“Telefonunuza Bir Doğrulama Kodu Gelecek, O Kodu Rica Edebilir Miyim?”

Özellikle mağazacılık faaliyetlerinde alışverişin tamamlanması aşamasında alıcıya iletilen; hemen hepimizin günlük yaşamında maruz kaldığı bir soru. “SMS ile doğrulama kodu gönderimi” birçok şirket için artık yaygın bir uygulama. Peki bu süreç gerçekten mevzuata uygun bir şekilde yürütülüyor mu?

Kişisel Verileri Koruma Kurulu (“Kurul”), çok sayıda şikayet ve ihbar üzerine, ürün ve hizmet sunumu sırasında SMS ile doğrulama kodu gönderilerek kişisel verilerin işlenmesi sürecini mercek altına aldı. Kurul’un İlke Kararı (“Karar”) bugün Resmi Gazete’de yayımlandı (https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf).

İhbar ve Şikayetlere İlişkin Kurul’un Tespitleri:

• Ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma, fatura gönderimi vb. işlemler sırasında doğrulama kodu gönderilen SMS’lerin içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusu - ya da ilgili personeli- tarafından ilgili kişilere aydınlatma yapılmadı.

• Kod ürün ve hizmetin sunulabilmesi için gerekli olduğu gerekçesi ile istendi. Fakat bu yolla ilgili kişilerden ticari elektronik ileti gönderimine ilişkin açık rıza alındı.

• İlgili kişilerin yanıltılması sureti ile kendilerine ticari elektronik ileti gönderimi yapıldı. 

İlke Kararı’ndan Öne Çıkanlar:

1. Katmanlı Aydınlatma Yapılmalıdır. Doğrulama kodu gönderilmesi amacı ile iletişim bilgilerinin istenmesi esnasında, SMS gönderim amacının ne olduğu ve bu kodun verilmesi halinde ne gibi sonuçlar doğacağı veri sorumlusunun ilgili personeli tarafından ilgili kişilere açık ve anlaşılır şekilde açıklanmalıdır. Ek olarak, SMS içeriklerinde de gerekli bilgilendirme yer almalıdır.

   
   

2. Tek Tuşla Çoklu Onay Alınması Uygulamasına Son Verilmelidir. Doğrulama kodu gönderilerek (i) ticari elektronik ileti gönderimi için açık rıza alınması, (ii) kişisel veri işleme izni alınması, (iii) üyelik sözleşmesi onaylatılması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesi uygulamasına son verilmelidir. 

   
   

3. Açık Rıza Aydınlatmadan Ayrı Bir Şekilde Mevzuata Uygun Olarak Alınmalıdır. Açık rıza, aydınlatma yükümlülüğünden ayrı olarak alınmalıdır. İlgili kişiye rıza vermeme seçeneği de sunulmalıdır. Açık rızaya ilişkin yapılan aydınlatmada, ilgili kişinin açık rızasını her zaman geri çekebileceği bilgisi net bir şekilde verilmelidir.

   
   

4. Açık rıza bir koşul olarak istenemez. Kodun verilmemesi halinde işlem yapılamayacağı yönünde bir algı yaratılması, ilgili kişinin özgür iradesini sakatlar ve alınan açık rızayı geçersiz kılar. Açık rıza, ürün ve hizmetin sunumu tamamlandıktan sonra - işlem esnasında istenecek ise de işlemin gerçekleştirilmesi için açık rıza verilmesinin zorunlu olmadığı  belirtilerek- aydınlatma yapılarak istenebilir. 

   
   

5. İlgili Şirket Personeline Eğitim Verilmelidir. Veri işleme süreçlerinde görevli personel, açık rıza, aydınlatma, ticari elektronik ileti gönderimi gibi süreçlere dair düzenli olarak farkındalık eğitimlerinden geçirilmelidir. 

EYAS Perspektifinden Sonuç

Karar, ticari elektronik ileti onay süreçleri ile kişisel veri işleme faaliyetlerinin sıkı biçimde ayrıştırılması gerektiğini açıkça ortaya koymaktadır. Özellikle dijital hizmet sunan platformlar, e-ticaret siteleri, mağazalar ve üyelik bazlı uygulamalarda veri işleme faaliyetleri Karar doğrultusunda yeniden gözden geçirilmelidir.

Unutulmamalıdır ki, Kurul, Karar’da, veri işleme süreçlerinin mevzuata uygun yürütülmemesi halinde yaptırım uygulayabileceğini net bir şekilde ifade etmiştir.

Ne Yapmalısınız?

• Aydınlatma metinlerinizi güncelleyin.

• Doğrulama kodu gönderimi süreçlerinizi gözden geçirin.

• Açık rızaları her işlem türü için ayrı alın.

• Ticari elektronik ileti izinlerini şeffaf şekilde yönetin.

• Personelinizi bu konularda periyodik olarak eğitin.