KVKK’dan Yeni İlke Kararı: SMS Doğrulama Kodları ile Açık Rıza Alınamaz

KVKK’dan Yeni İlke Kararı: SMS Doğrulama Kodları ile Açık Rıza Alınamaz

Kişisel Verileri Koruma Kurulu, 26 Haziran 2025 tarihli Resmî Gazete’de yayımlanan ilke kararıyla, SMS doğrulama kodlarının açık rıza almak amacıyla kullanılmasını hukuka aykırı buldu. Karar, özellikle ürün ve hizmet sunumu süreçlerinde kişisel verilerin işlenmesinde sıkça karşılaşılan bir uygulamayı hedef alıyor.

Kararın Tamamı: https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf

Açık Rıza Nedir ve Hangi Şartları Taşımalıdır?

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5. maddesi, kişisel verilerin ancak açık rıza ile veya sınırlı istisnalar çerçevesinde işlenebileceğini düzenler. Aynı Kanun'un 3. maddesinde ise açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır.

Kurul’un kararında açık rızanın geçerli olabilmesi için şu üç unsurun mutlaka sağlanması gerektiği vurgulanmıştır:

  • Belirli bir konuya ilişkin olması,

  • Bilgilendirmeye dayanması,

  • Özgür iradeyle açıklanması.

Kişinin yalnızca işlem sürecine devam edebilmek adına, SMS ile iletilen bir kodu onaylaması yoluyla rıza göstermesi, yukarıdaki şartları sağlamadığı için açık rıza olarak kabul edilmemektedir.

Kurul Kararının Getirdikleri

Kurul’un değerlendirmeleri sonucunda aşağıdaki ilkelere dikkat çekilmiştir:

  • SMS ile gönderilen doğrulama kodları, aydınlatma yapılmadan ve veri işleme amaçları açıkça belirtilmeden açık rıza alma aracı olarak kullanılamaz.

  • Farklı işleme faaliyetlerinin (üyelik onayı, kişisel veri işleme izni, ticari ileti onayı) tek bir eyleme indirgenmesi uygulamasına son verilmelidir.

  • SMS kodu ile alınan onayın geçerli sayılabilmesi için, kodun verilmesinin hizmetten yararlanmanın zorunlu bir unsuru olmadığı açıkça belirtilmelidir.

  • Açık rıza ve aydınlatma yükümlülüğü işlemleri birbirinden bağımsız şekilde yerine getirilmelidir.

  • Ticari elektronik ileti gönderimi için alınacak açık rızanın, ancak hizmet sunumu tamamlandıktan sonra talep edilmesi daha uygun görülmektedir.

  • Tüm süreçlerde görev alan personele periyodik eğitimler verilmesi gerektiği vurgulanmıştır.

Uygulayıcılar Ne Yapmalı?
Bu karar sonrasında veri sorumlularının dikkat etmesi gereken bazı temel noktalar şunlardır:

  • SMS ile iletilen kodların amacı net biçimde açıklanmalı, veri işleme faaliyetleri için ayrı ayrı ve açık rıza alınmalıdır.

  • Açık rıza beyanları; hizmetin bir ön koşulu gibi sunulmamalı, hizmetin alınmasına engel oluşturmayacak biçimde yapılandırılmalıdır.

  • Aydınlatma yükümlülüğü mutlaka yerine getirilmeli ve bu bilgilendirmeler hem fiziksel hem de dijital ortamlarda açıkça sunulmalıdır.

Sonuç

Kurul’un bu kararı, uygulamada yaygınlaşan hatalı rıza alma yöntemlerine karşı açık bir müdahaledir ve veri sorumlularının dikkatle gözden geçirmesi gereken bir çerçeve sunmaktadır.

Lawyer portrait photo

Passus

Öğretici blog yazıları için bizimle iletişime geçin!

passuslawblog@gmail.com

Bize Ulaşın

Lawyer portrait photo
Lawyer portrait photo

Passus

Öğretici blog yazıları için bizimle iletişime geçin!

passuslawblog@gmail.com

Bize Ulaşın

Bize Ulaşın