SMS ile Doğrulama Kodları ve KVKK İlke Kararı Hakkında Bilgilendirme

Değerli Müşterimiz,

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı, 32938 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bu karara göre, ürün ve hizmet sunumu sırasında SMS Doğrulama kodu gönderimi suretiyle ilgili kişilere ticari elektronik ileti gönderimi kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri ile ilgili konularda değerlendirmeler ve gerekli hususlara yer verilmiştir. 

Bu kapsamda kararda;

• Gönderilen SMS kodunun amacının ne olduğu, kodun verilmesi halinde kişisel veriler açısından ne gibi sonuçlar doğuracağı hususunda ilgili kişilere aydınlatma yapılması gerektiği,
• İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi gerektiği, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması gerektiği,
• Açık rızaya istinaden kişisel veri işlenmesi halinde açık rızanın Kanun’da belirtilen unsurları kapsaması gerektiği,
• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması gerektiği ve bunu sağlamak adına veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerektiği

Belirtilmiştir. 

Kurul gerçekleştirdiği değerlendirmeler neticesinde aşağıda belirtilen adımların atılması gerektiğini belirtmiştir. 

• Ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
• İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması,
• Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi takdirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceği, bu nedenle tüm süreçlerin Kanun’a uygun şekilde gerçekleştirilmesi,
• Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi ile ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi,
• Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi

Sonuç itibariyle, veri sorumluları tarafından ilgili kişilere gönderilecek SMS’ler ve doğrulama kodları kapsamında gerçekleştirilecek veri işleme faaliyetlerinin mevzuata uyumlu şekilde yerine getirilmesine dair gereken teknik ve idari tedbirler alınmalıdır. Aksi halde belirtilen hususlara aykırı davranan veri sorumluları hakkında işlem tesis edileceği hususu da Kurul tarafından belirtilmiştir. 

Müşterilerimizin hizmetlerimizi kullanırken ilke kararı ve ilgili tüm mevzuatlara uyumlu davranması ve süreçlerini bu şekilde planlaması gereği söz konusu olmak ile birlikte hizmetlerimizle bu ihtiyaçlarınızın karşılanması ve talepleriniz doğrultusunda sizlere özel çözümlerin sunulması için bizlerle her zaman iletişime geçebilirsiniz. 

Mobildev İletişim: destek@mobildev.com

Karara bu linkten ulaşabilirsiniz: KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 10/06/2025 Tarihli ve 2025/1072 sayılı İlke Kararı

Saygılarımızla,

Mobildev Ekibi