Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından alınan 10 Haziran 2025 tarihli ve 2025/1072 sayılı İlke Kararı, 26 Haziran 2025 tarihli ve 32938 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu karar ile, mağazalarda ürün ve hizmet sunumu sırasında SMS ile doğrulama kodu gönderilmesi suretiyle kişisel veri işleme faaliyetlerine ilişkin uyulması gereken esaslar kamuoyuna duyurulmuştur.

Bu konu, özellikle alışveriş sırasında kişisel verilerin işlenmesi ve ticari elektronik ileti gönderimine ilişkin uygulamalarda yaygın biçimde karşılaşılan hukuka aykırılıklar nedeniyle önem taşımakta olup, Kurul tarafından yayımlanan İlke Kararı ile uygulama birliği sağlanması hedeflenmektedir.

Kurul, daha önce 17 Aralık 2021 ve 13 Kasım 2023 tarihli kamuoyu duyuruları ile 2023/1653 sayılı kararı çerçevesinde, bu konuya ilişkin olarak veri sorumlularını bilgilendirmiş ve yükümlülükler hakkında yönlendirici açıklamalarda bulunmuştur. Ancak aradan geçen sürede, SMS ile doğrulama kodu gönderimi uygulamasının halen hukuka uygun şekilde yürütülmediğine ilişkin çok sayıda şikayetin Kurum’a iletilmesi üzerine, söz konusu uygulamaya dair esaslar İlke Kararı düzeyinde ilan edilmiştir.

Kurul tarafından yapılan değerlendirmelerde, alışveriş işlemleri sırasında iletişim bilgilerinin temini, ardından SMS ile doğrulama kodu gönderilmesi ve bu kodun personele bildirilmesinin talep edilmesi gibi işlemler sonucunda, ilgili kişilere ticari elektronik ileti gönderilmesi suretiyle rıza alınmasının yaygınlaştığı tespit edilmiştir. Özellikle, doğrulama kodlarının ödeme, fatura düzenleme ya da bilgi güncelleme gibi zorunlu süreçlerin bir parçası gibi sunularak ticari ileti izni elde edilmesi, açık rıza ilkesini ve özgür iradeyi zedeleyen uygulamalar arasında sayılmıştır.

Bu doğrultuda İlke Kararı ile belirlenen esaslar aşağıdaki şekildedir:

  • SMS ile gönderilen doğrulama kodlarının amacının ve paylaşılmasının olası sonuçlarının, veri sorumlusunun yetkilileri tarafından açık ve anlaşılır biçimde ilgili kişilere aktarılması gerekmektedir. Ayrıca, SMS içeriklerinde de bilgilendirme yükümlülüğünü karşılayacak yönlendirmelere yer verilmelidir.
  • Kişisel veri işleme izni, üyelik sözleşmesi onayı, ticari elektronik ileti izni gibi farklı hukuki işlemler, tek bir işlem veya onay adımı altında toplanmamalı; her biri için ayrı ayrı açık rıza alınmalıdır. Bu kapsamda, açık rıza ile aydınlatma yükümlülüğü birbirinden ayrıştırılmalı ve bağımsız şekilde yerine getirilmelidir.
  • SMS doğrulama kodu gönderilmek suretiyle açık rıza temin edilmesi halinde, alınan rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen tüm unsurları taşıması gerekmektedir. Rızanın, bilgilendirmeye dayalı, belirli, özgür iradeye dayalı ve açık biçimde verilmiş olması zorunludur.
  • Doğrulama kodunun görevliye iletilmesinin ürün veya hizmet sunumunun zorunlu bir koşulu olmadığı açıkça belirtilmelidir. Kodun paylaşılmaması halinde de ilgili işlemlerin gerçekleştirilebileceği, bu kapsamda verilen izinlerin istenildiği zaman geri alınabileceği veya tercihlerde değişiklik yapılabileceği ilgili kişilere önceden bildirilmelidir.
  • Bu uygulamaların hukuka uygun biçimde sürdürülebilmesi adına, süreçlerde görev alan tüm personele yönelik olarak düzenli eğitim ve farkındalık çalışmaları yapılması gerekmektedir.

İlke Kararı ile ayrıca, geçmiş tarihli karar ve duyurular doğrultusunda, örnek işlem kategorileri olarak; ödeme, kayıt açma, üyelik oluşturma ve teklif sunma gibi faaliyetlere de değinilmiş; ticari elektronik ileti izni kapsamında alınacak açık rızanın ürün ve hizmet sunumunun tamamlanmasından sonra değil, tercihen işlem öncesinde de bilgilendirme yapılmak suretiyle hukuka uygun şekilde temin edilebileceği belirtilmiştir.

Kurul, tüm bu yükümlülüklere uyulmaması halinde, veri sorumlusunun Kanun’un 12. maddesi kapsamında öngörülen teknik ve idari tedbirleri yerine getirmemesi nedeniyle 18. madde uyarınca idari yaptırım uygulanabileceğini de ayrıca ifade etmiştir.

İlgili İlke Kararı’na buradan ulaşabilirsiniz.