Open menu
26Haziran2025

SMS ile Doğrulama Kodu Gönderilmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı

SMS ile Doğrulama Kodu Gönderilmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı

26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete'de yayımlanan, 10.06.2025 tarihli ve 2025/1072 sayılı Kişisel Verileri Koruma Kurulu ("Kurul") İlke Kararı ("Karar") ile, ürün ve hizmet sunumu süreçlerinde ilgili kişilere SMS aracılığıyla doğrulama kodu gönderilmesi uygulamasının, kişisel veri işleme faaliyeti kapsamında değerlendirilip değerlendirilmeyeceği hususu ele alınmış ve konuya ilişkin çeşitli yükümlülükler açığa kavuşturulmuştur.

Kurula intikal eden başvuruların ve yapılan şikâyetlerin değerlendirilmesi sonucunda Kurul tarafından; ödeme işlemi gerçekleştirme, üyelik oluşturma, teklif alma, rezervasyon yapma veya hesap açma gibi işlemler esnasında ilgili kişilerin cep telefonlarına gönderilen doğrulama kodlarının, kişisel verilerin işlenmesine ilişkin bir faaliyet olduğu kanaatine varılmıştır. Kurul, bu tür uygulamalarda kişisel verilerin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") çerçevesinde ele alınması gerektiğini belirtmiştir.

Kararda öne çıkan temel değerlendirmeler şu şekildedir:

  • Doğrulama kodu içeren SMS gönderilmesi sırasında ilgili kişinin iletişim bilgisinin kullanılması, kişisel veri işleme faaliyeti olarak kabul edilmekte olup, bu çerçevede veri sorumlularının aydınlatma yükümlülüğünü eksiksiz ve zamanında yerine getirmesi gerekmektedir.
  • Kişisel verilerin işlenmesinin hukuki dayanağının açık rıza olduğu durumlarda, bu rızanın ilgili kişiye önceden, belirli, bilgilendirilmiş ve özgür iradeye dayalı şekilde sunulması zorunludur.
  • Açık rıza ile ticari elektronik ileti onayı, hukuki nitelikleri ve düzenleme dayanakları bakımından birbirinden farklı işlemler olup, bu iki onayın tek bir kutucuk veya işlem üzerinden birlikte alınması uygun değildir.
  • Açık rıza alınmadan önce aydınlatma yükümlülüğü mutlaka yerine getirilmelidir.
  • SMS yoluyla yapılan doğrulama işlemlerinde, bu adımın sadece teknik değil, aynı zamanda veri işleme faaliyeti olduğuna dikkat çekilmeli ve SMS içerikleri bu kapsamda yapılandırılmalıdır.
  • Profilleme ve otomatik karar alma süreçlerinde ilgili kişiye açık bilgilendirme yapılmalı, varsa itiraz hakkı sağlanmalı ve işlem şeffaf biçimde yürütülmelidir.
  • Veri sorumluları, kişisel verilere hukuka aykırı erişimi önlemek amacıyla gerekli idari ve teknik tedbirleri almakla yükümlüdür.

Karar, Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ile karşılaştırıldığında benzer bir yaklaşımı ortaya koymaktadır. GDPR'da da kişisel verilerin işlenmesinden önce ilgili kişiye açık ve anlaşılır bilgi verilmesi zorunludur. Özellikle profilleme ve otomatik karar alma süreçlerinde, kişilere işleme faaliyetinin niteliği hakkında bilgilendirme yapılmalı ve itiraz hakkı tanınmalıdır. Kurul'un bu ilke kararı hem KVKK hem de GDPR kapsamında açık rıza, aydınlatma yükümlülüğü ve veri güvenliği prensiplerinin uygulamada nasıl somutlaştırılması gerektiğine dair önemli bir rehber niteliği taşımaktadır.

Bu çerçevede, sıkça başvurulan SMS doğrulama süreçlerinin, sadece teknik bir işlem olarak değil, aynı zamanda kişisel veri işleme faaliyeti olarak değerlendirilmesi gerekmektedir. E-ticaret siteleri, mobil uygulamalar, üyelik platformları ve benzeri yapılarda faaliyet gösteren veri sorumlularının, karar doğrultusunda aydınlatma metinlerini, açık rıza süreçlerini ve sistem altyapılarını gözden geçirmeleri önem arz etmektedir. Uygulamada şeffaflık, hukuka uygunluk ve güvenilirlik ilkelerine uyum sağlanması hem veri sahiplerinin temel haklarını koruyacak hem de kurumların veri işleme faaliyetlerinde sorumluluklarını yerine getirmelerine katkı sağlayacaktır.

İlgili Kurul İlke kararına buradan ulaşabilirsiniz.

Yazar Ecem Kumsal Başyurt, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bordromat

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/legislation/item/principle-decision-of-the-personal-data-protection-board-on-sending-verification-codes-via-sms

Diğer Mevzuatlar

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?