Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Aralık ayı içerisinde Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ, iş vaadi konulu Türk Ceza Kanunu bakımından kişisel veri ihlalleri ve alışveriş sırasında kişilere SMS doğrulama kodu gönderilmesi ile kişisel verilerin işlenmesine ilişkin kamuoyu duyuruları ve 33 adet Kişisel Verileri Koruma Kurul (“Kurul”) kararı yayımlanmıştır.
Alışveriş Sırasında Kişilere SMS Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kamuoyu Duyurusu
Kurum tarafından 17 Aralık 2021 tarihinde yayınlanmış olan duyuruda, mağazalarda gerçekleştirilen alışverişi sırasında kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması veya bilgilerinin güncellenmesi için gerekli olduğu sebebi ile ilgili kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği konusunda Kurum’a çok sayıda şikâyet geldiği bildirilmiştir.
Söz konu şikayetler Kurul tarafından incelendiğinde, ilgili kişilere gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve ilgili kodun istenilmiş olan sebeplerden farklı olarak ticari elektronik ileti gönderimi hakkında açık rıza alınması nedeniyle kullanıldığı ve ilgili kişilerin yanıltıldığı tespit edilmiştir.
KVKK’nın 3.maddesinde yer alan açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Şikayetlere neden olan durumlarda ise, açık rıza beyanının hangi konuya ilişkin olarak istenildiği açıkça ortaya konulmamış, ilgili kişilere gerekli bilgilendirme yapılmamış ve yanıltma gibi iradeyi sakatlayan bir durum oluşturularak ilgili kişinin özgür şekilde karar vermesi engellenmiştir. Bu kapsamda, ilgili kişilerin açık rızalarının geçerli olduğu kabul edilemeyecektir.
Bu durumda, Kurul tarafından mağazalarda gerçekleştirilen alışveriş sırasında SMS gönderimi esnasında dikkat edilmesi gereken hususları aşağıda yer alan şekillerde belirtmiştir:
Kişilerin telefonuna gönderilecek olan SMS’in amacı ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususu, veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılmalı ve söz konusu SMS içeriklerinde de gerekli kanalların sağlanmalıdır.
Ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı şeklinde birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilerek her işleme faaliyeti için ayrı ayrı açık rıza alınmalıdır.
Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılmalıdır.
Ticari elektronik ileti gönderimi için açık rıza alınmasına yönelik SMS doğrulama kodu kullanılması durumunda alınacak açık rıza tüm unsurları kapsamalıdır.
Sonuç:
Bu bilgiler doğrultusunda, mağazalarda yapılan ödeme işlemi esnasında ilgili kişinin telefonuna SMS şeklinde doğrulama kodu gönderilerek açık rıza alınması durumunda açık rızanın bütün unsurlarının oluşmasına dikkat edilmelidir.
