Kişisel Verileri Koruma Kurulu (“Kurul”) mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyurusu (“Duyuru”) ile bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi hakkında 3 Nisan 2021 tarihli ve 2021/361 sayılı karar özetini (“Karar”) yayımladı.
Duyuru’da, yapılan incelemeler sonucunda, ilgili kişilere ödeme işlemleri esnasında mağazalar tarafından doğrulama kodu gönderildiği, doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığının tespit edildiği belirtilmektedir.
Kurul bu kapsamda,
- Katmanlı aydınlatma kapsamında, SMS gönderimi öncesinde iletilen kodun amacı ve sonuçları hakkında ilgili kişilerin bilgilendirilmesinin ve SMS içeriğinde aydınlatma için gerekli kanalların sağlanmasının,
- Tek bir SMS ve doğrulama kodu ile üyelik sözleşmesi, açık rıza, ticari elektronik ileti onayı vb. gibi birbirinden farklı faaliyetlerin bir arada yürütülmesine yönelik uygulamalara son verilmesinin, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınmasının,
- Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi hâlinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsamasının,
gerektiğini ortaya koymuştur.
Karar’da ise Kurul, (i) veri sorumlusu banka tarafından sunulan iki adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderilmesinin, Android işletim sistemi kullanan müşterilerin uygulamada elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, (ii) zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin önceden onaylı olarak bulunmasının hem 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği, hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 5’te yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği gerekçesi ile veri sorumlusu hakkında idari para cezasına hükmetmiştir.
17 Aralık 2021 tarihinde Kurul’un resmî internet sitesinde yayımlanan Duyuru’nun tam metnine bu bağlantıdan ve Karar’a ise bu bağlantıdan ulaşabilirsiniz.