Mağazalarda Alışveriş Sırasında, SMS İle Doğrulama Kodu Gönderilerek Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu |
|
|
|
15 Kasım 2023 |
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, mağazalarda gerçekleştirilen alışverişlerde, ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile SMS ile doğrulama kodu gönderildiğinin, ilgili kişilerin bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle yanıltıldığının tespit edilmesi sebebiyle, kişisel verilerin işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına, Kurum tarafından 13.11.2023 tarihinde kamuoyu duyurusu (“Duyuru”) yayımlandı.
Açıklamalar
Duyuru uyarınca, mağazalarda alışveriş sırasında ilgili kişilere sms ile doğrulama kodu gönderilirken, kişisel verilerin işlenmesine ilişkin olarak aşağıdaki hususlar gözetilmelidir:
- Aydınlatma yükümlülüğü hukuka uygun olarak yerine getirilmelidir; mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması gerekmektedir.
- Farklı amaçlara ilişkin açık rıza ayrı ayrı alınmalıdır; mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.
- Aydınlatma yükümlülüğü ile açık rıza alınma sürecinin ayrı ayrı yerine getirilmelidir; bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
- Açık rıza hukuka uygun olmalıdır; ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanununda (“Kanun”) belirtilen tüm unsurları kapsaması,
- Açık rıza hizmet önkoşulu olarak sunulmamalıdır; ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi takdirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
- Ticari elektronik ileti iletilmesine ilişkin SMS doğrulama kodu, alışveriş tamamlandıktan sonra gönderilmelidir; bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi gerekmektedir. E&Y
|