Kişisel Verileri Koruma Kurulu (“Kurul”), 10 Haziran 2025 tarihli ve 202571072 sayılı ve 26 Haziran 2025 tarihinde Resmi Gazete’de yayımlanan İlke Kararı’nda (“Karar”), ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin kişisel iletişim bilgilerinin SMS ile doğrulama kodu göndermek amacıyla talep edilmesini değerlendirmiştir. Ürün ve hizmet sunumlarında ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi işlemlerinde kişisel iletişim hatlarına gönderilen kodların görevlilere beyan edilmesi veya sisteme girilmesi sonrasında bahsi geçen iletişim hatlarının ticari iletiler için kullanıldığı iddiaları üzerinde durulmuştur.
İlgili Karar neticesinde Kurul tarafından, aşağıdaki hususlara uygun hareket edilmeyip kişilerin yanıltılması hâlinde 6698 sayılı kanunun 18. Maddesi uyarınca idari ceza işlemi yapılacağı konusunda kamuoyunun bilgilendirilmesine karar vermiştir:
- Ürün ve hizmet sunumlarına ilişkin süreçlerde gönderilen SMS’in ve doğrulama kodunun amacının ne olduğu, kodun verilmesi halinde kişisel veriler açısından ne gibi sonuçlar doğuracağı hususunda ilgili kişilere aydınlatma yapılması gereklidir.
- İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması gibi, birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesiyle açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması gereklidir. Aydınlatma yükümlülüğünün ve açık rıza işlemlerinin ayrı ayrı gerçekleştirilmesi öngörülmüştür.
- İlgilinin ticari elektronik ileti gönderimi bakımından açık rızasına istinaden işlem yapılabilmesi için açık rızanın Kişisel Verileri Koruma Kanunu’ndaki unsurları kapsaması gereklidir. Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, Kanun açık rıza saymaktadır.
- Ticari elektronik iletiler gönderilmesi amacıyla kişisel veri talebinin açık rızaya dayansa bile ürün veya hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgililere bildirilmemesi, ticari elektronik ileti gönderimine ilişkin açık rızanın ürün ve hizmet ticari elektronik ileti gönderimine ilişkin açık rızanın ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi ve ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi
İlgili Karar’ın tamamına https://kvkk.gov.tr/Icerik/8338/2025-1072 adresinden ulaşabilirsiniz.
Saygılarımızla,
Balay, Eryiğit & Erten
