Kişisel Verileri Koruma Kurulunun 10/06/2025 Tarihli ve 2025/1072 Sayılı İlke Kararı Işığında SMS Doğrulama Kodu Süreçlerinin Değerlendirilmesi

26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanan, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 16.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı (“İlke Karar”) ile, ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin[1] iletişim bilgilerinin talep edilmesi ve SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerinin işlenmesi[2] hakkında değerlendirmelerde bulunulmuştur.

İşbu bilgi notumuzda; Kurul’un İlke Kararı’nda yer verilen hususlar ile uygulamaya dair değerlendirme ve aksiyon önerilerimize yer verilecektir.

A. YÖNETİCİ ÖZETİ

Aşağıda ayrıntılı olarak açıklayacağımız üzere, Kurul’un İlke Kararı ve geçmiş kamuoyu duyuruları ile birlikte, Veri Sorumluları tarafından özetle;

(i)        Üyelik, ödeme onayı, ticari elektronik ileti izni vb. süreçler fark etmeksizin tüm SMS gönderileri kapsamında ilgili kişilere aydınlatma yapılması,

(ii)     Mezkûr aydınlatmanın sırasıyla, (i)Fiziki ortamda ise veri Sorumlusunun çalışanları tarafından katmanlı bir biçimde, (ii)ayrıca hem dijital hem de fiziki ortam fark etmeksizin SMS içeriğinde yer verilmek suretiyle gerçekleştirilmesi,

(iii)  Aydınlatma ve Açık rıza metinlerinin ilgili kişilere tebliği süreçlerinin ayrı ayrı yürütülmesi,

(iv)  Pazarlama izinlerinin elde edilmesi suretiyle kişisel verilerin işlenmesine yönelik açık rızanın; (i) hizmet sunumunun tamamlanmasından sonra talep edilmesi veya (ii)gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde, söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi,

(v)     Çalışanlarının KVKK eğitim faaliyetlerinin yürütülmesi ve bunların katılım listeleri vb. tutanaklar ile kayıt altında tutulması,

(vi)  Tek bir SMS ile tüm faaliyetlerin (pazarlama izni, üyelik doğrulama kodu vb.) gerçekleştirilmesi yöntemlerine son verilmesi,

yönünde faaliyet gerçekleştirilmesi önerilmektedir.

B. KURUL KARARINA KONU OLAYIN ÖZETİ

Kurul, mağazalarda fiziki ortamda ürün ve hizmet sunumları sırasında (ödeme yapma, üyelik oluşturma, bilgi güncelleme gibi işlemler esnasında) Veri Sorumluları tarafından ilgili kişilere SMS ile doğrulama kodu gönderilmesinin ardından yapılan kişisel veri işleme faaliyetlerine dair bir inceleme gerçekleştirmiştir. Şikayetlere konu olan hususu, doğrulama kodu gönderilmesi ile birlikte ticari elektronik ileti gönderimi için açık rıza alınması ve bunun yanıltıcı bir şekilde uygulandığına yönelik şikâyet ve bildirimler oluşturmaktadır.

Örneğin; X mağazasında kitap alışverişini gerçekleştiren Y kişisi, ödeme için kasaya geldiğinde X mağazası personeli tarafından kendisinden cep telefonu bilgisi talep edilmektedir. Y kişisi buradaki SMS kodunu tamamen alışverişte ödeme gerçekleştirmek için paylaşması gerektiğini düşünmektedir. Fakat kendisine veri sorumlusu X mağazası tarafından ticari elektronik ileti gönderildiğini fark ettiğinde kişisel verilerinin pazarlama amacıyla işlendiğini fark ederek Kurul’a şikâyet bildiriminde bulunmuştur. İlke karar ile tam da bu durum ele alınarak hukuki değerlendirme gerçekleştirilmiştir.

Ayrıca Veri Sorumlularının, eski uygulamada üyelik, ödeme vb. hususlarda doğrulama kodu iletirken aydınlatma metni tebliğ etmemesi, ticari ileti iletişim izni ve hizmete ilişkin doğrulama kodunun aynı anda iletilmesinin hatalı bir süreç yönetimi olduğunu belirtmek isteriz. Kurul kararı kapsamında, üyelik, ödeme vb. hususlarda doğrulama kodu gönderilirken dahi işbu kişisel veri işleme sürecine dair ilgili kişinin aydınlatılması; ticari iletişim izni için de ayrı bir SMS ile sürecin yürütülerek yine ilgili kişinin aydınlatılmasını önermekteyiz.

C. VERİ SORUMLULARININ AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ

Kişisel Verilerin İşlenme şartları, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. Maddesinde; Özel Nitelikli Kişisel Verilerin İşlenmesi şartları ise Kanun’un 6. Maddesinde düzenlenmiştir. Mezkûr düzenlemelere göre açık rıza dışındaki şartlara dayalı olarak kişisel verilerin işlenmesi mümkün iken, bu maddelere dayanılamayan hallerde ise açık rıza şartına dayalı olarak kişisel veriler işlenmelidir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin (“Yönetmelik”) “Ticari elektronik iletiler ve onay” başlıklı m. 5/1 hükmü ise; ”Hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından ya da İYS üzerinden önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir.” düzenlemesini içermektedir.

