İsviçre Federal Mahkemesi, ceza mahkemesi kararlarının, hakem kararlarının yeniden incelenmesi sonucu iptal edilmesi açısından doğrudan bağlayıcı etkisi olmadığını vurguladı
June 26, 2025Principle Decision of Personal Data Protection Authority on SMS Verification Codes
June 27, 2025
SMS’le doğrulama kodu için KVKK ilke kararı
Ödeme yapma, üyelik oluşturma veya kayıt açma işlemleri sırasında iletişim bilgileri talep edilerek vatandaşların cep telefonlarına SMS’le doğrulama kodu gönderilmesi uygulamasıyla ilgili Kişisel Verileri Koruma Kurumu’na (KVKK) ulaşan şikayet ve ihbarlar doğrultusunda KVKK 10.06.2025 tarihli karar uyarınca mevcut uygulamalara son verilerek aşağıdaki kurallara uyulması gerektiğini belirtilmiştir. Buna göre:
- Ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açına, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, ilk aşamada, veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması;
- Aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanalları sağlanması;
- İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması gibi birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi;
- Açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması;
- Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemleri ayrı ayrı yerine getirilmesi;
- Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesi hususunun, ürün ve hizmet sunumumum tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması;
- Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumu tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi;
- Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmaları periyodik olarak yürütülmesi gereklidir.
Ayrıca yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu altı çizilmiştir.
Bu kapsamda veri sorumlularının mevcut açık rıza ve aydınlatma mekanizmalarını gözden geçirerek yukarıdaki ilke kararına uyumu sağlamaları gerekmektedir.
