1. Giriş

Bilindiği üzere, mağazalarda alışveriş yapılırken kasada birçok kişisel veri işlenmektedir. Alışverişe ilişkin fatura düzenlenmesi, indirimlerden faydalanılabilmesi için üyelik oluşturulması, mağazanın kampanyalarında tüketicilerin haberdar edilebilmesi veyahut reklam ve tanıtım faaliyetlerinin yürütülebilmesi amacıyla ticari ileti gönderilebilmesi gibi birçok amaçla kişisel veri işleme faaliyeti gerçekleştirilmektedir.

Bu kapsamda yapılan işlemlerin çoğunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ihlal edilmektedir. Veri ihlaline sebep olan işlemlerden en çok karşılaşılanı; telefon numarasına onay kodu gönderilmesi suretiyle ticari ileti gönderilmesine ilişkin açık rıza alınması usulünün uygulanmasıdır.

2. Genel Olarak İlgili Kavramlar

B.1      Ticari Elektronik İleti: Ticari elektronik ileti, alışveriş yaptığımız hizmet sağlayıcılarının reklam ve tanıtım faaliyetlerini gerçekleştirebilmesi amacıyla elektronik iletişim adreslerine kampanya, promosyon, tanıtım mesajları gönderilmesi faaliyetidir. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca ticari ileti gönderilebilmesi için kişinin onayının alınması gerekmektedir. İlgili Kanun uyarınca kişiden onay alınmasının yanı sıra ticari elektronik ileti gönderilebilmesi için Kanun kapsamında da açık rıza alınmalıdır.

Özellikle kasada ödeme işlemi gerçekleştirildiği sırada alışverişin tamamlanabilmesi amacıyla Kanun kapsamında iletişim verisi olarak sayılan telefon numarası, e-mail adresi ve sair verilerin işlenmesi suretiyle onay kodu gönderilmektedir. Bu onay kodları vasıtasıyla kişilerin rızaları alınmaktadır. Halbuki işlemi yaptığı sırada tüketici neye onay verdiğini bilmeksizin, kampanyadan yararlanacağını düşünerek telefon numarasına gelen kodu söylemektedir. Diğer deyişle kişi ticari ileti gönderilmesine Kanun’a uygun bir şekilde açık rıza vermemektedir.

B.2      Açık Rıza Verilme Şekli: Kişisel Verilerin Korunması Kurumu tarafından çıkarılan “Açık Rıza Rehberi” uyarınca açık rıza;

5. Belirli bir konuya ilişkin olmalı,

6. Rıza bilgilendirmeye dayanmalı,

5. Özgür iradeyle açıklanmalıdır.

Önemle belirtmek gerekir ki açık rıza alınması ile aydınlatma yükümlülüğünün yerine getirilmesi birbirinden farklıdır ve ayrı ayrı yerine getirilmesi gereken yükümlülüklerdendir.

3. SMS Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi

Yukarıda da bahsedildiği üzere farklı farklı sebeplerle SMS ile doğrulama kodu gönderilmesi suretiyle kişisel veri işlenmektedir. Kişisel Verilerin Korunması Kurul’una (“Kurul”) bu konuda çok fazla başvuru yapılması neticesinde Kurul tarafından Kamuoyu Duyurusu yayınlanmıştır.^[1]

Şikayet ve ihbarlarda yapılan incelemeye göre ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

İlgili kamuoyu duyurusu uyarınca yapılması gerekenler aşağıdaki gibidir:

• Onay kodu içeren mesajın içeriğine ilişkin bilgilendirme yapılmalıdır.

Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması gerekmektedir. Aksi durumda verilen açık rızanın şartlarından “rızanın bilgilendirmeye dayalı olması” şartı gerçekleşmemiş olacak böylelikle geçerli bir açık rıza alınmamış olacaktır. Burada veri sorumlusunun yanı sıra mağaza çalışanlarının da sorumluluğu doğacaktır. Veri sorumlularının; Kamuoyu duyurusunda bahsedilen yükümlülüklerini yerine getirebilmesi için çalışanlarını resmi yollar ile görevlendirmeli, çalışanlarına SMS doğrulamasının amacını ve önemi aktaracak nitelikte Kanun eğitimleri vermelidir. Bu konuda hangi çalışanın/çalışanların yetkili olduğu hususunun net olması herhangi bir veri ihlali yaşanması halinde kimin sorumluluğunun bulunduğunun tespiti açısından önem arz etmektedir.

• Aydınlatma yükümlülüğü yerine getirilmelidir.

Aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması gerekmektedir. Bir diğer ifadeyle aydınlatma metinlerinin ilgili SMS vasıtasıyla erişilebilir olması gerekmektedir. Bu erişilebilirliğin nasıl olacağına ilişkin bir açıklama yapılmamış olup; SMS içerisinde aydınlatma metnine yönlendirilebilir, aydınlatma metni bulunan internet sitesine yönlendirme yapılabilir.

• Her bir işleme ilişkin ayrı ayrı açık rıza alınmalıdır.

Kamuoyu duyurunda mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerektiğinden bahsedilmiştir. Halihazırda uygulamada en çok karşımıza çıkan problemlerden biri de tek bir onay kodu gönderilmesi suretiyle birden çok rıza gerektiren işleme yönelik tek bir rıza alınması. Bu noktada her bir işlem için ayrı onay kodları gönderilmesi, bu onay kodlarının kamuoyu duyurusunda belirtilen diğer şartlara uygun olması, çalışan tarafından ilgili aydınlatmaların yapılması söz konusu olacaktır.

• Açık rızanın Kanun’da belirtilen unsurları taşımasına dikkat edilmelidir.

Açık rızanın unsurlarından yukarıda bahsetmiştik. İlgili kamuoyu duyurusunda bu açık rıza şartlarına atıf yapmak suretiyle ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması gerektiğinden bahsedilmiştir. Açıklamak gerekirse; açık rıza belirli bir konuya ilişkin olmalıdır, rıza bilgilendirmeye dayanmalı ve özgür irade ile açıklanmalıdır. Bu açıklamaya paralel olarak ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması gerektiğine özellikle açıklama getirilmiş, aksi bir uygulamanın “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden Kanun’a uygun bir açık rıza faaliyeti olmayacağından bahsedilmiştir.

• Açık rıza işlem şartı olarak alınmamalıdır.

Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının bir diğer deyişle açık rıza alınmasının işlem şartı olarak alınmasının önüne geçilmesi gerekmektedir. Açık rızanın işlem şartı olarak alınması demek; alışverişe devam edebilmek için onay kodunun mutlaka istenmesi aksi halde alışverişe devam edilemeyeceği anlamına gelmektedir. Onay kodunun kişiden zorla alınması, geçersiz bir açık rıza alınmasına ve Kanun kapsamında veri ihlali yaşanmasına sebep olacaktır.

4. Sonuç

Mağazalar tarafından alışveriş sırasında birçok kişisel veri işlenmektedir. Onay kodu gönderilmesi yaygın olarak ticari ileti gönderilmesi faaliyeti sırasında kullanılmaktadır. Ticari ileti gönderilebilmesi için açık rıza alınması gerekmektedir.

Bu açık rıza onay kodu gönderilmek suretiyle alınıyor ise onay kodu içerir mesajın içeriği hakkında ilgili kişiye bilgilendirme yapılmalı, aydınlatma yükümlülüğü yerine getirilmelidir. Ayrıca ilgili açık rıza Kanun’da belirtilen tüm unsurları taşımalı ve özgür iradeye dayanmalıdır.

Saygılarımızla,
Gülaç Hukuk Bürosu