Dijital düzende gerçekleşen alışverişlerde ve fiziki perakende ortamlarında, tüm türleriyle birlikte SMS yoluyla doğrulama kodları gönderilerek alınan “onaylar” giderek yaygınlaşmaktadır. Ancak bu yöntemle alınan onaylar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile belirlenen “açık rıza” tanımını karşılayıp karşılamadığı açısından önemli tartışmalar barındırmaktadır.
Özellikle KVK Kurulu’nun yakın tarihte yayımlanan 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı bu yöntemin kullanımına ilişkin temel esasları belirlemektedir. Söz konusu karar, 26.06.2025 tarihli ve 32938 sayılı Resmi Gazete’de yayımlanmış olup, aynı zamanda Kurumun internet sitesinde de yayımlanarak kamuoyuna duyurulmuştur ( https://www.resmigazete.gov.tr/26.06.2025 ). Kararda, doğrulama kodu aracılığıyla açık rıza alınmaya çalışılmasının hukuka uygun sayılabilmesi için yerine getirilmesi gereken unsurlar ayrıntılı şekilde ortaya konmuştur.
Mevzuat Çerçevesi
KVKK çerçevesinde, açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanması gereken bir veri sahibi beyanıdır. Kanun’un 5. maddesi uyarınca, açık rıza olmadıkça kural olarak kişisel veri işlenemez.
Ayrıca alıcılara elektronik ileti (SMS, e-posta, arama vb.) gönderilmesine yönelik kurallar 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bu Kanun’a dayanarak yürürlüğe konan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ile belirlenmiştir.
Bu düzenlemeler uyarınca; bir mal veya hizmeti tanıtmak, pazarlamak, tanınırlığını artırmak gibi ticari amaçlarla alıcılara SMS veya benzeri yollarla ticari elektronik ileti gönderilmesi, ancak daha önceden onay verilmiş olması şartına bağlanmıştır. Bu onay, İleti Yönetim Sistemi (“İYS”) kaydına da konu edilmek zorundadır. Alıcının onayı bulunmaksızın gönderilen ticari elektronik iletiler, hem KVKK hem de e-ticaret düzenlemeleri bakımından yaptırım konusu olabilmektedir.
2025/1072 Sayılı KVK Kurulu İlke Kararı Işığında Değerlendirme
Kurul kararında özellikle şu hususlar vurgulanmıştır:
- İlgili kişinin, hangi işlem için onay verdiğini açıkça anlaması gerekir. Onay metinleri belirsiz, genel ya da çoklu amaçları içeren şekilde düzenlenmemelidir.
- Tek bir SMS onayıyla hem kampanya gönderimi hem üyelik hem de kişisel veri işlenmesine onay verilmesi hukuka aykırıdır. Her bir işleme faaliyeti için ayrı açık rıza alınmalıdır.
- Açık rıza şarta bağlı olamaz; yani rıza vermeyen bir kişiye hizmet sunulmaması halinde bu rıza hukuken geçersiz sayılabilir. Rızanın özgür irade ile verilmesi esastır.
- SMS ile doğrulama kodu gönderildikten sonra, kişinin bu kodu paylaşmasının “doğrudan açık rıza beyanı” olarak yorumlanması, Kurul’a göre hukuki güvence yaratmamaktadır.
Kurul’a göre, doğrulama kodlarının kullanılması yoluyla “açık rıza” alınmasının hukuken geçerli olabilmesi için; i) her bir veri işleme faaliyeti için ayrı ayrı bilgilendirme yapılması, ii) aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi ve iii) rızanın işlem şartına bağlı olmadan verilmesi gerekmektedir. Ayrıca kişilerin bu rızayı vermekten kaçınma hakkı hakkında açık ve anlaşılır şekilde bilgilendirilmeleri gerekir.
Uygulamada Sık Yapılan Hatalar
Ticari hayattaki uygulamasında mal ve hizmet sağlayıcıları tarafından sıklıkla yapılan hataları şu şekilde örneklendirebiliriz:
Tek bir onay ile hem üyelik, hem veri işleme, hem de ticari iletilere izin verilmesi
– Rıza metinlerinin yeterince açıklanmaması veya karmaşık dil kullanılması
– Doğrulama kodunun işlem şartı haline getirilmesi ve bu konuda aydınlatma yapılmaması
– İlgili kişilerin rızalarını geri çekme hakkından haberdar edilmemesi ya da teknik olarak bunu kullanmalarının engellenmesi
– Onayların İYS sistemine kaydedilmemesi ya da yasal sürelere uygun tutulmaması
Uyum Önerileri
Olası bir idari yaptırımla karşılaşmamak için KVK Kurulu’nun güncel İlke Kararı Işığında uyum önerilerimiz ise şu şekilde:
– Her bir veri işleme amacı için ayrı açık rıza metni hazırlanmalıdır.
– SMS doğrulama kodları ancak kimlik doğrulama amacıyla kullanılmalı; açık rıza beyanı yerine geçtiği kabul edilmemelidir.
– İşlemler sırasında ilgili kişilerin bilgilendirilmesi ve tercihlerinin özgürce yapabilmesine olanak sağlanmalıdır.
– Ticari elektronik iletilere ilişkin onay, İYS kaydına uygun şekilde, açık, sade ve ayrı olarak alınmalıdır.
– Onay süreci, hizmetin sunulmasına zorunlu olmayan bir unsur olarak yapılandırılmalı, alternatif seçenekler sunulmalıdır.
Sonuç
KVK Kurulu’nun 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiş olan (Resmî Gazete bağlantısı) 2025/1072 sayılı kararı, SMS yoluyla alınan onayların KVKK kapsamında geçerli olabilmesi için açık rıza unsurlarının eksiksiz ve şarta bağlı olmadan yerine getirilmesini şart koşmakta
Aksi halde, kriterleri karşılamayan yöntemle toplanan rızalar veri sorumluları için idari para cezası ve diğer yaptırım riskleri doğurabilecektir. Kurul kararları ışığında şirketlerin, dijital onay süreçlerini hem KVKK hem de e-ticaret mevzuatı ile uyumlu hâle getirmeleri, hukuki açıdan büyük önem taşımaktadır.
Bu konuda daha önce hazırladığımız, e-ticaret sitelerinin müşterilerine izinsiz ileti göndermesiyle ilgili temel hukuki ilkeleri ele alan blog yazımıza da göz atabilirsiniz: https://cukurpartners.com/tr/e-ticaret-siteleri-musterilerine-izinsiz-mesaj-mail-ve-ileti-gonderebilir-mi/ Bu yazımızda, ticari elektronik ileti gönderiminin hem KVKK hem de e-ticaret mevzuatına uygun şekilde nasıl yapılandırılması gerektiğine ilişkin detaylı açıklamalara yer verilmiştir.