Bilgilendirme

Değerli Müşterilerimiz,

Kişisel Verileri Koruma Kurulu (“Kurul”) 17 Aralık 2021 tarihinde Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi hakkında bir kamuoyu duyurusu yayımlamıştır.

Kurul anılan duyurusunda özetle; yüz yüze gerçekleştirilen alışverişlere ilişkin ödeme işlemeleri esnasında ödemelerin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu beyan edilerek kişilere SMS ile doğrulama kodu gönderildiği, beyan edilenin aksine söz konusu doğrulama kodlarının elektronik ticari ileti gönderimi yapabilmek için ilgili kişilere gönderildiği ve bu doğrulama kodlarını görevlilere ileten kişilere veri sorumlularınca elektronik ticari ileti gönderilmeye başlandığına dair Kuruma çok sayıda şikayetin intikal ettiğini bildirmiştir.

Kurul’un şikayetler hakkında yürüttüğü inceleme sonucundaki açıklamalarına geçmeden önce Kurul duyurusunda sık sık gündeme gelen “aydınlatma yükümlülüğü” ve “açık rıza” konularında sizlere kısa bir hatırlatma yapmak isteriz.

Bilindiği üzere; kişisel veri işleme faaliyetleri kapsamında sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle gerçekleştirilecek aydınlatma yükümlülüğü kapsamında;

• İlgili kişinin açık rızasına veya 6698 sayılı Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.

• Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. • Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

• Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

• Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

• Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir.

• Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

• Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Açık Rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Kurul, şikayetlere ilişkin yürüttüğü inceleme neticesinde mevcut mevzuat hükümlerine atıfta bulunarak;

• Kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalardaki görevli personeli tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması (katmanlı aydınlatma), ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,

• Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,

• Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,

• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması gerektiğini bildirmiştir.

Yukarıdaki açıklamalar ışığında sonuç olarak;

1. Şirketimizin IVT ürününün 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair ikincil mevzuata uygun olarak siz değerli müşterilerimizin kişisel veri işleme ve elektronik ticari ileti gönderim faaliyetlerini yürütmesine olanak ve yardım sağladığını ve Kurul'un söz konusu kamuoyu duyurusunun bu duruma halel getirmediğini,

2. Kurul'un kamuoyu duyurusunda belirtildiği üzere açık rızaya bağlı olsun olmasın her türlü veri işleme faaliyetinden önce aydınlatma yükümlülüğü doğru bilgilendirmeye dayalı şekilde mevzuata uygun olarak yerine getirilmesi ve kişilerin iradelerini sakatlayacak yanıltıcı ve eksik beyanlardan kaçınılması gerektiğini,

3. Aydınlatma yükümlülüğünün ve açık rıza alınması işlemlerinin birlikte yapılmaması, bilhassa torba bir SMS aracılığıyla aydınlatma, açık rıza, elektronik ticari ilet onaylarının vb. birlikte gerçekleştirilmemesi gerektiğini,

4. Aydınlatma yükümlüğünü yerine getirirken katmanlı aydınlatma [Kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel verilerinin elde edildiği konusunda ön bilgilendirme yapılarak yapılan aydınlatma (kasa önü aydınlatma kartonu konması vb)] yöntemi kullanılacaksa bunun düzgün ve doğru olarak yapılması gerektiğini,

5. İster ticari elektronik ileti onaylarının isterse kişisel veri işleme açık rızasının teyidi için gönderilecek doğrulama kodlarını içeren SMS'ler de kişilerin vereceği açık rıza ve onayların hangi konuya ilişkin olduğu hakkında tam ve doğru ifadeler kullanılması gerektiğini,

6. Şirketiniz bünyesinde görevli veya hizmet aldığınız danışmanlar aracılığıyla kişisel veri işleme süreçlerinizin mevzuata uygunluğunun düzenli olarak gözden geçirilmesinin gerekliliğini ve önemini bilgilerinize sunarız.