Kişisel Verileri Koruma Kurumu (KVKK), ürün ve hizmet sunum süreçlerinde SMS yoluyla doğrulama kodu gönderilerek kişisel verilerin işlenmesine dair ilke kararını duyurdu.
Söz konusu karar, Resmi Gazete’de yayımlanarak yürürlüğe girdi.
KVKK'dan Doğrulama Koduyla Veri İşlemeye İlişkin Yeni Düzenleme
Kişisel Verileri Koruma Kurumu (KVKK), ürün veya hizmet alımlarında, üyelik veya kayıt işlemleri sırasında cep telefonuna SMS ile doğrulama kodu gönderilmesi uygulamasına yönelik çok sayıda şikayet aldığını belirtti.
Vatandaşlar tarafından yapılan başvurularda, doğrulama kodlarının genellikle "ödeme işlemlerinin tamamlanması", "fatura düzenlenmesi" ya da "iletişim bilgisi güncellemesi" gibi gerekçelerle talep edildiği, ancak bu bilgiler kullanılarak kişilere izinsiz ticari iletiler gönderildiği ifade edildi.
SMS Kodlarıyla Açık Rıza Alımı İnceleme Altında
Kurum tarafından yürütülen denetimlerde, bazı firmaların SMS doğrulama yöntemini kötüye kullanarak kişisel veri işleme izni ve ticari ileti onayı gibi onayları da bu yolla aldığı tespit edildi.
Vatandaşlar bu uygulama nedeniyle farkında olmadan rıza göstermiş sayılıyor.
Özellikle alışveriş esnasında sıkça karşılaşılan bu durum için yeni bir ilke kararı yayımlandı.
Bu karara göre; ödeme, üyelik, teklif oluşturma gibi işlemlerde gönderilen SMS kodunun amacı, kullanıcılara açık ve net biçimde anlatılacak.
Kodun girilmesiyle ne tür sonuçların doğacağı konusunda ilgili kişilere şeffaf bilgi verilecek.
Açık Rızanın Ayrı Alınması Zorunlu Hale Getirildi
"Üyelik onayı", "kişisel veri işleme izni" ve "ticari ileti onayı" gibi onaylar tek bir SMS mesajı aracılığıyla birleştirilemeyecek. Her biri için ayrı açık rıza alınması zorunlu olacak.
Ticari mesaj göndermek amacıyla kişisel veri toplamak, işlem tamamlanması için bir ön koşul olarak sunulamayacak.
Bu konuda açık rıza, alışveriş veya hizmet süreci sona erdikten sonra talep edilecek. Ayrıca kullanıcıya, "işlemin tamamlanması için bu onayın gerekli olmadığı" net bir biçimde bildirilecek.
Kurallara Uymayanlara Yaptırım Geliyor
Yeni ilke kararına aykırı hareket eden veri sorumluları hakkında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesi uyarınca idari yaptırımlar uygulanacak.
