KVKK Kurulu’ndan SMS ve Elektronik İleti Güvenliğiyle İlgili Yeni Karar

Resmi Gazete’de Yayımlanan KVKK Kararı ve Detayları

Resmi Gazete’de yayımlanan ve kişisel verilerin korunmasını amaçlayan Kurumlararası karar kapsamında, vatandaşların kişisel bilgilerinin korunması ve gizliliğin sağlanması adına önemli düzenlemeler getirildi. Bu kapsamda, ödeme işlemleri, üyelik oluşturma, kayıt açma veya hizmetlere erişim sırasında talep edilen iletişim bilgilerinin kullanımıyla ilgili yeni kurallar belirlendi.

Kurulun yaptığı incelemelerde, birçok şirketin vatandaşların cep telefonlarına SMS aracılığıyla gönderilen doğrulama kodlarını, amacı dışında kullanarak ticari elektronik ileti gönderimine olanak tanıdığı tespit edildi. Özellikle, doğrulama kodlarının “ödeme işleminin tamamlanması”, “fatura oluşturulması” veya “kişisel bilgilerin güncellenmesi” gibi işlemler sırasında istendiği ve sonrasında bu verilerin, vatandaşların onayı olmadan, çeşitli kampanya ve promosyon amaçlı iletişimlerde kullanıldığı ortaya çıktı.

Kurul tarafından yapılan detaylı değerlendirmelerde, bazı şirketlerin SMS doğrulamasını, sadece güvenlik amacıyla değil, aynı zamanda vatandaşların onayı olmadan ticari ileti göndermek için bir araç olarak kullandıkları belirlenmiş olup, bu durumun kişisel veri hukuku ve iletişim kurallarıyla uyumsuz olduğu vurgulandı.

Alınan İlke Kararlarının Çerçevesi ve Uygulama Koşulları

Kurul tarafından onaylanan yeni ilkeler doğrultusunda, ürün ve hizmet sunumlarına ilişkin ödeme, üyelik, teklif oluşturma veya benzeri süreçlerde, ilgili kişilerin cep telefonlarına gönderilecek SMS’lerin amacı açık ve şeffaf biçimde anlatılacak. Ayrıca, SMS ile iletilen doğrulama kodunun ne amaçla kullanılacağı, kodun verilmesi halinde doğabilecek sonuçlar ve alınacak önlemler detaylı şekilde açıklanacak.

Özellikle, Çoklu onay alınması uygulaması getirildi. Bu doğrultuda, “üyelik onayı”, “kişisel veri işleme izni” ve “ticari ileti onayı” gibi farklı onaylar, tek bir SMS üzerinden değil, ayrı ayrı ve açık biçimde alınacak. Her bir izin, ilgili işlemi gerçekleştirebilmek için bağımsız ve net şekilde talep edilmek zorunda olacak.

Rıza ve Bilgilendirme Konularında Yeni Düzenlemeler

Veri sorumlularının, kişisel verilerin işlenmesine ilişkin açık rıza talep ederken, bu iznin hangi amaçla ve hangi işlemlerde kullanılacağını açıkça belirtmeleri gerekecek. Ayrıca, ticari elektronik ileti göndermek amacıyla kişisel verilerin işlenmesine rıza alınması, işlemin tamamlanması için zorunlu tutulmayacak. Bu durumda, ayrıca, işlemin sonunda veya sonrasında, kullanıcılara bu rızanın alınmadığının ve işlemin temel amaçlarının açıkça bildirileceği bilgilendirmeler yapılacak.

Kurul, alınan bu ilkeler ve kurallara uymayan veri sorumluları hakkında, idari para cezası ve diğer yaptırımların uygulanabileceğini de hatırlattı. Bu düzenlemelerin amacı, vatandaşların kişisel verilerinin korunmasını sağlamak ve iletişim alanında şeffaflık ve güvenliği artırmaktır.