KVKK’dan mağazalara sms uyarısı: Bilgilendirme sağlanmalı, açık rıza alınmalı

Son dönemde özellikle mağazalarda kasa işlemleri esnasında ilgili kişilere ödemenin tamamlanması ve fatura oluşturulması gerekçe gösterilerek SMS ile doğrulama kodu gönderildiği ancak işlem sonrasında müşterilere mağaza tarafından SMS’ler gönderilmesi dikkat çekiyordu. KVKK, tepki çeken uygulamaya ilişkin mağazaları ikinci kez uyardı.

Kişisel veriler kişisel olmaktan çıktı. Bilgilerimiz ya kayıt olunan kurumların sistemleri hacklenerek ele geçiriliyor ya da alışveriş yaparken kendi isteğimizle mağazalara veriyoruz. Son dönemde de mağazaların ödeme sırasında SMS ile doğrulama kodu gönderme ve fatura oluşturma gerekçesiyle telefon numaralarını istemesi, ardından numaralara mağazaların reklam ve duyurularının gelmedi tepki çekti. Kişisel Verileri Koruma Kurulu (KVKK) sitesinden yaptığı açıklamada bu duruma dikkat çekti. 

KVKK’ndan yapılan açıklamada aynı konuyla ilgili daha önce de gelen şikayetler nedeniyle kamuoyu duyurusu yayınlandığı hatırlatıldı. Açıklamada mevcut uygulamanın devam ettiği belirtilerek “kamuoyu duyurusunda güncelleme yapılması gereği hasıl olmuştur.” Denildi.

Mağazaların tüketiciyi bilgilendirmesi ve açık rızalarının alınması gerektiğinin vurgulandığı açıklama şu şekilde:

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, (2) numaralı fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanun’un 3’üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerekmektedir. Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.

Öte yandan, Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde;

• Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
• Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
• Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
• Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
• Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
• Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi

önem arz etmektedir. Kamuoyuna saygıyla duyurulur. 

 ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir.

Haber Kaynağı : 12punto