ANKARA - 26.06.2025 - Kişisel Verileri Koruma Kurumu (KVKK), ürün ve hizmet sunumu sırasında kişilere SMS yoluyla doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesi hakkında önemli bir ilke kararı yayımladı. Kurum, bu işlemlerin kişisel verilerin hukuka uygun işlenmesi kapsamında değerlendirilmesi gerektiğini belirtti.
KVKK’ya ulaşan çok sayıda şikâyet ve ihbar üzerine başlatılan incelemelerde, ödeme, kayıt açma, üyelik oluşturma gibi hizmet süreçlerinde kişisel bilgilerin talep edildiği ve doğrulama kodlarının ilgili kişilere gönderildiği tespit edildi. Ancak bu işlemler sırasında, veri sorumluları tarafından yeterli bilgilendirme yapılmadığı ve açık rıza alınmaksızın ticari elektronik ileti gönderildiği belirlendi.
Kurul, yapılan değerlendirmede 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi uyarınca kişisel verilerin işlenmesinin açık rıza olmadan mümkün olamayacağını hatırlattı. Ayrıca 3. maddeye göre açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olması gerektiği vurgulandı.
Kurul, SMS gönderimi öncesinde ilgili kişilere hangi verilerin, hangi amaçla işlendiği ve kimlerle paylaşılacağı gibi bilgilerin net şekilde açıklanması gerektiğini belirtti. Ayrıca, kişisel verilerin işlenmesi için açık rıza alınmaması durumunda ticari iletilerin gönderilmesinin hukuka aykırı olduğunun altı çizildi.
KVKK, veri sorumlularını 12. madde çerçevesinde teknik ve idari tedbirleri almaya çağırdı ve gerekli önlemlerin alınmaması halinde Kanun’un 18. maddesi uyarınca yaptırımların uygulanacağını belirtti.
Kamuoyunun bilgilendirilmesi amacıyla alınan bu İlke Kararı, 26 Haziran 2025 tarihli Resmî Gazete'de yayımlandı ve Kurum’un internet sitesinde de erişime açıldı.