I. GİRİŞ

Kişisel Verileri Koruma Kurulu tarafından 10.06.2025 tarihinde alınan ve 26.06.2025 tarihinde Resmî Gazete’de yayımlanan 2025/1072 sayılı İlke Kararı ile, ürün ve hizmet sunumu sırasında ilgili kişilere gönderilen SMS doğrulama kodları yoluyla kişisel veri işleme süreçlerinde tespit edilen usulsüz uygulamalara ilişkin esaslar yeniden değerlendirilmiştir.

Kurul, doğrulama kodunun; ödeme işlemlerinin tamamlanması ya da kullanıcı bilgilerinin güncellenmesi amacıyla istendiği izlenimi verilmesine rağmen, bu süreçte ticari elektronik ileti gönderimi için açık rıza alınmasının ilgili kişileri yanılttığını ve kişisel verilerin bu yolla hukuka aykırı şekilde işlendiğini tespit etmiştir. Bu tespitler, Kuruma iletilen çok sayıda ihbar ve şikâyet üzerine yapılan inceleme neticesinde ortaya konulmuştur.

II. KARARIN ÖZETİ

Kurula iletilen şikâyet ve ihbarlar üzerine yapılan incelemelerde;

• Doğrulama kodlarının gönderilmesinden önce ilgili kişilere yeterli bilgilendirme yapılmadığı,

• Açık rızanın ticari elektronik ileti gönderimine ilişkin alındığı ve bu hususun açıkça belirtilmediği,

• Açık rızanın, ürün veya hizmet sunumunun ön koşulu olarak sunulduğu ve bu durumun ilgili kişilerin özgür iradesini ortadan kaldırdığı

tespit edilmiştir.

Bu sebeple Kurul, açık rıza alınması ve aydınlatma yükümlülüğünün hukuka uygun yürütülmesi ile ticari ileti izinlerinin hizmet sunumundan bağımsız olarak değerlendirilmesi amacıyla birtakım idari ve teknik tedbirlerin alınmasına karar vermiştir.

III. KARARIN HUKUKİ DEĞERLENDİRİLMESİ

İnceleme kapsamında, SMS doğrulama kodlarının gönderilmesi sürecinde ilgili kişilere yeterli ve açık bilgilendirme yapılmadan açık rıza alındığı ve bu kodların ticari ileti gönderimi gibi farklı amaçlarla kullanıldığı görülmüştür. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) temel ilkelerine açıkça aykırılık teşkil etmektedir.

Açık rıza, Kanun’un 3. maddesinde “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan irade beyanı” olarak tanımlanmıştır. Ancak yapılan uygulamalarda, açık rıza:

• Yeterli bilgilendirme yapılmadan alınmakta,

• Hizmetten yararlanmanın ön koşuluymuş gibi sunulmakta,

• Ticari elektronik ileti onayı ile diğer işlemler aynı çerçevede alınarak birbirinden ayrıştırılmamaktadır.

Bu tür uygulamalar, açık rızanın geçerliliğini ortadan kaldırmakta ve özgürlük ilkesine aykırılık teşkil etmektedir.

Kanun’un 5. maddesi uyarınca kişisel veriler, ancak ilgili kişinin açık rızasıyla ya da aynı maddenin 2. fıkrasında sayılan istisnai haller kapsamında işlenebilir. Ticari ileti gönderimi gibi işlemler bu istisnalar arasında yer almadığından, mutlaka geçerli bir açık rıza alınması gerekmektedir. Ayrıca alınan rızanın kapsamı açıkça belirtilmeli, birden fazla işleme faaliyetinin tek bir onay ile gerçekleştirilmesi uygulamasından kaçınılmalıdır.

Kanun’un 10. maddesi ise, kişisel verilerin elde edilmesinden önce veri sorumlusunun ilgili kişiyi; veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlerle paylaşılacağı, toplanma yöntemi ve hukuki sebebi ile kişisel haklar hakkında açık ve anlaşılır şekilde bilgilendirmesi gerektiğini düzenlemektedir. Ancak bu olayda, gerek SMS içeriklerinde gerekse işlem öncesinde yeterli bilgilendirme yapılmadığı ve ilgili kişilerin, verdikleri rızanın kapsamını bilmeden işlem gerçekleştirdikleri tespit edilmiştir.

Ayrıca, aydınlatma yükümlülüğü yalnızca açık rıza alınan durumlarla sınırlı değildir. Kişisel veriler diğer hukuki sebeplerle işlense dahi, veri sorumlusunun bu yükümlülüğü her hâlükârda devam etmektedir.

Kanun’un 12. maddesi kapsamında veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini önlemek ve verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu yükümlülük yalnızca teknik altyapı ile sınırlı olmayıp, süreçlerin mevzuata uygun şekilde tasarlanması, personelin eğitilmesi ve farkındalık çalışmalarının yürütülmesini de kapsamaktadır.

Kurul, tekrar eden ihlallerin önüne geçilebilmesi amacıyla veri sorumlularının bu alanda düzenli eğitim ve farkındalık faaliyetleri yürütmesi gerektiğini de vurgulamıştır.

IV. SONUÇ

Yapılan inceleme neticesinde, 6698 sayılı Kanun’un temel ilkelerine ve açık rıza hükümlerine aykırılıklar tespit edilmiştir. Açık rızanın hizmetin ön koşulu olarak sunulması, aydınlatmanın yetersizliği ve doğrulama kodlarının ticari amaçla kullanılması; şeffaflık ve dürüstlük ilkelerine açıkça aykırıdır.

Kurul, kişisel verilerin işlenmesinde ayrıştırma, özgür irade, açık bilgilendirme ve şeffaflık ilkelerine uygun hareket edilmesini teminen aşağıdaki kararları almıştır:

1. Ürün ve hizmet sunumu süreçlerinden bağımsız olarak; üyelik onayı, açık rıza ve ticari elektronik ileti izinlerinin her biri için ayrı ayrı ve açık şekilde talep edilmesi,

2. Doğrulama kodlarının hangi amaçla istendiği ve nasıl kullanılacağına ilişkin bilgilerin, ilgili kişilere açık, anlaşılır ve sade bir dille sunulması,

3. Şirket personeline, kişisel verilerin korunması ve veri işleme süreçlerine ilişkin düzenli eğitimler verilmesi.

Ayrıca, Kanun’un 12. maddesi gereğince veri güvenliğinin sağlanması amacıyla gerekli tüm idari ve teknik tedbirlerin alınmasının zorunlu olduğu, aksi takdirde 18. madde kapsamında idari yaptırımların uygulanabileceği kamuoyuna duyurulmuştur.

Sonuç olarak, Kurul; kişisel verilerin işlenmesinde yukarıda belirtilen hususlara dikkat edilmesini teminen 6698 sayılı Kanun’un 15. maddesinin altıncı fıkrası kapsamında ilke kararı alınmasına, bu kararın Resmî Gazete ile Kurumun internet sitesinde yayımlanmasına oybirliği ile karar vermiştir.