KVKK Uyarısı: Üyelik, ödeme ve teklif alma işlemlerinde gönderilen doğrulama SMS’leriyle ilgili kişisel veri işleme faaliyetleri Kurul tarafından 6698 sayılı Kanun kapsamında incelenmektedir.

Hukuki Değerlendirme

Açık Rıza İlkesi (KVKK m.5 & m.3)

Kurum;

  • Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş bir beyan olması gerektiği,
  • Kişisel veriler, kanunda öngörülen istisnai haller dışında açık rıza olmaksızın işlenemeyeceği,
  • Açık rıza geçerli sayılabilmesi için ilgili kişinin; neye, neden, hangi sonuçlarla rıza gösterdiğini açıkça bilmesi gerektiği,
  • Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumun tamamlanmasından sonra talep edilmesi yahut gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamlarda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin her zaman değiştirilebileceği bilgisinin net bir şekilde verilmesi gerektiği,
  • Ticari elektronik iznine yönelik açık rızanın ürün ve hizmet sunumun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi gerektiği,
  • SMS ile doğrulama süreçlerinde kullanılan kişisel veriler bakımından “katmanlı aydınlatma yükümlülüğü” ve “açık rıza” ilkelerine uyulması gerektiğini belirtmiştir.

 

Ticari Elektronik İleti ve Açık Rıza Ayrımı

  • SMS ile doğrulama kodu gönderilmesi, hem ticari elektronik ileti onayı alma hem de kişisel veri işleme süreçlerini içerdiğinden bu işlemlerin her biri için ayrı ayrı açık rıza alınması gerektiğini,
  • Tek işlemle hem veri işleme rızası hem ticari elektronik ileti izni” uygulamalarına son verilmesi gerektiğini belirtmiştir.

 

Kurulun İlke Kararıyla Belirlediği Yükümlülükler

  1. Veri Sorumlusu Yükümlülükleri
  • SMS içeriklerinde açık ve anlaşılır bilgilendirme yapılmalı.
  • Aydınlatma yükümlülüğü ayrı, açık rıza alma yükümlülüğü ayrı ayrı yerine getirilmelidir.
  • Ticari elektronik ileti izni alınması süreci, veri işleme rızasından bağımsız yürütülmelidir.
  1. Veri Güvenliği Tedbirleri (KVKK m.12)
  • Hukuka aykırı işleme ve erişimi önlemek,
  • Kişisel verilerin korunması için uygun teknik ve idari tedbirleri almak zorunludur.

İlginizi Çekebilir

Genel Hizmetlerimiz Formu