Yeni Gelişme
Kişisel Verileri Koruma Kurumu ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi hakkında bir ilke karar yayımladı
Kişisel Verileri Koruma Kurulu’nun (“Kurul“) ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin değerlendirmelerde bulunduğu ilke kararı (“Karar“), 26 Haziran 2025 tarihli ve 32938 sayılı Resmi Gazete’de yayımlandı. Kurul, ilgili kişilere hizmet sunumu sırasında aydınlatma yapılmaksızın SMS yoluyla doğrulama kodu gönderilmesi kapsamında birbirinden bağımsız kişisel işleme faaliyetlerinin tek bir işlemle gerçekleştirilmesine yönelik uygulamaların Kişisel Verilerin Korunması Kanunu’na (“KVKK“) aykırı olduğuna karar verdi.
Karar’a buradan ulaşabilirsiniz.
Karar’ın Detayları
- Kurul, ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerden ödemelerin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ve benzeri gerekçeler öne sürülerek SMS yoluyla doğrulama kodu gönderilmesinin akabinde ilgili kişilere ticari elektronik ileti gönderilmesine ilişkin kendisine intikal eden şikayet ve ihbarlar kapsamında, söz konusu SMS kodu doğrulaması uygulamasının alışverişin zorunlu unsuruymuş gibi sunulmasının ilgili kişiler bakımından yanıltıcı olduğunu tespit etmiştir.
Bu doğrultuda, Kurul nezdinde ilgili kişiler bakımından yanıltıcı nitelikte olan uygulamalar ve Kurul’un değerlendirmesi aşağıda yer almaktadır:
- Yukarıdaki değerlendirmelere ek olarak Kurul, veri sorumlularının ilgili süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarını periyodik olarak yürütmesi gerektiğini belirtmiştir.
- Karar’da yukarıda yer verilen hususlara uygun olarak hareket etmeyen veri sorumluları hakkında, KVKK madde 12 kapsamında, kişisel verilerin işlenmesi bakımından gerekli teknik ve idari tedbirin sağlanmadığı gerekçesi ile idari işlem uygulanacağı ifade edilmiştir.
Sonuç
Karar ile SMS doğrulama kodu gönderimi uygulaması aracılığıyla bir mal veya hizmet satışı sırasında meydana gelen KVKK ihlalleri tespit edilmiştir. Bu kapsamda bir mal veya hizmet sunumu sırasında SMS doğrulama kodu gönderme uygulaması bulunan veri sorumlusu şirketlerin Karar’daki değerlendirmeleri dikkate almaları gerekmektedir. İlaveten, farklı işleme faaliyetleri bakımından tek bir açık rıza alınmasına ilişkin Kurul’un değerlendirmeleri de tüm veri sorumluları için önem arz etmektedir.
