Ürün ve Hizmet Sunumu Sırasında SMS ile Doğrulama Kodu Gönderimine Son
Giriş
Türkiye’de son dönemde özellikle perakende mağazalarda, ürün ve hizmet sunumları sırasında ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi ve bu yolla kişisel verilerin işlenmesi giderek yaygınlaşmıştır. Kişisel Verileri Koruma Kurulu’na (“Kurul”) intikal eden şikâyetlerde; ödeme yapma, kayıt açma, üyelik oluşturma, teklif hazırlama gibi işlemler sırasında kişilerin iletişim bilgilerinin talep edildiği, ardından SMS ile doğrulama kodu gönderildiği, bu kodun ödeme işleminin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerin güncellenmesi için zorunlu olduğu gerekçesiyle görevliye bildirilmesinin veya sisteme girilmesinin talep edildiği görülmüştür. Ancak bu işlemlerin akabinde, ilgili kişilere ticari elektronik ileti gönderildiği yönünde şikâyetler yoğunlaşmıştır. Tek bir işlem üzerinden farklı hukuki sonuçların doğmasına yol açan bu uygulamaların yaygınlaşması üzerine, Kurul, 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanan 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı[1] (“İlke Kararı”) ile konuya ilişkin esaslı değerlendirmelerde bulunmuştur.
Bu makalede, söz konusu İlke Kararı’nda yer alan değerlendirmeler ışığında uygulamanın sınırları incelenecek; ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumlu aydınlatma ve açık rıza süreçlerinin nasıl kurgulanması gerektiği ele alınacaktır.
İlke Kararı’nın Değerlendirmesi
Kurul, öncelikle SMS ile gönderilen doğrulama kodlarının alışverişin zorunlu bir unsuru gibi sunulmasının, ilgili kişilerin yanıltılmasına yol açabileceğini vurgulamıştır. Bu kapsamda, gönderilen kodun amacının ve kullanımının kişisel veriler bakımından hangi sonuçları doğuracağı hususunda ilgili kişilere açık ve anlaşılır bir şekilde aydınlatma yapılması gerektiğine dikkat çekilmiştir.
Karar’da ayrıca, doğrulama kodu üzerinden üyelik sözleşmesinin kabulü, kişisel verilerin işlenmesine izin verilmesi veya ticari elektronik ileti onayının alınması gibi birbirinden farklı işleme faaliyetlerinin tek bir işlem altında birleştirilmesinin hukuka aykırı olduğu belirtilmiştir. Açık rıza gerektiren işleme faaliyetlerinde (örneğin, ticari elektronik ileti gönderimi), ilgili kişilere ayrı ayrı seçenekler sunularak her bir işlem için bağımsız şekilde rıza alınması gerektiği ifade edilmiştir.
Kurul, açık rızaya dayalı kişisel veri işleme süreçlerinde, alınan rızanın KVKK’da öngörülen geçerlilik şartlarını taşımasının zorunlu olduğuna dikkat çekerek bu kapsamda ticari elektronik ileti gönderilmesine yönelik onayın, ürün ya da hizmetin sunulmasının ön koşulu haline getirilmesinin mümkün olamayacağını belirtmiştir. Son olarak Kurul tarafından söz konusu yükümlülüklere aykırı davranılması halinde, veri sorumluları hakkında KVKK m. 18 uyarınca idari yaptırım uygulanacağı ifade edilmiştir.
Kurul’un söz konusu değerlendirmeleriyle birlikte, mağazalar ve benzeri hizmet sağlayıcılar tarafından son dönemde sıkça başvurulan bu SMS sistemin KVKK açısından hukuka aykırı bir uygulama olduğu açıkça ortaya konulmuştur. İlke Kararı, bu yönüyle yalnızca mevcut şikâyetleri sonuçlandırmakla kalmamış, aynı zamanda sektörde yaygınlaşan bu pratiğin yanlışlığını da teyit ederek ilerleyen dönemlerde kurgulanacak yeni sistemin nasıl olması gerektiğine de ışık tutmuştur.
Aydınlatma Yükümlülüğü ve Açık Rıza Uygulamaları
Aydınlatma Yükümlülüğünün Usul ve Esasları
KVKK kapsamında, kişisel verilerin işlenmesi sırasında ilgili kişilere aydınlatma yapılması (bir başka deyişle, kişilerin bilgilendirilmesi) hukuka uygun bir kişisel veri işleme faaliyetinin en temel koşullarından biridir. Aydınlatma yükümlülüğü; (i) veri sorumlusunun kimliği, (ii) işlenecek kişisel verilerin hangi amaçlarla işleneceği, (iii) elde edilen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, (iv) veri toplamanın yöntemi ile hukuki sebebi ve (v) veri sahibi gerçek kişinin KVKK m.11’de sayılan hakları[2] hakkında bilgilendirme yapılmasını zorunlu kılar. Kişilere sunulacak bilgilendirmelerde (aydınlatma metinlerinde), yer alan veri işleme amacının belirli, açık ve meşru olması gerekir; genel nitelikte, muğlak ya da yanıltıcı ifadelere yer verilmemelidir. Bu noktada, eksik, yanlış veya yanıltıcı bilgilere yer verilmesi aydınlatma yükümlülüğünün ihlali sonucunu doğuracaktır ki İlke Kararı’nda üzerinde durulan hatalı uygulamalardan biri budur.
Aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirleyen Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ[3] (“Tebliğ”) kapsamında da bu yükümlülüğün nasıl yerine getirileceğine dair bazı şartlar açıkça sıralanmıştır. Buna göre, ilgili kişinin açık rızasına veya KVKK’daki diğer işleme şartlarına bağlı olarak (açık rıza gerekmeksizin) kişisel veri işlendiği her durumda kişilerin uygun şekilde aydınlatılması ve aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilebilir olması gerekir. Dolayısıyla, aydınlatma yükümlülüğünün fiziksel ya da dijital ortamda ispat edilebilir şekilde (aydınlatma metninin bir suretinin ilgili kişiye verilmesi, bir link aracılığıyla kapsamlı bilgilendirme metinlerine yönlendirme yapılması vb.) yerine getirilmesi muhtemel bir denetimde veri sorumluları açısından ispat kolaylığı sağlayacaktır.
Aydınlatma yükümlülüğünün KVKK ile uyumlu şekilde nasıl yerine getirilebileceğine ilişkin Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan Aydınlatma Rehberi[4] de veri sorumlularına yol gösterici niteliktedir. Rehberde, aydınlatma yükümlülüğünün yerine getirilmesinde dikkat edilmesi gereken hususlar somut ve uygulamaya dönük örneklerle açıklanmış; olması gereken iyi uygulamalar ile hukuka aykırı sayılacak hatalı uygulamalara yer verilmiştir.
Açık Rızanın Geçerlilik Şartları ve Tek İşlemle Çoklu Onay Sorunu
KVKK m. 5 (kişisel verilerin işlenme şartları) ve m. 6 (özel nitelikli kişisel verilerin işlenme şartları) kapsamında açık rıza, kişisel verilerin işlenmesinin istisnai dayanaklarından biridir ve ancak belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olması halinde geçerlidir. Bir veri işleme faaliyetinin açık rızaya mı yoksa KVKK m.5 ve m.6’da sayılan diğer işleme şartlarına (örneğin, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi için zorunluluk) mı dayalı yürütülmesi gerektiği, her somut olayda kişisel veri işleme amacına, faaliyetin kapsamına ve niteliğine göre belirlenir. İlke Kararı’na konu ticari elektronik ileti gönderimi ise rızaya tabi bir işlem olup, ancak ilgili kişinin özgür iradesiyle vereceği açık rıza ile hukuka uygun hale gelebilir. Tüm bu hususlar bir arada değerlendirildiğinde, açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur; ancak aydınlatma yükümlülüğünde olduğu gibi açık rızanın elektronik ortamda, fiziken veya çağrı merkezi vb. yollarla alınması ve veri sorumlusu tarafından ispat edilebilir olması gereklidir.
Açık rızanın hizmetin sunulmasının ön koşulu haline getirilmesi meselesi, KVKK’nın yürürlüğe girdiği tarihten bu yana Kurul’un ve Kurum’un özellikle üzerinde durduğu bir konudur. Uygulamada sıkça karşılaşılan bu hata, rızanın özgür iradeye dayanmasını engelleyerek geçerliliğini ortadan kaldırmaktadır. Zira, bir hizmetten yararlanabilmek için rıza vermeye zorlanan ilgili kişi, aslında gerçek bir tercih hakkına sahip değildir; bu da verilen rızayı sakatlar ve hukuken geçersiz hale getirir. Öte yandan, Kurul konu hakkında verdiği kararlarda[5] , kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceğine dikkat çekmektedir.
Tüm bunların yanı sıra, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar “battaniye rıza” olarak değerlendirilmekte ve hukuken geçersiz sayılmaktadır. Örneğin, “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi spesifik bir konu ve veri işleme faaliyetini işaret etmeyen rıza beyanları battaniye rıza olarak kabul edilir ve geçersiz sayılır. Dolayısıyla, tek bir işlem ya da eylem ile birden çok kişisel veri işleme faaliyetine ilişkin açık rıza alınması rızanın geçerliliğini sakatlayacaktır. Tek bir beyan ile alınan rızaların KVKK ilke ve esaslarıyla uyumlu olmadığı pek çok Kurul kararında özellikle ele alınmıştır[6].
