Kişisel Verileri Koruma Kurulu’nun SMS Yoluyla Doğrulama Kodlarının Gönderilmesine İlişkin İlke Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”), 10/06/2025 tarihli ve 2025/1072 sayılı İlke Kararı (“Karar”) ile, mal ve hizmetlerin sunulması sırasında ilgili kişilere SMS yoluyla doğrulama kodlarının iletilmesi yoluyla kişisel verilerin işlenmesi konusunu ele almıştır. Karar, 26/06/2025 tarihinde Resmi Gazete’de yayımlanmıştır.

Kurul’a ulaşan şikayet ve ihbarlar üzerine yapılan incelemelerde ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemlerde) ilgili kişilerin iletişim bilgilerinin talep edildiği ve akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması ya da faturanın iletişim adresine iletilmesi gibi gerekçelerle söz konusu kodun görevliye bildirilmesinin istenildiği ancak bahsi geçen işlemler akabinde veri sorumlusunun faaliyetleri ile ticari elektronik ileti gönderildiği tespit edilmiştir.

Yapılan tespitler neticesinde, ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilere doğrulama kodu içeren SMS’lerin gönderildiği ancak bu SMS’lerin içeriklerinde veya gönderim öncesinde veri sorumlusu ya da yetkilendirdiği kişiler tarafından herhangi bir aydınlatma yapılmadığı belirlenmiştir. Ayrıca ödeme işlemlerinin tamamlanması ya da bilgilerin güncellenmesi gibi gerekçeler öne sürülerek bu yöntemle veri sorumlusu tarafından elektronik ileti gönderilmesine ilişkin açık rıza alınarak ilgili kişiler yanıltılmaktadır.

İlgili kararda rızanın veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinim açıkça ortaya konması gerektiğini ve ilgili kişinin açık rızasının alınması bir ürün veya hizmet sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde özgür irade unsurunun zedelendiği ve geçerli bir açık rızadan söz edilemeyeceği belirtilmiştir.

Kurul tarafından yapılan değerlendirmeler neticesinde;

• Ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin telefonuna gönderilecek SMS’in amacının ne olduğu ve ne gibi sonuçlar doğuracağı hususunun ilgili kişilere açık ve anlaşılır bir şekilde aktarılması ve söz konusu SMS içeriklerinin de gerekli bilgilendirme kanallarıyla sağlanması,

• Açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması,

• Açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,

• Ticari elektronik ileti gönderimi için alınan açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,

• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için sorunlu unsur şeklinde ilgili kişilere sunulmaması, tüm süreçlerin Kanun’a uygun şekilde gerçekleştirilmesi,

• Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi ile ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi,

• Veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi gerektiği kararlaştırılmıştır.

Bu çerçevede Kanun kapsamında kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirler olduğu ve belirtilen hususlara uygun hareket edilmediği takdirde ilgili veri sorumlularına Kanun’un 18. maddesi uyarınca idari para cezası verilebileceğini belirtmiştir.

İlke Kararı’nın tam metnine buradan ulaşabilirsiniz.