Son dönemlerde oldukça artan şikâyet ve ihbarlarda, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği tespit edilmiştir. Ancak herhangi bir aydınlatma yapılmaksızın telefon numarası ya da istenen diğer bilgilerin (e-posta adresi) paylaşılması başta KVKK amacı ve konusuna ters düşmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu 13.11.2023 tarihinde “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” başlığı ile bir duyuru yayımlamıştır. Söz konusu duyuruda;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmış, (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu şartlar sayılmıştır.

Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerektiği belirtilmiştir.

Tüm bu değerlendirmelerin ışığında Kurul, 17/12/2021 tarihli duyurusunda;

  • Katmanlı aydınlatmanın bir gereği olarak, gönderilecek SMS’lerin amacı ve onay verilmesi halinde ne gibi sonuçlar doğacağı hakkında veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından açık ve anlaşılır bir bilgilendirme yapılması,
  • Aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla SMS’lerde gerekli kanalların sağlanması,
  • SMS ile gönderilen doğrulama kodu vasıtasıyla üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı gibi birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi ve her biri için ayrı ayrı açık rıza alınması,
  • Açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
  • Ticari elektronik ileti gönderimi için açık rıza alınması amacıyla SMS doğrulama kodu gönderilmesi durumunda, söz konusu işlemde alınacak açık rızanın, 6698 Sayılı Kanun’un 3. Maddesinde sayılan tüm unsurlarını kapsamasının önem arz ettiğini belirtmiştir.