ÜRÜN VE HİZMET SUNUMU SIRASINDA İLGİLİ KİŞİLERE SMS İLE DOĞRULAMA KODU GÖNDERİLMESİ SURETİYLE KİŞİSEL VERİLERİN İŞLENMESİ Kişisel Verileri Koruma Kurulu 10/06/2025 tarih ve 2025/1072 sayılı İlke Kararında, Kurula intikal eden ihbar ve şikayetlerde yaygın bir uygulama olduğu görülen, ürün ve hizmet sunumlarına ilişkin süreçlerde ilgili kişilerin iletişim bilgilerinin talep edilerek SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında değerlendirmelerde bulunmuştur. Bu kapsamda Kişisel Verileri Koruma Kurulunca ürün ve hizmet sunumlarında ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında ilgili kişilerin iletişim bilgilerinin talep edildiği, akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçeleri öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenildiği ancak bahse konu işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiği yolundaki iddialar değerlendirilmiştir. Kişisel Verileri Koruma Kurulunun 10/06/2025 tarih ve 2025/1072 sayılı İlke Kararında, bahse konu kodun verilmesinin alışverişin zorunlu bir unsuru gibi sunulması halinde ilgili kişilerin yanıltılmasına neden olabileceği değerlendirilmiş olup, buradan hareketle;

• Gönderilen SMS kodunun amacının ne olduğu, kodun verilmesi halinde kişisel veriler açısından ne gibi sonuçlar doğuracağı hususunda ilgili kişilereaydınlatma yapılması gerektiği,
• İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi gerektiği, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması gerektiği,
• Açık rızaya istinaden kişisel veri işlenmesi halinde açık rızanın Kanun’da belirtilen unsurları kapsaması gerektiği,
• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması gerektiğive bunu sağlamak adına veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerektiği

konularına dikkat çekilerek belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda değerlendirmelerde bulunulmuştur.