Ürün ve hizmet sunumlarına yönelik süreçler, ödeme gerçekleştirme, kayıt oluşturma, üyelik ve teklif hazırlama gibi işlemlerde, ilgili kişilerin telefonlarına gönderilecek SMS’lerin amacının ne olduğu ve bu SMS ile iletilen doğrulama kodunun paylaşılması durumunda ortaya çıkacak sonuçların, kullanıcılar tarafından açık bir şekilde anlaşılabileceği ifade edilecek.
Kişisel Verileri Koruma Kurumu (KVKK), ürün ve hizmet sunumunda doğrulama kodlarının iletilmesi suretiyle kişisel verilerin işlenmesine dair yeni bir ilke kararını Resmi Gazete’de yayımladı.
Bu karara göre, vatandaşların cep telefonlarına gönderilecek SMS ile doğrulama kodu talep edilmesi, ödeme işlemleri, üyelik oluşturma ya da kayıt açma gibi durumlar sırasında iletişim bilgilerinin toplandığı kaydedildi. KVKK’ya bu uygulama hakkında çok sayıda ihbar ve şikayet ulaştığı bildirildi.
Şikayetlerde, doğrulama kodunun “ödeme işleminin tamamlanması”, “fatura oluşturulması” ya da “iletişim bilgilerinin güncellenmesi” gibi gerekçelerle talep edildiği, fakat daha sonra bu bilgilerin kullanılarak ticari elektronik iletiler gönderildiği ifade edilmiştir.
Kurumun yaptığı inceleme sonucunda, bazı şirketlerin SMS doğrulama süreçlerini, ticari ileti onayı ve kişisel veri işlemesine rıza almak için kullandığı ve bu yöntemle kullanıcıları yanıltarak izin aldığı ortaya çıkmıştır.
KVKK, bu yaygın duruma karşı bir ilke kararı almıştır. Buna göre, süregelen işlemler sırasında yönlendirici SMS’in amacı ve SMS ile gönderilen doğrulama kodunun sonucu hakkında ilgili kişilere net açıklamalar yapılması şarttır.
Cezai işlemler uygulanacak
“Üyelik onayı”, “kişisel veri işleme izni” ve “ticari ileti onayı” gibi farklı prosedürlerin tek bir SMS üzerinden gerçekleştirilmesi yasaklanacak ve bu işlemler için ayrı ayrı açık rıza alınması gerekecektir.
Ticari elektronik ileti göndermek için kişisel verilerin işlenmesine dair açık rızanın talep edilmesi, işlem sürecinin tamamlanması adına bir zorunluluk olmayacaktır. Bu rıza, ürün ve hizmet sunumlarının sona ermesinin ardından istenecektir. Veri sorumlusunun yapacağı bilgilendirmelerde, işlemlerin tamamlanabilmesi için onay verilmesinin zorunlu olmadığı net bir şekilde vurgulanacaktır.
Belirlenen ilke kararlarına aykırı hareket eden veri sorumluları hakkında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18. maddesine uygun cezai işlemler uygulanması öngörülmektedir. (AA)
