Kişisel Verileri Koruma Kurulu’nun 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı ile, ürün ve hizmet sunumu süreçlerinde ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetleri hakkında önemli değerlendirmelerde bulunulmuştur.

Kararda, ödeme, üyelik, teklif alma gibi işlemler sırasında iletişim bilgilerinin talep edilip SMS ile doğrulama kodu gönderilmesi uygulamasının ardından, ilgili kişilere ticari elektronik iletiler gönderildiğine ilişkin şikayetler değerlendirilmiş ve şu hususlara dikkat çekilmiştir:

  • Doğrulama kodunun alışverişin zorunlu bir unsuru gibi sunulmasının, ilgili kişileri yanıltabileceği,
  • Kodun gönderilme amacı ve kişisel veriler üzerindeki etkileri hakkında açık ve anlaşılır şekilde aydınlatma yapılması gerektiği,
  • SMS doğrulama kodu aracılığıyla üyelik onayı, açık rıza alma, ticari ileti onayı gibi farklı işlemlerin tek bir adımda gerçekleştirilmesine son verilmesi gerektiği,
  • Açık rızanın Kanun’da belirtilen unsurları taşıması gerektiği ve ilgili kişilere ayrı ayrı açık rıza seçenekleri sunulması gerektiği,
  • Ticari elektronik ileti gönderimi için alınacak açık rızanın, ürün ya da hizmetin sunulmasının ön koşulu gibi sunulmaması gerektiği ve bu konuda veri sorumlularının gerekli teknik ve idari tedbirleri almasının zorunlu olduğu vurgulanmıştır.

Kurul, bu çerçevede belirtilen ilkelere aykırı hareket edildiğinin tespiti halinde, veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesi uyarınca işlem tesis edileceğini belirtmiştir.

Tüm veri sorumlularının, uygulamalarını yukarıda belirtilen ilkelere uygun şekilde gözden geçirmesi ve gerekli düzenlemeleri gecikmeksizin hayata geçirmesi önemle duyurulur.

İlgili karara buradan ulaşabilirsiniz.