26/06/2025 tarihli Resmî Gazete’de Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 10/06/2025 tarih ve 2025/1072 No.’lu Kararı (“Karar”) yayımlanmıştır.

Karar’da ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi hususunu ele almıştır. Karar, ilke karar niteliğinde olduğundan bu yöntemle işleme yapılırken uyulması gereken usul ve esasları belirlemekte olup bu usul ve esaslara uyulmaması yaptırım sonucu doğurabilecektir.

Karar’a ilişkin detaylar aşağıdadır:

1. Karar’ın Arka Planı

Kurul, kendisine intikal eden çok sayıda şikâyette ürün ve hizmet sunumunun çeşitli aşamalarında ürün ve hizmetleri alan kimselere SMS doğrulama kodu gönderildiği ve faturalama, ödeme tamamlanması, fatura gönderilmesi gibi çeşitli nedenlerle gerekli olduğu gerekçesi öne sürülerek gönderilen kodun sisteme girilmesi akabinde ilgili kişilere ticari elektronik ileti gönderildiği bulgusuna ulaşmıştır.

Kurul yaptığı incelemeler sonunda ilgili kişilere faturalama, fatura gönderilmesi, üyelik oluşturma, teklif oluşturma vb. işlemler sırasında doğrulama kodu gönderilen içeriklerin içerisinde ya da SMS gönderimi öncesinde veri sorumlusunca ya da yetkilendirdiği kimselerce aydınlatma yapılmadığı ve/veya söz konusu kodun yukarıda belirtilenler gibi sebeplerle gerekli olduğu gerekçesi ile istenilmesine rağmen bu yöntemle ticari elektronik ileti gönderilmesi suretiyle ilgili kişilerin yanıltıldığını tespit etmiştir.

Bu kapsamda Kurul, SMS gönderimi ile rıza alınmasına ilişkin ilkeleri Karar ile belirlemiştir.

2. Kurul’un SMS Gönderimine İlişkin Belirlediği İlkeler  

a) Ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişiye gönderilecek SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun veri sorumlularının görevlileri tarafından ilgili kişilere açık ve anlatılabilir bir biçimde anlatılması ve yine söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması gerekmektedir.

b) Gönderilen doğrulama kodu ile üyelik sözleşmesi onaylanması, kişisel veri işlenmesi, ticari elektronik ileti izni alınması gibi onaya bağlı işlemlerin tek bir kod ile yapılmaması, açık rıza gerektiren işleme faaliyetlerine yönelik olarak seçenek sunularak ilgili kişilerden ayrı ayrı açık rıza alınmasının sağlanması gerekmektedir.

c) Aydınlatma ve açık rıza yükümlülüğünün ayrı ayrı yerine getirilmesi gerekmektedir.

d) Ticari elektronik ileti gönderimi için açık rıza alınması için gönderildiği hallerde SMS ile alınacak açık rızanın mevzuatta belirtilen tüm unsurları kapsaması gerekmektedir.

e) Ticari elektronik ileti gönderilmesi amacıyla kişisel veri işlemesine açık rıza verilmesi halinde bu açık rızanın bilgilendirmeye ve özgür iradeye dayanma unsurlarını zedeleyecek şekilde ürün ve hizmet sunumunun tamamlanması için zorunlu bir unsur şeklinde yapılmaması gerekmektedir.

f) Ticari elektronik ileti gönderimi amacıyla kişisel verilerin işlenmesine ilişkin açık rızanın, ürün ve hizmet sunumu tamamlandıktan sonra talep edilmesi veya veri sorumlusu tarafından yapılan bilgilendirmelerde (hem SMS hem de fiziksel/dijital ortamda) ilgili kodun görevliyle paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumu için zorunlu olmadığı, kod verilmediği takdirde de ürün ve hizmetlerin her zaman sağlanabileceği ve bu kod aracılığıyla verilen izinlerin veya tercihlerin istenildiği zaman değiştirilebileceği hususlarının açıkça belirtilmesi gerekmektedir.

g) Yukarıdaki kapsamda veri sorumlusu personeline bu süreçlerle ilgili olarak düzenli bir eğitim ve farkındalık çalışmaları gerçekleştirilmelidir.

3. Yaptırımlar

Kurul tarafından yukarıda belirtilen hususların, Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu düzenlenmiştir.  Bu kapsamda, bunlara aykırılık durumunda, Kanun’un 18. maddesi uyarınca idari para cezası verilebileceğini belirtmiştir.

Bu kapsamda Kanun kapsamındaki para cezalarına konuya ilişkin bültenimizden ulaşabilirsiniz.

Herhangi bir sorunuz olursa, bizimle iletişime geçebilirsiniz.

Batuhan Şahmay
Ortak Avukat | batuhan.sahmay@bener.com
Hande Hamevi
Ortak Avukat | hande.hamevi@bener.com
Naz Tarım
Avukat | naz.tarim@bener.com