SMS Doğrulama Kodları ve KVKK'nın 2025/1072 Sayılı İlke Kararı 17 Ağustos 2025
Kişisel Verileri Koruma Kurulu'nun 10 Haziran 2025 tarihli ve 2025/1072 sayılı İlke Kararı, ticari hayatta yaygın bir uygulama haline gelen SMS doğrulama kodları üzerinden kişisel veri işleme faaliyetlerine ilişkin önemli düzenlemeler getirmektedir. Bu karar, özellikle perakende satış ve hizmet sektörlerinde müşteri ilişkileri yönetiminde köklü değişiklikleri zorunlu kılmaktadır.
|
1. SMS Doğrulama Sisteminin Mevcut Durumu ve Hukuki Sorunlar |
|
Kuruma intikal eden şikayetlerde tespit edilen temel sorun, veri sorumlularının ürün ve hizmet sunumu esnasında ilgili kişilere gönderdikleri SMS doğrulama kodlarını, ödeme işleminin tamamlanması veya fatura oluşturulması gerekçesiyle talep etmelerine rağmen, bu kodların aslında ticari elektronik ileti gönderimi için açık rıza alınması amacıyla kullanılmasıdır. Bu uygulama, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun temel ilkelerine aykırılık teşkil etmektedir. |
|
Kanun'un 3. maddesinde tanımlanan açık rıza kavramının üç temel unsuru bulunmaktadır: |
|
|
Mevcut uygulamalarda, ilgili kişiler neye rıza gösterdikleri konusunda yanıltılmakta, dolayısıyla bilgilendirilmeye dayanan bir rızadan söz edilememektedir. Ayrıca, ürün veya hizmetin sunulması ticari ileti iznine bağlandığında, özgür irade unsuru da ortadan kalkmaktadır. |
|
Kişisel Verileri Koruma Kurumu Kararı - KVKK, K. 2020/173 T. 27.2.2020 sayılı kararında vurgulandığı üzere, "açık rızanın bir ürün veya hizmetin sunulmasının ön şartı olarak ileri sürülmesi halinde özgür irade unsuru zedelenmekte ve geçerli bir açık rızadan söz edilememektedir" (1). Bu içtihat, Kurul'un İlke Kararı'nda da temel dayanak noktalarından biri olmuştur. |
|
2. İlke Kararının Getirdiği Düzenlemeler |
|
Kurul'un İlke Kararı, veri sorumlularına açık ve uygulanabilir yükümlülükler getirmektedir. Birincisi, SMS ile gönderilen doğrulama kodunun amacı ve verilmesi halinde doğacak hukuki sonuçlar, katmanlı aydınlatma ilkesi gereğince ilgili kişilere açık ve anlaşılır bir biçimde aktarılmalıdır. Bu bilgilendirme, hem veri sorumlusunun görevlileri tarafından sözlü olarak hem de SMS içeriğinde yazılı olarak yapılmalıdır. |
|
İkinci olarak, tek bir doğrulama koduyla birden fazla hukuki işlemin gerçekleştirilmesi yasaklanmıştır. Üyelik sözleşmesinin onaylanması, kişisel verilerin işlenmesine ilişkin açık rıza alınması ve ticari elektronik ileti gönderimi için izin alınması gibi birbirinden farklı hukuki sonuçlar doğuran işlemler için ayrı mekanizmalar kurulmalı ve ilgili kişilerden ayrı ayrı açık rıza alınmalıdır. |
|
Üçüncü düzenleme, ticari elektronik ileti gönderimi için açık rıza alınmasının ürün ve hizmet sunumunun zorunlu bir unsuru olarak sunulamamasıdır. Karar'da açıkça belirtildiği üzere, ilgili kişilere ticari ileti izninin ürün veya hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de işlemin tamamlanabileceği bilgisi net bir şekilde aktarılmalıdır. |
|
Dördüncü ve son düzenleme ise veri sorumluları tarafından bu süreçlerde görev alan personele yönelik eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi zorunluluğudur. Bu düzenleme, Kanun'un 12. maddesinde öngörülen veri güvenliğine ilişkin idari tedbirlerin bir parçası olarak değerlendirilmektedir. |
|
3. Aydınlatma Yükümlülüğü ve Açık Rıza İlişkisi |
|
