Mağazalarda Kişisel Verilerin SMS Doğrulama Kodu ile İşlenmesi
Kişisel Verilerin Koruma Kurumu (“Kurum”), 17.12.2021 tarihli mağazalarda alışveriş sırasında kişisel verilerin işlenmesine ilişkin önemli bilgiler içeren kamuoyu duyurusunu, 13.11.2023 tarihinde güncelledi.
Yazar: Av. N. Gonca Deveci, Av. Sümeyye F. Vızlı, Stj. Av. Doğukan Menderes
Tarih: 20.11.2023
Kurum, 17.12.2021 tarihli duyurusunda mağazalarda ilgili kişilere sms ile doğrulama kodu gönderilmesi suretiyle kişisel veri işleme faaliyetinde yapılması gerekenleri şu şekilde sıralamıştı:
İşleme amaçlarının belirsizliğinin ortadan kaldırılarak kişilerin yeterince aydınlatılması,
Birbirinden farklı işleme faaliyetlerinin tek bir açık rıza onayı ile gerçekleştirilmesine son verilmesi,
Açık rıza ile aydınlatma yükümlülüğü işlemlerinin birlikte yapılmaması,
İlgili kişilerden alınacak açık rızanın tüm unsurları taşıması.
Söz konusu kişisel veri işleme faaliyetine ilişkin Kuruma şikayet ve ihbarların devam etmesi ve mağazaların benzer yöntemleri uygulaması nedeniyle duyuruda, 13.11.2023 tarihli yeni bir duyuru ile güncelleme yapılmıştır.
Şikayet ve ihbarlarda, kasa işlemleri esnasında ödemelerin tamamlanması, fatura oluşturulması vb. gerekçelerle gönderilen SMS doğrulama koduyla, ilgili kişilere pazarlama, promosyon, tanıtım vb. amaçlarla ticari elektronik ileti gönderildiği belirtilmiştir.
Ancak, açık rıza, ürün / hizmet sunulmasının ya da ürün / hizmetten yararlandırmanın ön şartı olarak ileri sürülmemelidir. Aksi halde, açık rızanın özgür irade unsuru zedelenecek ve geçerli bir açık rızadan söz edilemeyecektir.
Bu doğrultuda Kurum, mağazalarda sms ile doğrulama kodu gönderilmesi suretiyle kişisel veri işleme faaliyetinde aşağıdaki hususlara dikkat edilmelidir:
Katmanlı aydınlatmaya uygun olarak, alışveriş sonrası kasa işlemlerinde mağazaların gönderdiği SMS’in amacı ve kodun paylaşılması halinde sonuçları paylaşılmalıdır.
SMS içeriklerinde gerekli bilgilendirme kanalları bulunmalıdır.
Ödeme işlemleri sırasında doğrulama kodu gönderilerek üyelik sözleşmesi onaylama, veri işleme izni, ticari elektronik ileti onayı alınması gibi işlemler tek bir eylemle değil, işleme faaliyetlerine yönelik seçenek sunarak ayrı ayrı açık rıza alınmalıdır.
Veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü ayrı ayrı gerçekleştirilmelidir.
Ticari elektronik ileti gönderiminde açık rıza alınmasını sağlamak için SMS doğrulama kodu gönderilmesi durumunda alınacak açık rıza Kanun’da belirtilen tüm unsurları kapsamalıdır.
Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesi alışverişin tamamlanması için ön şart olarak ileri sürülmemelidir.
Ticari elektronik ileti gönderilmesi amacıyla kişisel veri işlenmesine yönelik rıza alışveriş işlemi tamamlandıktan sonra alınmalıdır.
SONUÇ: Perakende satış mağazaları, SMS doğrulama kodu ile kişisel veri işleme faaliyeti sırasında Kurumun yukarıda açıkladığı yeni kriterleri dikkate almalıdır.
Yukarıdaki metin bilgilendirme amaçlı olup, hukuki tavsiye niteliğinde değildir.