Bir mağazada müşteri, seçtiği ürünlerle kasaya gider, ürünlerinin barkodları okunur, ürünleri paketlenir ve ödeme aşamasına gelindiğinde, satış temsilcisi müşteriye sorar: “İşleminizi tamamlamamız için telefonunuza gelen kodu bizimle paylaşır mısınız?”. Senaryo oldukça tanıdık değil mi?
Tanıdık, çünkü hemen her mağaza hukuka aykırı bu uygulamayı yapmakta ve daha önce Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından yapılan uyarılara rağmen de bunu sürdürmektedir.
Bu uygulama hukuka aykırıdır; çünkü mağazalar aslında bu kod ile bizlerden, kişisel verilerimizi işlemek, bizlere reklam ve kampanya mesajları -daha hukuki ifade ile ticari elektronik ileti- göndermek için onay almaktadır. Oysa biz kodu paylaşarak neye izin verdiğimizi ve bu iznin nasıl kullanılacağını genellikle bilmeyiz.
KVK Kurulu da 13.11.2023 tarihinde yayımladığı Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu (“Duyuru”) ile “ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı” tespitinde bulunmakta ve söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına aslında ne yapılması ve ne şekilde yapılması gerektiğini adım adım izah etmektedir.
KVK Kurulu, İlgili Duyuru’da öncelikle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca geçerli bir açık rızanın nasıl olması gerektiği detaylıca açıklanmıştır, buna göre:
- Açık rıza belirli bir konuya ilişkin ve o konu ile sınırlı olmalıdır.
Bu geçerlilik şartına özellikle, birden fazla kategoriye ilişkin kişisel veri işleme faaliyetlerinde dikkat edilmesi gerekmektedir. Somutlaştırmak gerekirse, Duyuru’ya konu faaliyette tek bir açık rıza ile hem kişisel verilerin işlenmesine hem ilgili kişiye ticari elektronik ileti gönderilmesine onay alınması Kanun’a aykırı bir veri işleme faaliyetidir.
- Açık rızanın bilgilendirilmeye dayanması gerekmektedir.
KVK Kurulu açık rızanın bir irade beyanı olduğuna ve dolayısıyla kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerektiğine dikkat çekmektedir. Dolayısıyla Duyuru’ya konu olay özelinde baktığımızda müşterilerden kod aracılığıyla açık rıza talep edilirken hem hangi hususa ilişkin talep edildiğinin hem de bu kod aracılığıyla açık rıza verilmesi halinde bu açık rızaya dayanılarak hangi faaliyetlerin yürütüleceğinin bilgisinin tüketicilere verilmesi gerekmektedir.
- Açık rızanın özgür irade ile verilmesi gerekmektedir.
Açık rızanın kişinin özgür iradesine dayanması ve kişinin iradesinin cebir, tehdit, hata ve hile ile sakatlanmamış olması gerektiği gibi herhangi bir ürün veya hizmetin sunulmasının da açık rıza verilmesi şartına dayandırılmaması gerekmektedir. Aksi şekilde geçerli bir açık rızanın varlığından söz edilemez.
Oysa somut olayda, tüketicilerin ürün satın alım işleminin tamamlanması talep edilen kodun verilmesine bağlanmakta, ilgili kişilerin iradesi sakatlanmaktadır.
KVK Kurulu, Duyuru’da açık rızanın yukarıda özetlediğimiz şartlarını hatırlattıktan sonra, veri sorumlusu olarak mağazaların Kanun’un 10. maddesi gereği aydınlatma yükümlülüğü bulunduğuna dikkat çekmiş, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini belirtmiştir.
Son oalrak KVK Kurulu, Kanun atıfları ile teoriyi ortaya koyduktan sonra mağaza alışverişlerinde kişilere SMS ile doğrulama kodu gönderilmesi faaliyetinin Kanun’a uygun olarak nasıl yürütüleceğini adım adım aynen aşağıdaki şekilde anlatmıştır:
- Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
- Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
- Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
- Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
- Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
- Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi.
Özetle, KVK Kurulu, 13.11.2023 tarihli Duyuru’sunda, mağazaların gerçekleştirdiği bu tür uygulamaların hukuka uygunluğunu sağlamak adına önemli detaylara vurgu yaparak, açık rıza alımının belirli kriterlere uygun olması gerektiğini açıklamıştır. Ancak maalesef, mağazaların bu kriterlere uymadığı ve tüketicileri yanılttığı sıkça görülmektedir.
Bu bağlamda, tüketicilerin bilinçli bir şekilde hareket edebilmeleri ve kişisel verilerinin korunması için daha dikkatli olmaları gerekiyor. Dolayısıyla, alışveriş sırasında SMS ile doğrulama kodu taleplerine karşı dikkatli olunması ve bu konuda hakların bilinmesi kişisel veri güvenliği açısından son derece önemlidir.
Yazı: Av.Fatma Yelda Yelmen – GLED Partners
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.