Kanun'un 10. maddesi uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu yükümlülük, açık rıza alınmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. İlke Kararı'nda özellikle vurgulandığı üzere, aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı gerçekleştirilmesi zorunludur. |
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'de belirtildiği gibi, aydınlatma metinlerinin açık, anlaşılır ve erişilebilir olması gerekmektedir (2). SMS içeriklerinde bu aydınlatmanın tamamının yer alması teknik olarak mümkün olmadığından, katmanlı aydınlatma yöntemi benimsenmelidir. İlk katmanda temel bilgiler verilmeli, detaylı bilgi için ilgili kişiler dijital ortamlara yönlendirilmelidir. |
|
4. Hukuki Yaptırımlar ve Sorumluluk Rejimi |
|
İlke Kararı'na uyulmaması durumunda, Kanun'un 18. maddesi uyarınca idari para cezaları uygulanacaktır. 2025 yılı için belirlenen idari para cezaları, aydınlatma yükümlülüğünün ihlali için 68.083 TL - 1.362.021 TL arasında, ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesi durumunda ise 204.285 TL - 13.620.402 TL arasında değişmektedir (3). |
|
Kişisel verilerin hukuka aykırı olarak işlenmesi, aynı zamanda kişilik haklarına yönelik bir ihlal niteliği taşıyabilir. Türk Borçlar Kanunu'nun 58. maddesi uyarınca, kişilik hakkı zedelenen kişiler, uğradıkları manevi zarar için tazminat talebinde bulunabilirler. |
|
Yargıtay içtihatlarında da bu durum açıkça görülmektedir. Örneğin, bir kararında davacının bilgisi ve rızası olmaksızın kimlik bilgileri kullanılarak, imzası taklit edilmek suretiyle adına telefon hattı açılmıştır. Faturaların ödenmemesi üzerine davacı aleyhine icra takibi başlatılmış ve davacı bu nedenle menfi tespit davası açmak zorunda kalmıştır. Yargıtay, telekomünikasyon şirketinin bayiyi özenle seçme ve etkin şekilde denetleme yükümlülüğünü yerine getirmediğini tespit etmiş; bu ihmalkârlığın davacının kişilik haklarını ihlal ettiğine hükmederek manevi tazminat talebini kabul etmiştir (Yargıtay 4. Hukuk Dairesi, E. 2019/979, K. 2019/2679).(4) |
|
Ayrıca, Kurul'un veri işleme faaliyetinin durdurulmasına karar verme yetkisi bulunmaktadır. Tekrarlayan veya sistematik ihlaller durumunda, bu yetki kullanılarak veri sorumlusunun belirli veri işleme faaliyetleri tamamen durdurulabilir. Bu durum, özellikle müşteri verilerine dayalı iş modelleri için ciddi operasyonel riskler barındırmaktadır. |
|
5. Uyum Sürecinde Alınması Gereken Tedbirler |
|
Veri sorumluları, İlke Kararı'na uyum sağlamak için kapsamlı bir dönüşüm süreci yürütmelidir. Teknik altyapı düzeyinde, farklı amaçlar için ayrı onay mekanizmaları kurulmalıdır. SMS gönderim sistemleri, her bir işlem türü için özelleştirilmiş içerikler üretecek şekilde yeniden yapılandırılmalıdır. Özellikle, ticari ileti izni için gönderilen Sms'lerde bu iznin isteğe bağlı olduğu açıkça belirtilmelidir. |
|
Operasyonel süreçler açısından, müşteri temas noktalarındaki tüm prosedürler gözden geçirilmelidir. Satış personeli, çağrı merkezi görevlileri ve dijital kanal yöneticileri için detaylı talimatnameler hazırlanmalıdır. Bu talimatlarda, hangi durumda ne tür bilgilendirme yapılacağı, hangi ifadelerin kullanılacağı ve hangi davranışlardan kaçınılacağı net olarak belirtilmelidir. |
|
