KVKK'dan SMS kararı: Doğrulama kodu ile açık rıza alınamaz

Kişisel Verileri Koruma Kurulu (KVKK), 10 Haziran 2025 tarihli ve 2025/1072 sayılı kararıyla, SMS doğrulama kodları üzerinden ticari elektronik ileti izni alınması gibi uygulamalara son verilmesi gerektiğine karar verdi. Kurula ulaşan çok sayıda şikayette, kullanıcıların ödeme, üyelik veya kayıt işlemleri sırasında cep telefonlarına SMS ile gönderilen kodların, açık rıza alınması amacıyla kullanıldığı belirtildi.

Kurul, bu yöntemin hem aydınlatma yükümlülüğünü yerine getirmediğini hem de açık rızanın bilgilendirmeye dayalı ve özgür iradeyle verilmesi şartlarını ihlal ettiğini belirterek ilke kararı yayımladı.

Doğrulama kodu ile açık rıza olmaz

Kararda, SMS doğrulama kodlarının ürün ya da hizmet sunumunun ön şartı haline getirildiği, kod verilmediğinde işlem tamamlanamadığı ve bu yolla ticari ileti izinlerinin alındığı tespit edildi. Kurul bu durumu şu ifadelerle değerlendirdi:

"Açık rızanın bilgilendirmeye dayalı ve özgür irade ile verilmesi gerekir. Ticari ileti izni için kod verilmesi zorunlu tutulduğunda bu koşullar ortadan kalkar. Bu nedenle ilgili kişiler yanıltılmakta ve geçerli bir rıza oluşmamaktadır."

Aydınlatma ve açık rıza işlemleri ayrılmalı

Kurul, aydınlatma yükümlülüğü ile açık rıza alma işlemlerinin birbirinden ayrı yapılması gerektiğini vurguladı. Buna göre, SMS ile iletilen kodun neden istendiği ve bu kodun verilmesinin ne gibi sonuçlar doğuracağı açık bir şekilde kullanıcıya iletilmelidir. Ticari elektronik ileti gönderimi, ürün ve hizmet sunumunun ön koşulu gibi gösterilemez.

Uygulamaya son verilmezse idari işlem yapılacak

Kurulun ilke kararına göre, bu uygulamalara devam edilmesi halinde veri sorumluları hakkında 6698 sayılı Kanun'un 18. maddesi uyarınca idari işlem yapılabilecek. Ayrıca karar kapsamında veri sorumlularının, konuyla ilgili çalışanlarına düzenli eğitim vermesi ve tüm süreci hukuka uygun şekilde yapılandırması gerektiği belirtildi.

KURUL KARARI
Kişisel Verileri Koruma Kurumundan:
KARAR
Karar Tarihi: 10/06/2025
Karar No : 2025/1072
Toplantı Sıra Sayısı: 12025/18
Konu Özeti    : Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı

Kişisel Verileri Koruma Kuruntuna (Kurum) intikal eden muhtelif sayıda şikâyet ve ihbarda, ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin iletişim bilgilerinin talep edildiği ve akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenildiği ancak bahse konu işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir.

Kişisel Verileri Koruma Kurulu (Kurul) tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) doğrulama kodu gönderilen SMS’lerin içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca veya yetkilendirdiği kişilerce herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme İşlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere;
-    6698 sayılı Kişisel Verilerin Korunması Kanuııu’nun (Kanun) 5’inci maddesinde kişisel verilerin İşlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin İşlenmesinin mümkün olduğu işleme şartlan sayılmıştır.
-    Kanun’un 3’üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir İrade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tanı bilgi sahibi olması gerekmektedir, Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.
-    Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 1 l’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kaııun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Veri sorumluları tarafından yapılacak aydınlatma, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine de uygun olmalıdır.
-    Öte yandan, Kanun’un 12’nci maddesinde veri sorumlularının veri güvenliğine ilişkin yükümlülüklerine yer verilmiş olup söz konusu yükümlülüklerin yerine getirilmemesi halinde Kanun hükümleri gereğince veri sorumluları hakkında Kanun’un 18’inci maddesinde düzenlenen yaptırımların uygulanması gerekmektedir.
Bu kapsamda, yaygın olarak uygulandığı anlaşılan somut duruma ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;
•    Ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
« İlgili kişilere SMS İle doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza İle gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması,
•    Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
•    Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
•    Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi takdirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceği, bu nedenle tüm süreçlerin Kanun’a uygun şekilde gerçekleştirilmesi,
•    Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi ile ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi,
•    Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi
gerektiği kararlaştırılmıştır.
Ayrıca, Kanun’un 12’nci maddesinin birinci fıkrası “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ” hükmünü amirdir.
Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve bu kapsamda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.