Mağazalarda Kullanılan SMS Doğrulama Kodu Uygulamalarına İlişkin Dikkat Edilmesi Hususlar

Kişisel Verileri Koruma Kurumu (“KVK Kurumu” veya “Kurum”), 17 Aralık 2021 tarihinde resmi internet sitesi üzerinden yayınladığı Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu ile;

Kuruma intikal eden muhtelif sayıda ihbar ve şikayette mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama gönderildiği ve ödemelerin tamamlanması veya bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istendiği ifade edilerek akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiğini belirtmiştir.

İşbu şikayet ve ihbarlara dair Kişisel Verileri Koruma Kurulu (“KVK Kurulu” veya “Kurul”) tarafından yapılan incelemeler neticesinde doğrulama kodu için gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusu tarafından herhangi bir aydınlatma yapılmadığı gibi, söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilerek veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alındığı tespit edilmiştir.

6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında açık rıza kavramı ile aydınlatma yükümlülüğü düzenlemelerine dikkat çeken Kurum, öncelikle bu yükümlülüklere ilişkin hususları açıklamıştır. Buna göre;

Alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir.
Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın sadece hangi verilerin işleneceği değil aynı zamanda ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir.
Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir.
Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir.
Son olarak, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Bununla birlikte Kurum duyurusunda, aydınlatma yükümlülüğünün gerek açık rıza gerekse de KVKK kapsamında düzenlenen diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gerektiği vurgulanarak, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği ifade edilmiştir.

Bu bilgiler ışığında, ilgili SMS doğrulama uygulamasına ilişkin Kurum tarafından yerine getirilmesi gereken adımlar şu şekilde açıklanmıştır;

Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması gerekmektedir. Ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanallar sağlanmalıdır.
Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilerek, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.
Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılmasının önem arz ettiği belirtilmiştir.
Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması gerekmektedir.

Bu duyuru ile birlikte perakende satış mağazaları tarafından yoğunlukla kullanılan ticari ileti gönderimi amaçlı SMS doğrulama kodu ile açık rıza alınmasına ilişkin izlenmesi gereken usul ortaya konulmuştur. Kurum tarafından belirtilen adımlar, yalnızca ticari ileti gönderimine ilişkin açık rıza hususunda değil, genel olarak SMS doğrulama kodları yoluyla açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi uygulamalarına da ışık tutmaktadır.

İlgili duyuruya buradan ulaşabilirsiniz.

Mağazalarda Kullanılan SMS Doğrulama Kodu Uygulamalarına İlişkin Dikkat Edilmesi Hususlar

Share This Story, Choose Your Platform!

İlişkili Yazılar

ANAYASA MAHKEMESİ TÜRK MEDENİ KANUN’UN 166. MADDESİNİN DÖRDÜNCÜ FIKRASININ İPTALİNE KARAR VERDİ

2024 YILI ŞUBAT DÖNEMİ SGK PRİM BORÇLARININ KDV MAHSUBU İLE 26.04.2024 TARİHİNE KADAR ÖDENMESİ HAKKINDA DUYURU YAYIMLANDI

ANAYASA MAHKEMESİ ARABULUCULUK KANUN’UN 18/A MADDESİNİN 11. FIKRASININ İKİNCİ CÜMLESİNİN İPTALİNE KARAR VERDİ

TİCARET BAKANLIĞI REKLAM KURULU BAŞKANLIĞI TARAFINDAN YAYIMLANAN BASIN BÜLTENİNDE KURULCA KARARA BAĞLANAN 134 ADET ŞİKÂYETE YER VERİLDİ

REKABET KURUMUNDAN İLAÇ SİRKETLERİNE YÜKLÜ MİKTARDA CEZA KESİLDİ