Nitekim İlke Kararı’nda dikkat çekildiği gibi, üyelik sözleşmesinin kabulü, kişisel verilerin işlenmesine onay verilmesi ve ticari elektronik ileti gönderimine rıza gösterilmesi gibi farklı nitelikteki işlemlerin tek bir işlem altında toplanması, ilgili kişiye gerçek bir tercih hakkı tanımamakta ve rızanın bağımsızlığını ortadan kaldırmaktadır. Bu tür uygulamalar, açık rızanın geçerlilik şartlarını sakatladığı gibi, KVKK’nın öngördüğü şeffaflık, belirli, açık ve meşru amaçlarla sınırlı veri işleme gibi temel ilkelerine de aykırılık teşkil etmektedir.
Sonuç
Aydınlatma yükümlülüğü ve açık rıza uygulamalarının geçerlilik şartları, aslında KVKK’nın yürürlüğünden bu yana, gerek mevzuat gerekse Tebliğ ve Kurum rehberleri gibi ikincil düzenlemeler kapsamında açıkça düzenlenmekte ve somut örneklerle açıklanmaktaydı. Buna rağmen, özellikle mağazalarda ürün ve hizmet sunumu sırasında bazı operasyonel süreçleri kolaylaştırmak amacıyla geliştirilen uygulamalar, pratik fayda sağlasa da KVKK’nın öngördüğü ilke ve esaslarla bağdaşmamaktadır. İlke Kararı, bu tür kolaylaştırıcı pratiklerin hukuka aykırılığını net bir şekilde tekrar vurgulayarak ve veri sorumlularına sistemlerini yeniden gözden geçirmeleri yönünde önemli bir mesaj vermiştir.
Bundan sonraki süreçte, başta perakende mağazalar olmak üzere tüm veri sorumlularının, aydınlatma ve açık rıza uygulamalarını KVKK’ya tam uyumlu şekilde kurgulamaları bir zorunluluk haline gelmiştir. Özellikle ticari elektronik ileti gönderimine dair rızaların geçersizliği riskini ortadan kaldırmak için, KVKK ve ikincil mevzuat hükümlerine uygun sistemlere geçilmesi büyük önem taşımaktadır. Bununla birlikte, ticari elektronik ileti gönderimi yalnızca KVKK ile sınırlı bir uyum meselesi değildir; aynı zamanda Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik[7] hükümleri de dikkate alınmalıdır. Veri sorumluları, mal ve hizmetlerini tanıtmak, pazarlamak veya işletmelerini duyurmak amacıyla gerçekleştirdikleri tüm ticari iletişimlerde bu Yönetmeliğin gereklerini de yerine getirmeli, gerekliyse ileti yönetim sistemine kayıt olmalı ve iletilere ilişkin geçerlilik şartlarını titizlikle gözetmelidir.
- Kişisel Verileri Koruma Kurulu 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı, 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete https://resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf, (Erişim Tarihi: 25.08.2025).
- KVKK m. 11 uyarınca, ilgili kişiler; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bu amacın uygunluğunu sorgulama, verilerin yurt içinde veya yurt dışında kimlere aktarıldığını öğrenme, eksik veya yanlış işlenmiş verilerin düzeltilmesini ya da Kanun’un 7. maddesi kapsamında silinmesini veya yok edilmesini isteme haklarına sahiptir. Ayrıca, bu taleplerin üçüncü kişilere bildirilmesini sağlama, yalnızca otomatik sistemler üzerinden yapılan işlemler sonucu aleyhlerine doğabilecek sonuçlara itiraz etme ve kanuna aykırı işleme nedeniyle uğranan zararın giderilmesini talep etme hakları da bulunmaktadır.
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, 10.03.2018 tarihli ve 30356 sayılı Resmi Gazete, https://resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm , (Erişim Tarihi: 25.08.2025).
- Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, Kişisel Verileri Koruma Kurumu, Mart 2025, https://kvkk.gov.tr/Icerik/5395/Aydinlatma-Yukumlulugunun-Yerine-Getirilmesi-Rehberi-Kurum-Internet-Sayfasinda-Yayinlanmistir-, (Erişim Tarihi: 25.08.2025).
- Kişisel Verileri Koruma Kurulu 15.06.2023 tarihli ve 2023/1041 sayılı Kararı https://kvkk.gov.tr/Icerik/7768/2023-1041, 02.05.2023 tarihi ve 2023/692 sayılı Kararı https://kvkk.gov.tr/Icerik/7691/2023-692 (Erişim Tarihi: 27.08.2025).
- Kişisel Verileri Koruma Kurulu 20.05.2020 tarihli ve 2020/404 sayılı Kararı https://www.kvkk.gov.tr/Icerik/6913/2020-404, Kişisel Verileri Koruma Kurulu 27.02.2020 tarihli ve 2020/173 sayılı Kararı, https://www.kvkk.gov.tr/Icerik/6739/2020-173 (Erişim Tarihi: 27.08.2025).
- Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete, https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=20914&MevzuatTur=7&MevzuatTertip=5 , (Erişim Tarihi: 27.08.2025).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.