Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 17 Aralık 2021 tarihinde “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” yayımlanmıştı. Ancak konu ile ilgili Kuruma yapılan ihbar ve şikayetler devam etmiştir. Kuruma intikal eden ihbar ve şikayetlerde, mağazalardaki alışverişler sırasında gerçekleşen kasa işlemleri esnasında kişilere SMS ile doğrulama kodu gönderilerek yapılan işlemlere ilişkin olarak, veri sorumlusunun açık rıza almadan ticari elektronik ileti gönderdiği iddiaları bulunmaktadır. Bu kapsamda Kurum yayımladığı kamuoyu duyurusunu güncellemiş ve aşağıdaki düzenlemelere gidilmesi gerektiği belirlenmiştir:
Aydınlatma Yükümlülüğünün Yerine Getirilmesi
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 10. maddesi ile, veri sorumluları için kişisel verisini işlediği ilgili kişileri aydınlatma yükümlülüğü getirilmiştir. Veri sorumluları aydınlatma yükümlülüğünü yerine getirirken ilgili kişiler ile arasındaki güven ilişkisinin tesisi, şeffaflık ve hesap verebilirlik ilkelerine dikkat etmelidir. Bu kapsamda:
- Mağazalarda yapılan alışveriş sırasında kasa işlemleri esnasında gönderilecek olan SMS’in amacının ve bu SMS ile ilgili kodun verilmesinin sonuçları ilgili kişilere açık ve anlaşılır bir şekilde aktarılmalıdır.
- Aydınlatma yükümlülüğünün yerine getirilebilmesi için SMS içeriklerinde gerekli bilgilendirme kanallarının sağlanması gerekmektedir.
Açık Rızanın Alınması
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın üç unsuru bulunmaktadır. Hukuka uygun, geçerli bir açık rızadan söz edebilmek için açık rızanın bilgilendirmeye dayanması (aydınlatma yükümlülüğünün yerine getirilmesi), belirli bir konuya ilişkin olması ve kişinin özgür iradesi ile açık rıza vermesi gerekmektedir. Bu kapsamda:
- Veri sorumlularınca ilk olarak ilgili kişilere aydınlatmanın yapılması ve sonrasında açık rızanın alınması gerekmektedir. Aydınlatma yükümlülüğü ve açık rıza alma yükümlülüğü ayrı ayrı yerine getirilmelidir.
- Mağazalardaki ödeme işlemleri sırasında gönderilen SMS ile üyelik sözleşmesi onayı, kişisel veri işleme izni, ticari elektronik ileti onayı gibi farklı konulara ilişkin işlemlerin tek bir eylemle gerçekleştirilmemesi gerekmektedir. Açık rıza alınması gereken her konu için ayrı ayrı açık rıza alınmalıdır.
- Ticari elektronik ileti gönderimi için açık rıza alınması durumunda da alınacak açık rızanın Kanunda belirtilen üç unsuru taşıması gerekir.
- Açık rızanın temel unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” prensiplerinin zedelenmemesi için ticari iletilerin gönderilerek kişisel verilerin işlenmesinde açık rıza alınması, alışverişin tamamlanabilmesi için zorunlu bir şart olarak sunulmamalıdır.
- Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilerek bu açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi gerekmektedir.
İlgili kamuouyu duyurusu için: https://kvkk.gov.tr/Icerik/7740/Magazalarda-Alisveris-Sirasinda-Ilgili-Kisilere-SMS-ile-Dogrulama-Kodu-Gonderilmesi-Suretiyle-Kisisel-Verilerin-Islenmesine-Iliskin-Kamuoyu-Duyurusu