesini sağlamak amacıyla ilgili personelin gerekli eğitimlerden geçirilmesi.

Karar sonucunda, kişisel veri işleme faaliyetlerine ilişkin açık rıza SMS yoluyla alınacaksa, iki farklı yöntem öne çıkmaktadır. İlk olarak, açık rıza alınmasına yönelik SMS'in alışveriş tamamlandıktan sonra gönderilmesi tercih edilmelidir. Ancak, açık rızaya yönelik SMS'in alışveriş öncesinde veya esnasında gönderilmesi planlanıyorsa, bu durumda hem SMS içeriğinde hem de veri sorumlusu tarafından gerçekleştirilecek fiziksel ya da dijital bilgilendirmelerde, "Doğrulama kodunun verilmemesinin mal veya hizmetin sunumu için zorunlu olmadığı" açıkça belirtilmelidir.

Kurul'un bu değerlendirmesi ile özellikle dijital hizmet sağlayıcılarının kullanıcı verilerini işlerken mevzuata uyum konusunda daha dikkatli hareket etmeleri gerektiği bir kez daha ortaya konmuştur. Kurul, bu uygulamaların hukuka aykırı veri işleme ve aydınlatma eksiklikleri içerdiğini belirtmiş ve veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi uyarınca gerekli idari ve teknik tedbirleri alması gerektiğine hükmetmiştir. Kurul'un bu "İlke Kararı", Kişisel Verileri Koruma Kurumu'nun 13 Kasım 2023 tarihli Mağaza Alışverişlerinde SMS ile Doğrulama Kodu Gönderilmesine İlişkin KVKK Duyurusu ("Duyuru") ile paralellik göstermektedir.

Kurum'un 13 Kasım 2023 tarihli duyurusunda da yine, Kurul tarafından yapılan incelemede; mağazalarda alışveriş sırasında ödeme/fatura işlemleri gerekçesiyle gönderilen SMS kodlarının ticari ileti onayı amacıyla kullanıldığına ilişkin şikâyetlerin ele alındığı ifade edilmiş olup bu kapsamda benzer önemli ilke ve yükümlülükler belirlenmiştir.

Kurul tarafından yapılmış olan değerlendirmeler sonucunda, söz konusu uygulamalarda Kanun uyarınca yerine getirilmesi gereken aydınlatma yükümlülüğünün ihmal edildiği ve açık rızanın yanıltıcı biçimde alındığı belirlenmiştir. Bu durum Kanun hükümlerine aykırılık teşkil etmektedir. Kurum'un13 Kasım 2023 tarihli Duyurusu ile dikkat çekmekte olduğu hususlar, 10 Haziran 2025 tarihli İlke Kararı ile kamuoyuna bir kez daha hatırlatılmış; veri sorumlularının anılan kurallara uymamaları halinde Kanun kapsamında yaptırım uygulanacağı ifade edilmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More