Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

17.12.2021 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan karara göre, müşterilerin [fiziksel] mağazalarda yapmış oldukları ödeme işlemleri sırasında, ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerektiği gerekçesiyle ilgili kişi olan müşterilere SMS ile doğrulama kodu gönderildiği ancak daha sonra bu kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiğine dair Kurum’a iletilen çok sayıda ihbar ve şikayete ilişkin Kurul tarafından inceleme yapılmıştır.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan incelemede; ödeme işlemleri esnasında müşterilere SMS gönderilmeden önce ya da gönderilen doğrulama kodu ihtiva eden SMS içeriğinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı, müşterilere söz konusu doğrulama kodunun ödeme işlemlerinin tamamlanması ya da müşteri bilgilerinin güncellenmesi için istendiği belirtilmesine karşın bu yolla aslında müşterilerden ticari elektronik ileti gönderilmesine dair açık rıza/onay alındığı tespit edilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5’inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış; ikinci fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Açık rıza Kanun’un 3’üncü maddesinde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Açık rıza her şeyden önce bir irade beyanı olma özelliğine sahip olması dolasıyla ilgili kişinin neye rıza gösterdiğini bilmesi ve rızanın sonuçları ile ilgili de tam bilgiye sahip olmasını gerekir. Birden fazla veri işleme faaliyetine ilişkin bir veri işleme işlemi söz konusu olması halinde ise istenen açık rızanın hangi verileri ve hangi amaçları kapsadığının da belirtilmesi zorunluluk arz eder. İlgili kişinin iradesini sakatlayacak herhangi bir unsurun (cebir, tehdit, hata vb.) bulunması ilgili kişinin vermiş olduğu açık rızayı da sakat hale getirecektir. Ayrıca açık rızanın verilmesinin bir hizmet ya da ürünün sunulması için bir ön şart olarak konumlandırılması, ilgili kişinin iradesinin özgürlüğüne sınırlama getireceğinden böyle bir açık rıza geçersiz olacaktır.

Öte yandan Kanun’un 10’uncu maddesi uyarınca, aydınlatma yükümlülüğü her koşul altında yerine getirilmesi gereken bir yükümlülüktür. Kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda ise veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu bilgiler ışığında yapılan inceleme sonucunda şu hususlara vurgu yapılmıştır:

• İlgili kişilerin cep telefonun gönderilen SMS’in hangi amaçla gönderildiği, bu SMS ile iletilen kodun bildirilmesi neticesinde hangi sonuçların doğacağı hususunda ilgili kişilerin aydınlatılması (bilgilendirilmesi) gerekmektedir.
• Veri sorumlusunun katmanlı aydınlatma yapmayı tercih etmesi halinde öncelikle ilk aşamada mağazalarda yetkilendirilen kişilerin, ilgili kişilere açık ve anlaşılır bir biçimde bu aydınlatmayı yapması gerektiği, ayrıca söz konusu SMS içeriğinde bu aydınlatmayı yapmayı sağlayacak kanallara yer verilmesi gerekmektedir.
• Ödeme işlemleri esnasında SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni /açık rıza, ticari elektronik ileti onayı gibi birbirinden farklı işleme faaliyetlerine onay verilmesinin tek seferde yapılmasının durdurulması ve yapılacak işleme faaliyetlerine yönelik seçenek sunulmak suretiyle her bir işlem için ayrı ayrı açık rıza alınması gerekmektedir.
• Veri sorumlularınca ilgili kişilerin aydınlatılması ve ilgili kişilerden açık rıza alınması işlemlerin aynı anda gerçekleşmesine sebebiyet verebilecek uygulamalardan kaçınılmasını gerekmektedir.
• Ticari elektronik ileti gönderimi için açık rıza alınmasını durumunda ise söz konusu işlemin açık rızaya ilişkin tüm unsurları kapsaması gerekmektedir.
• İlgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerekmektedir.

İlgili kararın tamamına aşağıdaki linkten ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/7104/MAGAZALARDA-ALISVERIS-SIRASINDA-ILGILI-KISILERE-SMS-ILE-DOGRULAMA-KODU-GONDERILMESI-SURETIYLE-KISISEL-VERILERIN-ISLENMESINE-ILISKIN-KAMUOYU-DUYURUSU?s=09 (Erişim Tarihi: 18.12.2021)