SMS ile Doğrulama Kodu Gönderimi Yoluyla Kişisel Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı Yayımlandı.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 26 Haziran 2025 tarihli Resmî Gazete'de yayımlanan Kurul Kararı (Karar No: 2025/1072, Toplantı Sıra Sayısı: 2025/18) ile, ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi hakkında bir ilke kararı alınmıştır. Bu karar, Kişisel Verileri Koruma Kanunu (“Kanun”) kapsamında kişisel verilerin işlenmesi şartları, aydınlatma yükümlülüğü ve veri güvenliği tedbirleri doğrultusunda önemli prensipleri belirlemektedir. Kurul, bu kararıyla yaygın uygulamalardaki hukuka aykırılıkları tespit etmiş ve veri sorumlularının uyması gereken yükümlülükleri ortaya koymuştur.

İlke kararında ilk olarak, Kuruma ulaşan çok sayıda şikayet ve ihbarda, ürün ve hizmet sunum süreçlerinde (ödeme, kayıt açma, üyelik oluşturma, teklif oluşturma vb.) ilgili kişilerden iletişim bilgileri talep edildiği ve SMS ile doğrulama kodu gönderildiği belirtilmiştir. Bu kodun, ödemelerin tamamlanması, fatura oluşturulması veya bilgilerin güncellenmesi için gerektiği öne sürülmüştür. Ancak, söz konusu işlemin ardından ilgili kişilere veri sorumlusunun faaliyetleriyle ilgili ticari elektronik ileti gönderildiği iddiaları yer almıştır. Kurul tarafından yapılan incelemelerde, bu doğrulama kodu SMS'lerinin içeriklerinde veya gönderimi öncesinde veri sorumlusu ya da yetkilendirdiği kişilerce herhangi bir aydınlatma yapılmadığı tespit edilmiştir. Ayrıca, kodun ödeme veya bilgi güncelleme için gerekli olduğu gerekçesiyle istenmesine rağmen, bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınarak ilgili kişilerin yanıltıldığı belirlenmiştir.

Kurulun değerlendirmesinde, Kanun'un 5. Maddesi uyarınca kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ve ancak Kanun’da belirtilen sınırlı durumlarda açık rıza aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu belirtilmiştir.

Kurul; Kanun’un 3. maddesi kapsamında açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" şeklinde tanımlandığını ve açık rızanın bu unsurları kapsaması gerektiğini ifade etmiştir.

Nihayetinde, Kurulun ilke kararında ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması gerektiği ve bunu sağlamak adına veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerektiği ifade edilmiştir. Kurul, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde idari para cezası uygulanacağı hususunda değerlendirmede bulunmuştur.

Sonuç olarak, Kurul ilke kararı ile geçmişte yayımladığı duyurulara paralel bir yaklaşım ortaya koymuştur. Böylelikle, SMS ile onay kodunun alışverişin tamamlanmasından önce gönderilmesi halinde ilgili kişilerin SMS içeriğine onay verme zorunluluğunun olmadığı ve tercihlerini her zaman değiştirilebileceği husus bir ilke kararına da yansımış oldu. Bu çerçevede, ürün veya hizmet sunan veri sorumlularının ilke kararına uygun davranması ve uyum çalışmaları yürütmesi gerekmektedir.