Açık Rıza Olmadan Gönderilen Doğrulama SMS’leri Artık Hukuka Aykırı

ANKARA/TEKHA

Kişisel Verileri Koruma Kurumu (KVKK), hizmet sunumu sırasında gönderilen SMS doğrulama kodlarının kişisel veri işleme kapsamında değerlendirilmesi gerektiğine hükmetti. Kurum, açık rıza ve bilgilendirme olmaksızın gerçekleştirilen bu tür iletilerin hukuka aykırı olduğunu belirtti. Alınan İlke Kararı, 26 Haziran 2025 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girdi.

KVKK’ya ulaşan çok sayıda şikâyet ve ihbar üzerine başlatılan incelemelerde, üyelik, ödeme ve kayıt süreçlerinde kişisel verilerin işlendiği ve kişilere doğrulama kodlarının SMS ile gönderildiği belirlendi. Ancak bu süreçlerde veri sorumlularının, yeterli bilgilendirme yapmadığı ve açık rıza almaksızın ileti gönderdiği tespit edildi.

Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesine atıfta bulunarak, açık rıza olmadan kişisel verilerin işlenemeyeceğini vurguladı. Ayrıca, 3. maddede tanımlanan “bilgilendirmeye dayalı, özgür iradeyle açıklanan rıza” kriterlerinin sağlanmasının zorunlu olduğu ifade edildi.

KVKK, SMS gönderimi öncesinde kişilere, hangi verilerin hangi amaçla işlendiği, kimlerle paylaşıldığı gibi bilgilerin açıkça bildirilmesi gerektiğini belirtti. Açık rıza alınmadan ticari elektronik ileti gönderiminin ise yasalara aykırı olduğunun altı çizildi.

Veri sorumluları, Kanun’un 12. maddesi gereği hem teknik hem de idari tedbirleri almakla yükümlü. Aksi durumda, 18. madde kapsamında idari para cezaları dahil olmak üzere çeşitli yaptırımların uygulanacağı ifade edildi.

Söz konusu İlke Kararının detayları, Resmî Gazete’nin yanı sıra Kurum’un resmi internet sitesinde de kamuoyunun erişimine sunuldu.