17.12.2021 tarihinde tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) web sitesinde “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” başlıklı duyuru yayımlanmıştır. Bu duyuruya ilişkin detayları sizlere kısaca aktarmak isteriz.
Kurum’a yapılan ihbarlarda mağazalardan yapılan alışveriş sonrasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bu işlemden sonra ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verilmiştir. Bunun üzerine Kurum, veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınarak ilgili kişilerin yanıltıldığını tespit etmiştir.
Kurum, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3. maddesinde açık rızanın geçerli olması için taşıması gereken üç temel unsuru belirtmiş ve buna istinaden veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, ilgili kişinin hem konu hem de rızasının sonuçları üzerinde tam bir bilgi sahibi olması ve yaptığı davranışın bilincinde olarak, kendi kararı ile açık rıza beyanı vermesi gerektiğini ifade etmiştir.
Bunun yanı sıra Kanun’un 10. maddesi uyarınca, kişisel veriler elde edilirken veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerektiği ve kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hususuna değinilmiştir.
Tüm bu değerlendirmeler sonucunda Kurum;
- Kişilere gönderilecek SMS’in amacının ve ne gibi sonuçlar doğuracağının, katmanlı aydınlatma gereği ilk aşamada mağazadaki yetkililer tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, aynı zamanda söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
- SMS ile doğrulama kodu gönderilerek birbirinden farklı işleme faaliyetlerinin (üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb.) tek bir eylemle gerçekleştirilmemesi, işleme faaliyetlerine yönelik seçenek sunularak ayrı ayrı açık rıza alınması,
- Açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmemesi,
- Ticari elektronik ileti gönderimi için SMS doğrulama kodu gönderilmesi halinde ise alınacak açık rızanın yukarıda bahsedilen tüm unsurları kapsaması gerektiği,
hususlarına değinmiş ve bu hususların önem arz ettiğini ifade etmiştir.
Duyurunun tamamına aşağıdaki linkten ulaşabilirsiniz; https://www.kvkk.gov.tr/Icerik/7104/MAGAZALARDA-ALISVERIS-SIRASINDA-ILGILI-KISILERE-SMS-ILE-DOGRULAMA-KODU-GONDERILMESI-SURETIYLE-KISISEL-VERILERIN-ISLENMESINE-ILISKIN-KAMUOYU-DUYURUSU
Stj. Av. Sıla ATİLLA
TARLAN- BAKSI AVUKATLIK BÜROSU
AV. AYLİN TARLAN- AV. DERYA BAKSI
Tarlan-Baksı Avukatlık Bürosu Bloğu 