Kişisel Verilerin Korunması Kurulu’ndan Şirketlere Net Mesaj: Açık Rıza Oyununa Son!

Değerli GAZETEYENİHABER okuyucuları, günümüz dijital dünyasında ürün veya hizmet alırken, üyelik oluştururken veya bir teklif alırken telefonumuza gelen “SMS doğrulama kodları” artık hayatın olağan bir parçası hâline geldi. Ancak masum gibi görünen bu kısa mesajlar, bazen kişisel verilerimizin izinsiz biçimde işlenmesine, hatta açık rızamız alınmış gibi gösterilerek ticari iletilere maruz kalmamıza sebep olabiliyor.

İşte tam bu noktada Kişisel Verileri Koruma Kurulu devreye girdi ve 10 Haziran 2025 tarihli 2025/1072 sayılı İlke Kararı ile şirketlerin yaygın bir şekilde başvurduğu bu uygulamaya açık ve bağlayıcı bir sınır çizdi.

İddialar Ne Üzerineydi?

Kuruma ulaşan çok sayıda şikâyet ve ihbara göre; bazı veri sorumluları, ödeme, kayıt oluşturma, teklif alma, üyelik gibi işlemler esnasında ilgili kişilerin cep telefonuna doğrulama kodu göndermekte, bu kodun sistemde girilmesini ya da görevliye bildirilmesini istemekteydi. Ancak bu işlemden hemen sonra, kişilere ilgili şirketin ürün ve hizmetlerine ilişkin ticari elektronik iletiler gönderilmeye başlıyordu.

Bu noktada vatandaşların temel şikâyeti, herhangi bir aydınlatma yapılmadan, ticari amaçla kişisel verilerin işlendiği ve “doğrulama kodu” işleminin bir tür açık rıza tuzağına dönüştürüldüğü yönündeydi.

Kurul’un Tespiti: Açık Rıza Gibi Gösterilen Aslında Yönlendirme

Kurul’un yaptığı incelemelerde birçok şirketin:

• SMS gönderimi sırasında hiçbir aydınlatma yapmadığı,
• Doğrulama kodunun “ödeme işleminin tamamlanması” veya “bilgi güncellemesi” gerekçesiyle istendiği,
• Ancak bu kodun kullanılarak ticari elektronik ileti gönderimine açık rıza alınması amacıyla kullanıldığı tespit edildi.

Bu ise, Kişisel Verilerin Korunması Kanunu'nun (KVKK) açık rıza ve aydınlatma yükümlülüğü hükümlerine aykırılık teşkil etmektedir.

Kurul’un Dayandığı Hukuki Temel

İlke Kararı'nın hukuki dayanakları şu esaslara dayanıyor:

6698 sayılı Kanun’un 5. maddesi

Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak bazı durumlarda (örneğin sözleşmenin ifası için zorunlu olması gibi) açık rıza aranmadan da işlenebilir.

3. maddede açık rıza tanımı

Açık rıza: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bu tanımda üç temel unsur vurgulanmıştır:

• Belirlilik: Rızanın konusu net şekilde ortaya konmalı,
• Bilgilendirme: Kişi neye rıza verdiğini tam olarak bilmeli,
• Özgür irade: Zorlama, yönlendirme ya da şart koşma olmamalı.

10. madde – Aydınlatma yükümlülüğü

Kişisel veri elde edilirken veri sorumlusu, kişiyi bilgilendirmekle yükümlüdür. Bu bilgilendirme, hangi verilerin ne amaçla, kimlerle paylaşılacağı, nasıl elde edildiği gibi unsurları kapsamalıdır. Aydınlatma, açık rıza alınsa bile mutlaka yapılmalıdır.

12. madde – Veri güvenliği yükümlülüğü

Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemekle yükümlüdür. Aksi hâlde Kanun’un 18. maddesi gereği idari yaptırımlarla karşı karşıya kalır.

Kurul’un Vurguladığı Kritik Hususlar

Kararda çok net bir şekilde aşağıdaki ilkeler vurgulanıyor:

1. SMS’in amacı net şekilde açıklanmalı

SMS ile gönderilen doğrulama kodunun neden gönderildiği, kodun neye hizmet ettiği ve kişinin bunu girerse neye onay vermiş olacağı açıkça ifade edilmelidir. Bu açıklama katmanlı aydınlatma yöntemiyle yapılabilir.

2. Açık rıza ve aydınlatma ayrı süreçlerdir

Kişiden alınan açık rıza, önceden yapılan kapsamlı bir aydınlatmanın ardından özgür iradeyle verilmelidir. Tek bir işlemle hem aydınlatma yapılması hem açık rıza alınması hukuka aykırıdır.

3. Zorunlu gösterme yasaktır

Ticari elektronik iletiye onay verilmemesi durumunda hizmetin verilmeyeceği yönünde bir izlenim oluşturulamaz. Aksi hâlde açık rızanın geçerliliği ortadan kalkar.

4. Açık rıza ürün/hizmet sunumundan sonra istenmeli

Kodla alınan izinlerin, ürün/hizmet tamamlandıktan sonra ayrıca talep edilmesi veya “bu kodun girilmesi zorunlu değildir” ifadesine yer verilmesi gerekir.

5. Personel farkındalığı artırılmalı

Kurul, veri sorumlularının bu süreci yürüten çalışanlarına periyodik eğitim ve farkındalık çalışması yaptırmasını da zorunlu tutmuştur.

Aksi Uygulamalarda Ne Olur?

Kurul, bu kurallara uymayan veri sorumluları hakkında Kanun’un 18. maddesi uyarınca idari yaptırım uygulanacağını açıkça belirtmiştir.

Peki Biz Ne Yapmalıyız?

Bu karar bireyler için de önemli mesajlar içeriyor:

• Her SMS’i sorgulayın. Ne için gönderilmiş, girilmesi ne anlama geliyor?
• “Doğrulama kodu” diyerek onay alınan her işlem, sizi ticari mesaj listesine yazabilir.
• Açık rıza yalnızca bilgilendirilmiş, özgürce alınmışsa geçerlidir. Şart koşulan her rıza geçersizdir.
• Aydınlatma yapılmadan verilen hiçbir rızayı geçerli saymayın.

Dijital Dünyada Verimizin Değeri Bilinmeli

Kurul’un bu İlke Kararı, sadece teknik bir düzenleme değildir. Bu karar, “açık rıza” kavramının manipüle edilmesine karşı bir duruştur. Vatandaşların kişisel verileri üzerindeki kontrolünü korumaya, ticari ileti izninin hukuka uygun şekilde alınmasını sağlamaya yönelik güçlü bir irade beyanıdır.

Gelecekte SMS'imize gelen bir doğrulama koduna bakarken, neye “evet” dediğimizi bir kez daha düşünmekte fayda var. Çünkü bir kodla, kişisel verilerimizin kapısını biz açıyor olabiliriz.

Av. Veysel Göktuğ ÇAKMAK