Kişisel Verileri Koruma Kurumu Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu Yayımladı

Kişisel Verileri Koruma Kurumu (“Kurum”), 13.11.2023 tarihinde yayımlamış olduğu “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” kapsamında aşağıdaki hususlara dikkat çekmiştir:

• Kuruma iletilen çok sayıda ihbar ve şikayet nedeni ile yaptığı incelemelerde mağazalardaki kasa işlemleri sırasında, SMS üzerinden kod gönderilmesi suretiyle, ilgili kişilere ait kişisel verilerin hukuka aykırı olarak işlendiğini tespit etmiş ve söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına 17.12.2021 tarihinde Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlamıştır.
• Konuya ilişkin yapılan ihbar ve şikayetler doğrultusunda, benzer uygulamaların sürdürüldüğünün anlaşılması üzerine Kurum, 13.11.2023 tarihinde, ilgili kamuoyu duyurusunu güncellemiştir.
• Mağazalardaki kasa işlemleri sırasında, ilgili kişilere gönderilecek olan SMS’in hangi amaçla iletildiği ve söz konusu SMS içerisinde gönderilen kodun, mağaza yetkilisine verilmesi halinde hangi sonuçların doğacağı konularında katmanlı bir aydınlatma yapılması hususu vurgulanmış; ilgili kişilerin öncelikle mağaza yetkilisi tarafından açık ve anlaşılır şekilde bilgilendirilmesi, akabinde aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla SMS içerisinde gerekli bilgilendirme kanallarına yer verilmesi gerektiği ifade edilmiştir.
• Mağazalardaki ödeme işlemleri sırasında, ilgili kişilere SMS içerisinde gönderilen kod aracılığıyla farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine ilişkin uygulamaların bırakılması ve açık rıza alınmasını gerektiren işleme faaliyetleri bakımından ilgili kişiye seçenek sunulmak suretiyle ayrı şekilde açık rıza alınması gerektiği belirtilmiştir.
• Açık rıza alınması ve aydınlatma yükümlülüğünün, veri sorumluları tarafından ayrı şekilde yerine getirilmesi gerektiği belirtilmiştir.
• İlgili kişiden, ticari elektronik ileti gönderimi adına alınacak açık rıza bakımından “SMS üzerinden kod iletilmesi” yöntemi tercih edilecek ise, bu yöntem ile alınacak açık rızanın Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında belirtilen tüm unsurları içermesi gerektiği ifade edilmiştir.
• Ticari elektronik ileti gönderimi adına alınacak açık rızanın; ilgili kişilere, alışverişin tamamlanabilmesi bakımından zorunlu bir unsur olarak sunulmaması gerektiği; aksi halde, açık rızanın bilgilendirmeye dayanma ve  özgür iradeyle açıklanma unsurlarının zedelenmesi söz konusu olabileceğinden bahisle, ilgili uygulamaların Kanun’a uygun şekilde gerçekleştirilmesinin altı çizilmiştir.
• Açık rızanın, alışveriş bakımından “gerekli” bir unsur olarak değerlendirilmesinin önüne geçmek adına; ilgili kişiden alınacak ticari elektronik ileti iznine ilişkin açık rızanın, alışverişin tamamlanması akabinde talep edilmesi gerekliliği vurgulanmıştır.

Söz konusu kamuoyu duyurusunun tam metnine buradan ulaşabilirsiniz.