Kişisel Verileri Koruma Kurulu (“Kurul”), 10.06.2025 Tarihli ve 2025/1072 sayılı İlke Kararı ile ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle gerçekleştirilen kişisel verileri işleme faaliyetlerinin hukuka uygunluğunu değerlendirmiştir.
İncelemeye konu olan şikayet ve ihbarlar uyarınca, bir ürün veya hizmet alımına ilişkin ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri süreçlerde ilgili kişilerin iletişim bilgileri talep edilmektedir. Sonrasında ise ilgili kişilere SMS ile doğrulama kodu gönderilmekte ve ödeme, fatura gibi süreçlerde gerekli olduğu algısı yaratılarak bu doğrulama kodlarının bildirilmesi istenmektedir. Bununla birlikte, bu doğrulamanın akabinde ilgili kişilere söz konusu iletişim bilgileri üzerinden ticari elektronik ileti gönderildiği tespit edilmiştir.
Kurul, söz konusu şikayet ve ihbarlar üzerine konu hakkında kapsamlı bir inceleme gerçekleştirmiştir. Kurul’un değerlendirmesinde öncelikle, ilgili kişilere doğrulama kodu gönderilen SMS’lerin içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca veya yetkilendirdiği kişilerce herhangi bir aydınlatma yapılmadığı görülmüştür. Buna ek olarak, söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Bu kapsamda, açık rızanın öncelikle belirli bir konuya ilişkin ve o konuyla sınırlı olması esastır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Dolayısıyla, veri sorumlularınca ilgili kişilerin farklı kategorilerdeki kişisel verileri farklı süreçlerde, farklı amaçlar çerçevesinde işlenecek ise genel nitelikte bir açık rızanın alınması yeterli olmayacak, her bir süreç özelinde ilgili işleme faaliyeti özelinde ayrıca açık rıza alma gerekliliği doğacaktır.
Geçerli bir açık rızanın varlığından söz edebilmek için ikinci koşul ise açık rızanın bilgilendirmeye dayanmasıdır. Bu kapsamda, ilgili kişinin rızasının sonuçları ve kişisel verilerinin hangi amaçlarla kullanılacağı konuları başta olmak üzere veri işleme ile ilgili bütün konularda tam olarak bilgilendirilmediği durumlarda, ilgili kişiden açık rıza alınsa dahi bu rıza, bilgilendirmeye dayanmadığından geçerli kabul edilmeyecektir.
Son olarak, açık rıza özgür irade ile açıklanan bir irade beyanıdır. Bu kapsamda, ilgili kişinin iradesini sakatlayacak cebir, tehdit, hile gibi hallerin varlığında ya da ürün veya hizmetin sunulmasının açık rıza verilmesi şartına bağlandığı durumlarda geçerli bir açık rızanın varlığından söz edilemeyecektir.
Tüm bu kriterler çerçevesinde Kurul, ilgili kişilere ürün/hizmet sunumu esnasında SMS doğrulama kodları gönderilmesi için alınan iletişim bilgilerine ticari elektronik ileti gönderilmesinin hukuka aykırı olduğunu değerlendirmiştir. Nitekim ilgili kişiler, telefonlarına gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunda bilgilendirilmemiştir.
Diğer yandan, ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesi olarak değerlendirilmiştir. Kurul, bu uygulamalara son verilerek açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması gerektiğini vurgulamıştır. Benzer şekilde, veri sorumlusunun ilgili kişilerden açık rıza alma yükümlülüğünden ayrı ve bağımsız bir sorumluluğu olan aydınlatma yükümlülüğünün de her bir veri işleme süreci yönünden ayrı ayrı yerine getirilmesi gerektiği açıklanmıştır.
Ayrıca, açık rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği vurgulanarak, ürün ve hizmet sunumunun ticari elektronik ileti gönderimine rıza gösterme şartına bağlanmaması veya ilgili kişilerde bu yönde bir algı yaratılmaması gerektiğinin de altı çizilmiştir. Bu kapsamda Kurul, ürün veya hizmet sunumunun ticari elektronik ileti gönderimine dair açık rıza verilmesi şartına bağlandığı yönünde bir algı oluşmasının önüne geçilebilmesi için söz konusu açık rızanın ürün/hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi gerektiğini belirtmiştir.
Son olarak, bu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi gerektiği ortaya konulmuştur.
Kurul’un bu kararı, hukuka uygun bir veri işleme faaliyetinden söz edebilmek için ilgili kişilerden rıza alınmasının yeterli olmadığını, geçerli bir açık rızanın varlığından söz edebilmek için bunun belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir irade beyanı niteliğinde olması gerektiğini bir kez daha ortaya koymaktadır. Veri sorumlularınca açık rızaya dayanılarak gerçekleştirilen kişisel veri işleme süreçlerinde bu hususlara dikkat edilmesi, ilgili kişilerin geçerli açık rızalarının temini için gereken yöntemlerin kurgulanması ve ilgili veri işleme faaliyetine geçerli şekilde açık rıza göstermeyen kişilerin kişisel verilerinin, başka bir veri işleme şartına dayanmadığı müddetçe, işlenmesine yönelik herhangi bir faaliyet gerçekleştirilmemesi son derece önemlidir.
Kurul’un 10.06.2025 Tarihli ve 2025/1072 sayılı bu kararı, Kanun’un 15. maddesinin 6. fıkrası uyarınca İlke Kararı niteliğinde olup, 26.06.2025 tarihli ve 32938 sayılı Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanmıştır. İlgili karara bu link üzerinden ulaşabilirsiniz.