Kişisel Verileri Koruma Kurulu Bir SMS ile Birden Fazla İşleme İlişkin Toplu Onay Alınmasını KVKK’ya Aykırı Buldu!

on Temmuz 4, 2025 by admin
Makaleler

Kişisel Verileri Koruma Kurulu (“Kurul”), ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin iletişim bilgilerinin talep edilmesi ve SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerinin işlenmesinin hukuka uygunluğunu denetledi.

26 Haziran 2025 tarihli Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 2025/1072 sayılı ilke kararı (“Karar”) ile tüketicileri yakından ilgilendiren ve sıkça karşılaşılan bir uygulama hakkında önemli bir karar verildi:

Bir SMS doğrulama süreciyle, birden fazla işleme toplu onay alınması artık KVKK’ya aykırı kabul ediliyor!

Bu Karar Neden Önemli?

Kurul’a iletilen şikayetler ve ihbarlar sonrasında, Kurul tarafından mobil uygulamalar, bankacılık ve sigortacılık işlemleri, sağlık randevu sistemleri, e-ticaret platformları, otel ve seyahat rezervasyon birçok sektörde kullanılan SMS doğrulama uygulamaları incelendi.

Karar’da, ürün veya hizmet sunumlarında (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) doğrulama kodlarının amacını aşacak şekilde kullanıldığı ve açık rızanın usule uygun şekilde alınmadığı ve bu şekilde tüketicilerin yanıltıldığı tespit edildi.

Nedir bu hatalı uygulamalar?

Yapılan incelemeler sonucunda, ilgili kişilere ödeme işlemleri esnasında gönderilen SMS içeriklerinde ya öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı; söz konusu kodun elektronik ticari ileti gönderimine ilişkin açık rızanın verilmesi için alınmasına karşın alışverişin tamamlanması için gerekli olduğu belirtilerek ön şart olarak sunulduğu tespit edilmiştir.

Örneğin, bir e-ticaret platformunda telefon numarası yazılarak SMS ile doğrulama kodu alınıyor ve bu kodu girildiğinde tüketicinin onayı olmadan;

  • Üyeliği oluşturuluyor,
  • Ticari elektronik iletilere izin veriliyor,
  • KVKK metnine rıza verdiği varsayılıyor.

Bu tür uygulamaların, kişisel veri işleme süreçlerini hızlandırıyor gibi görünse de, bireylerin temel haklarını ihlal ettiği değerlendirildi. Kurul, bu birleştirme yönteminin açık rıza ilkesine aykırı olduğunu açıkça belirtti.

Doğru Uygulama Nasıldır?

Veri sahibine bilme, seçme ve reddetme hakkı tanınmalıdır. SMS doğrulama kodları yalnızca kimlik doğrulama amacıyla kullanılmalı ve başka bir işlemle birleştirilmemelidir. Kullanıcıya açık rıza almak için ayrıca bir onay ekranı sunulmalı ve;

  • Ayrı bir aşamada,
  • Kullanıcıya işlem hakkında detaylı aydınlatma yapılarak,
  • Seçenek sunulmak suretiyle her bir işlem için ayrı onay alacak şekilde -örneğin önceden işaretli olmayan ayrı kutucuklar ile-

Gerçekleştirilmelidir.

Ayrıca, SMS ile onay kodunun alışverişin tamamlanmasından önce iletilmesi durumunda SMS içeriğinde ilgili kişilerin onay verme zorunluluğu olmadığı ve tercihlerini her zaman değiştirilebileceği bilgilerinin de yer alması gerekmektedir.

Kurul’un Kararında Vurgulanan Temel İlkeler:

  • Veri Minimizasyonu: Kişisel veri işleme süreçleri, yalnızca belirli ve gerekli bilgilerle sınırlı olmalıdır. Örneğin, bir otel rezervasyonu için doğrulama kodu yalnızca kimlik doğrulama için kullanılmalı, ticari ileti izni veya başka amaçlarla veri toplanmamalıdır.
  • Belirlilik: Açık rıza yalnızca belirli bir işlem için alınabilir. “Genel geçer” nitelikteki onaylar geçersizdir. Kullanıcı, tam olarak neye onay verdiğini anlamalıdır.
  • Aydınlatma Yükümlülüğü: Her işlem öncesinde kullanıcı; verilerinin kim tarafından, hangi amaçla, ne kadar süreyle işleneceği açık bir şekilde bilgilendirilmelidir.

Sonuç:

Karar ile, kullanıcı deneyimini hızlandırma bahanesiyle yapılan hatalı veri işleme uygulamalarına son nokta konularak doğrulama kodları üzerinden çoklu veri işleme faaliyetlerini KVKK’ya aykırı bulundu.

Şirketler için bu karar, yalnızca uyum sürecine yönelik idari para cezası riskine karşı bir uyarı değil; aynı zamanda tüketici güvenini artırma fırsatıdır. Her veri işleme faaliyeti, ayrı ayrı değerlendirilerek açık rızaya bağlanmalı ve tüketici yanıltılmadan şeffaf bir şekilde yürütülmelidir.

Kararın tamamına bu link üzerinden ulaşabilirsiniz.  https://kvkk.gov.tr/Icerik/8338/2025-1072

Tüm hakları saklıdır. 2024 Aksan Hukuk Bürosu
incele

Aksan Hukuk Bürosu sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin