Kişisel Verileri Koruma Kurulu’nun “Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında İlke Kararı” Yayımlandı

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2025/1072 Karar sayılı “Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında İlke Kararı” (“İlke Karar”), 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlandı.

Kurul, İlke Karar ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında;  ödeme işlemleri, kayıt oluşturma, teklif talebi veya üyelik oluşturma gibi ürün ve hizmet sunum süreçlerinde, veri sorumluları veya yetkilendirdiği kişiler tarafından ilgili kişilere kısa mesaj (SMS) yoluyla doğrulama kodu gönderilmesi uygulamalarına ilişkin olarak inceleme yapmıştır.

Kurul tarafından yapılan incelemelerde, ürün ve hizmet sunum süreçlerinde ilgili kişilere karşı aydınlatma yükümlülüğünün yerine getirilmediği ve doğrulama kodu gönderilen SMS ile ticari elektronik ileti (“e-ileti”) gönderimine ilişkin açık rızalarının ilgili kişileri yanıltmak suretiyle alındığı tespit edilmiştir.  

Bu doğrultuda Kurul, İlke Kararı’nda yaygın şekilde uygulandığı anlaşılan somut durumları göz önünde bulundurarak aşağıdaki değerlendirmeleri yapmıştır:  

• Ürün ve hizmet sunumuna ilişkin işlemlerde gönderilen SMS’lerde, doğrulama kodunun amacı gönderim öncesinde açıkça belirtilmeli; SMS ile iletilen kodun verilmesinin sonuçları; katmanlı aydınlatmanın bir gereği olarak ilgili kişilere açık ve anlaşılır bir şekilde aktarılmalıdır ve aydınlatma için gerekli bilgilere SMS içeriğinde yer verilmelidir.
• Doğrulama kodu gönderimi; üyelik onayı, kişisel veri işleme izni ve e-ileti onayı gibi farklı işlemlerle birleştirilmemelidir. Her biri için ayrı, açık ve özgür iradeye dayalı rıza alınmalıdır.
• Açık rıza alma alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemleri ayrı ayrı gerçekleştirilmelidir.
• E-ileti gönderimine ilişkin açık rızanın SMS doğrulama kodu ile alınması halinde; açık rıza, KVKK’ye uygun şekilde alınmalıdır.
• Ürün ve hizmet sunumunun tamamlanabilmesi için e-ileti gönderimine ilişkin açık rıza zorunlu bir şekilde alınmamalıdır.
• Açık rıza, ürün veya hizmet sunumu tamamlandıktan sonra talep edilmesi veya SMS içeriklerinde veya fiziksel veya dijital kanallar aracılığıyla yapılacak bilgilendirmelerde, doğrulama kodunun paylaşılması ile verilen açık rızanın hizmetin sunumu açısından zorunlu bir unsur olarak algılanmasının önüne geçilmelidir.
• Veri sorumluları, ilgili süreçlerin hukuka uygun yürütülmesini sağlamak amacıyla çalışanlarına düzenli farkındalık ve eğitim çalışmaları yapmalıdır.

Son olarak İlke Kararı’nda Kurul, KVKK madde 12 uyarınca veri sorumlularının kişisel verilerin hukuka uygun işlenmesini sağlamakla yükümlü olduğunu ve bu doğrultuda teknik ve idari tedbirlerin alınmasının zorunluluğunu vurgulamıştır. Belirtilen yükümlülüklere aykırılık tespit edilmesi hâlinde, KVKK madde 18 kapsamında işlem tesis edileceği belirtilmiştir.

İlke Kararı’nın tam metnine buradan ulaşabilirsiniz.