Kişisel Verileri Koruma Kurumu’na ulaşan çok sayıda şikâyet ve ihbarı değerlendiren Kurul, ürün ve hizmet sunum süreçlerinde (örneğin ödeme, üyelik, kayıt oluşturma vb.) kullanıcıların cep telefonlarına gönderilen doğrulama kodlarıyla ilgili önemli bir hukuki değerlendirme yaptı. Kurum, bu doğrulama kodlarının, ilgili kişilere yeterli aydınlatma yapılmaksızın ticari elektronik iletiler için açık rıza alma amacıyla kullanıldığını tespit etti.
Kodla Rıza Almak Yasaya Aykırı
Kurul’un incelemelerinde, SMS yoluyla gönderilen doğrulama kodlarının içeriğinde veya gönderilmeden önce, veri sorumlusu tarafından yeterli bilgilendirme yapılmadığı ve kod paylaşımının ardından kişilere ticari ileti gönderildiği tespit edildi. Bu durumun, Kişisel Verilerin Korunması Kanunu’na (KVKK) aykırı olduğu vurgulandı.
Açık Rıza Zorunluluğu Vurgulandı
KVKK’nın 5. maddesi gereği, kişisel veriler kural olarak açık rıza olmaksızın işlenemiyor. Kurul, açık rızanın; bilgilendirmeye dayanan, özgür iradeyle verilen ve belirli bir konuya yönelik olması gerektiğini hatırlattı. Ayrıca, bir ürün veya hizmetin sunulmasının ön koşulu olarak açık rızanın zorunlu tutulmasının, rızanın özgür irade unsurlarını ortadan kaldırdığı belirtildi.
Aydınlatma ve Rıza Ayrı Olmalı
Kararda, aydınlatma yükümlülüğünün açık rıza alma sürecinden tamamen bağımsız şekilde ve zamanında yerine getirilmesi gerektiği belirtildi. Bu doğrultuda:
SMS ile gönderilen doğrulama kodlarının ne amaçla istendiği açıkça açıklanmalı,
Bu kodların verilmesiyle ne gibi sonuçlar doğacağı kullanıcıya açıkça anlatılmalı,
Açık rıza ile yapılacak işlemler birbirinden ayrılmalı ve her biri için ayrı onay alınmalı,
Ticari ileti gönderimi için alınacak açık rıza, ürün veya hizmetin verilmesi için zorunlu tutulmamalı.
Eğitim Şartı Getirildi
Kurul ayrıca, veri sorumlularının bu süreçte görev alan personellerine düzenli eğitimler ve farkındalık çalışmaları yapmasının zorunlu olduğunu belirtti.
İhlal Tespit Edilirse Yaptırım Uygulanacak
Kararda, Kanun’un 12. maddesi uyarınca veri sorumlularının gerekli teknik ve idari tedbirleri almakla yükümlü olduğu, aksi halde KVKK’nın 18. maddesi kapsamında yaptırımlarla karşı karşıya kalacakları vurgulandı.
İlke Kararı Bugünkü Resmi Gazete’de Yayınlandı
Kurul, söz konusu tespit ve değerlendirmeler doğrultusunda aldığı İlke Kararı'nın Resmi Gazete ve Kurumun internet sitesinde yayımlanmasına oybirliğiyle karar verdi.
Bu karar, hem tüketicilerin kişisel verilerinin izinsiz kullanılmasına karşı bir koruma kalkanı oluştururken hem de şirketlere açık rıza süreçlerini yasal zemine oturtmaları konusunda önemli bir uyarı niteliği taşıyor.
(HABER MERKEZİ)
İsmetpaşa Mah. Demircioğlu Cad.
No:103 Merkez / Çanakkale
+90 286 212 91 91, +90 286 212 91 92
+90 533 022 68 98
