Kişisel Verileri Koruma Kurumu (KVKK) Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu Yayımladı
Yazar: MGC LEGAL
Kişisel Verileri Koruma Kurumu (KVKK), mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyurusu yayımladı.
Mağazalarda, özellikle kasa işlemleri sırasında mağaza çalışanlarının fatura oluşturulması, ödemenin tamamlanması gibi gerekçelerle kişilere SMS ile doğrulama kodunun göndermesinin akabinde ticari elektronik ileti izninin kişiler adına verildiği yönündeki ihbar şikayetler giderek artmıştır.
Gelen ihbar ve şikayetlerden anlaşıldığı üzere, daha önce de kurum tarafından ilgili konuda daha duyuru yayınlanmış olmasına ve yükümlülükler bu şekilde hatırlatılmış olmasına rağmen ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir. Artan şikayetler sebebiyle konu tekrar gündeme gelmiş ve bu sebeple kurul tarafından kamuoyu duyurusu güncellenmiştir.
Kurul duyurusunda ile kanunun 5. maddesinde sıralanan veri işleme şartlarına, 5. madde ile beraber 3. maddede tanımlanan açık rıza kavramına ve açık rızanın ne şekilde alınması gerektiğine, açık rıza gerekmeksizin işlenebilecek verilere dair düzenlemeye yönelik açıklamalara yer vermiştir.
Bilindiği gibi, açık rıza kanundaki tam tanımıyla; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Veri sorumlusu ilgili kişilerin açık rızasına başvururken açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, yani veri sorumlusunun açık rıza beyanını hangi konuya ilişkin olarak talep ettiğini açıkça ortaya koyması gerekir.
Öte yandan, kurulun da duyurusunda ifade ettiği gibi; açık rıza sunan ilgili kişinin bu rızasını verdiği konuyu net bir şekilde idrak etmesi ve sonuçlarından da haberdar olması, anlaması gerekmektedir. Asıl ihlale sebebiyet konuda da görüldüğü gibi, açık rızanın hiçbir şekilde ön koşul olarak sunulmaması gerekmekte olup; bir işlemin ön koşulu olarak açık rızanın sunulmasının, açık rızanın özgür irade beyanıyla sunulması unsurunu zedeleyeceği de açıktır. Kurul, konuya ilişkin yaptığı duyuruda bu açıklamalara yer vererek devamında;
SMS ile iletilen kodun mağaza çalışanına verilmesi halinin ne gibi sonuçlar doğuracağının kişilere açık ve anlaşılır biçimde anlatılarak aydınlatma yükümlülüğünün yerine getirilmesinin,
Bu kod ile açık rıza olmadan yapılan üyelik işlemlerinin yapılması ve ticari elektronik ileti izninin alınması durumunun son bulması gerektiğinin,
Veri sorumlularınca aydınlatma yükümlülüğü ve açık rıza alma işlemlerinin ayrı ayrı gerçekleştirilmesinin,
Durumun “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarını zedelediğinden SMS’in kanuni yükümlülüklere uygun olarak atılması gerektiğinin,
Bu konudaki açık rızaların alışverişin tamamlanmasından sonra alınması gerektiğinin,
Önemine dikkat çekmiştir.
Bu duyuru ile veri sorumlularına kanun kapsamında uyması gereken yükümlülükler bir kez daha hatırlatılmışsa da ilk duyurunun caydırıcı nitelikle olmadığını ortaya koyan ikinci duyuru da beraberinde ek bir yaptırım getirmemiştir. Bu doğrultuda, kanunun veri sorumlularının yükümlülüklerine ilişkin şikayet beraberinde getirilen caydırıcı cezalardan ziyade başkaca tedbirlerle de caydırıcı bir nitelik kazanması gerektiği ve caydırıcılık sağlanmadığı sürece kurumun kamuoyu duyurusu ile yaratmaya çalıştığı farkındalığın sağlanamadığı açıktır.
Öte yandan, ilgili kişilerin, veri sorumlusunun kanuna aykırı hareketlerine karşı şikayet hakkını kullanmaları için bilinçlendirilmesi gerektiği de bu duyurunun tekrarlanmasıyla bir kez daha anlaşılmıştır.