Bu çerçeve ilgili kişilere pazarlama faaliyeti amacıyla ticari elektronik ileti gönderebilmek adına, ilgili kişilerden Kanun çerçevesinde açık rıza temin edilerek süreç yürütülmedir. Eş deyişle, “meşru menfaat”, “sözleşmenin kurulması, ifası”, “bir hakkın tesisi” vd. hukuki işleme şartlarına dayalı olarak pazarlama faaliyeti gerçekleştirilemeyecektir.

Kurul kararında bahsedildiği üzere, Veri Sorumlularının bir diğer yükümlülüğü ise kişisel verilerin işleme şartlarından bağımsız bir yükümlülük olarak ilgili kişileri aydınlatma yükümlülüğüdür. Bu çerçevede kişisel verilerin işlenmesine dair herhangi bir süreç gerçekleştirildiği takdirde, hukuki şartlardan bağımsız olarak ilgili kişinin aydınlatılması gerekmektedir. Kurul’un İlke Kararı’nda belirtildiği üzere yalnızca faturalandırma, ödeme vb. hususlar için dahi SMS doğrulaması gerçekleştirilmesi halinde ilgili kişilere gönderilecek SMS öncesinde fiziki ortam mevcut olması halinde katmanlı aydınlatma ve akabinde aydınlatma metninin SMS içeriğinde ilgili kişilere tebliğ edilerek yükümlülüğün yerine getirilmesi gerekmektedir.

Kanun’un 10. maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

D. AYDINLATMA VE AÇIK RIZA METİNLERİNİN SUNULMASI AYRI GERÇEKLEŞTİRİLMELİDİR

Yukarıda belirtmiş olduğumuz Yönetmelik hükmü uyarınca kişilerin açık rızaları temin edilmeksizin ticari elektronik ileti gönderilmesi hukuka aykırılık teşkil edecektir. Bunun yanında kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Örneğin; Veri Sorumlusu X’in mağazasında alışveriş gerçekleştirilen Y’ye iletilecek pazarlamaya ilişkin aydınlatma ve açık rıza metinleri ayrı ayrı sunulmalıdır. Bu doğrultuda İlke Karar’da da belirtilen ideal uygulama örneği olarak, öncelikle Veri Sorumlsu X’in personeli tarafından katmanlı aydınlatma prosedürü ile aydınlatılmalı, burada temel olarak ilgili kişi süreç hakkında bilgilendirilmeli ve kendisine söz konusu kodun X’in personeli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmelidir. Aynı şekilde ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi şeklinde faaliyetin yürütülmesi de Veri Sorumlularınca tercih edilebilecek bir diğer yöntem olarak karşımıza çıkmaktadır.

E. TEK BİR SMS İLE FARKLI İŞLEMLER GERÇEKLEŞTİRİLMEMELİDİR

Kanun’un 3’üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, açık rıza tanımı kapsamında, açık rızanın üç (3) unsuru bulunmaktadır:

- Belirli bir konuya ilişkin olması,

- Rızanın bilgilendirmeye dayanması,

- Özgür iradeyle açıklanması.

İlgili kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.

Kurul’un İlke Kararı’nda yer verilen hususlar, Kişisel Verileri Koruma Kurumu’nun 13.11.2023 tarihli ve 17.12.2021 tarihli “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” ile de ele alınmıştır.

Her iki metinde de benzer bir şekilde, özetle; mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerektiğininin vurgulandığını belirtmek isteriz.

Mezkûr kamuoyu duyuruları ile ilke karar arasında bir önemli bir fark olarak karşımıza, önceden alışverişin tamamlanmasından sonra açık rızanın teminini hedefleyen SMS gönderimi şart koşulurken, SMS kodunun gönderiminin ürün ve hizmetin sunumu sırasında ya da öncesinde gönderilmesine imkân sağlanıyor olmasıdır.

F. YAPTIRIM RİSKİ

Belirtilen hususlara riayet edilmemesi halinde, Veri Sorumlularının 2025 yılı için 204.285-TL ile 13.620.402-TL arasında idari para cezası ile karşı karşıya kalma riski bulunmaktadır.

G. SONUÇ

Kurul’un ilke kararında belirtilen hususlar ile Kurul tarafından 2021 ve 2023 yıllarında gerçekleştirilen duyuru çerçevesinde Veri Sorumlularının;

(i) Üyelik, ödeme onayı, ticari elektronik ileti izni vb. süreçler fark etmeksizin SMS gönderileri hakkında ilgili kişilere her süreç için ayrı ayrı aydınlatma yapılması,

(ii) Mezkûr aydınlatmanın sırasıyla, (i)Veri Sorumlusunun çalışanları tarafından fiziki ortamda katmanlı bir biçimde, (ii)ayrıca SMS içeriğinde yer verilmek suretiyle gerçekleştirilmesi,

(iii) Aydınlatma ve Açık rıza metinlerinin ilgili kişilere tebliği süreçlerinin ayrı ayrı yürütülmesi,

(iv) Pazarlama izinlerinin elde edilmesi suretiyle kişisel verilerin işlenmesine yönelik açık rızanın; (i) hizmet sunumunun tamamlanmasından sonra talep edilmesi veya (ii)gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde, söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi,

(v) Çalışanlarının KVKK eğitim faaliyetlerinin yürütülmesi ve bunların katılım listeleri vb. tutanaklar ile kayıt altında tutulması,

(vi) Tek bir SMS ile tüm faaliyetlerin gerçekleştirilmesi yöntemlerine son verilmesi,

gerekmektedir. Bu kapsamda Veri Sorumlularının SMS süreçlerinin kurgusunu belirtilen hususlar çerçevesinde gözden geçirmesi önerilmektedir.