Hukuki uyum açısından, mevcut müşteri veri tabanlarının durumu değerlendirilmelidir. Hatalı yöntemlerle alınmış izinlerin hukuki geçerliliği bulunmadığından, bu izinlere dayalı veri işleme faaliyetleri derhal durdurulmalıdır. Gerekli durumlarda, müşterilerden yeniden ve uygun yöntemlerle açık rıza alınmalıdır. |
|
Kurumsal yönetişim düzeyinde, veri koruma uyum programları geliştirilmelidir. Bu programlar, düzenli iç denetimler, risk değerlendirmeleri ve iyileştirme planlarını içermelidir. Üst yönetimin bu sürece aktif katılımı ve gerekli kaynakların tahsisi kritik öneme sahiptir. |
|
6. Sonuç ve Değerlendirme |
|
Kişisel Verileri Koruma Kurulu'nun 2025/1072 sayılı İlke Kararı, SMS doğrulama kodları üzerinden gerçekleştirilen veri işleme faaliyetlerinde şeffaflık ve dürüstlük ilkelerini ön plana çıkarmaktadır. Bu düzenleme, Türkiye'nin kişisel verilerin korunması alanında Avrupa Birliği müktesebatına uyum sürecinin önemli bir adımını teşkil etmektedir. |
|
Veri sorumluları açısından bu karar, kısa vadede operasyonel zorluklar ve ek maliyetler getirebilecek olsa da, uzun vadede müşteri güveninin tesisi ve sürdürülebilir iş modellerinin geliştirilmesi açısından önemli fırsatlar sunmaktadır. Kişisel verilerin korunması konusunda proaktif yaklaşım sergileyen işletmeler, rekabet avantajı elde edecek ve dijital ekonominin güvenilir aktörleri olarak konumlanacaktır. |
|
İlke Kararı'nın 26 Haziran 2025 tarihinde Resmi Gazete 'de yayımlanarak yürürlüğe girmesiyle birlikte, veri sorumluları için uyum süreci başlamıştır. Kurul'un geçiş süreci öngörmemesi, bu uygulamaların zaten hukuka aykırı olduğu gerçeğinden hareket etmektedir. Bu nedenle, veri sorumlularının derhal gerekli tedbirleri alması ve uyum çalışmalarını tamamlaması gerekmektedir. |
|
Sonuç olarak, bu İlke Kararı sadece teknik bir düzenleme olmanın ötesinde, veri sorumluluğu bilincinin geliştirilmesi ve etik veri işleme kültürünün yerleştirilmesi açısından önemli bir dönüm noktasıdır. Veri ekonomisinin geleceğinin güven üzerine inşa edileceği gerçeğinden hareketle, bu düzenlemeye uyum sağlamak sadece hukuki bir zorunluluk değil, aynı zamanda sürdürülebilir büyümenin de temel şartıdır. |
|
Kaynakça (1) Kişisel Verileri Koruma Kurumu Kararı - KVKK, K. 2020/173 T. 27.2.2020 |
Diğer Haberler
-
10.8.2025
Yenilenebilir Enerji Üretimi Şirketlerinde Birleşme Devralma İşlemleri
Son yıllarda Türkiye'de elektrik enerjisi piyasasında dikkat çeken gelişmeler, üretim kapasitesinin artırılmasına yönelik yatırımlarla sınırlı kalmamakta, yenilenebilir enerji alanındaki şirketlere yapılan stratejik yatırımlar ve birleşme devralma işlemleriyle de gündeme geliyor.
-
30.7.2025
Kısmi Süreli İş Sözleşmesi'nde Yıllık İzin ile Kıdem ve İhbar Tazminatı
Kısmi Süreli İş Sözleşmesi 4857 Sayılı İş Kanunu'nun 13. Maddesi'nde "İşçinin normal haftalık çalışma süresinin, tam süreli iş sözleşmesiyle çalışan emsal işçiye göre önemli ölçüde daha az belirlenmesi durumunda sözleşme kısmi süreli iş sözleşmesidir." şeklinde tanımlanmıştır.
-
29.7.2025
Emlak Vergisi Değerlerinin Tespitine İlişkin Kararlara Karşı Dava Yolu
a. Genel Olarak 2002 yılında 4751 sayılı Vergi Usul Kanunu, Emlâk Vergisi Kanunu ve Harçlar Kanununda Değişiklik Yapılmasına İlişkin Kanun ile Emlak Vergisi Kanunu'nda yapılan değişiklikler akabinde emlak vergisi matrahının tespitinde beyan esası kaldırılmış ve idari makamlarca yapılacak takdir ve tespit usulüne geçilmiştir
-
15.7.2025
Hükümlülük Ve Tutukluluk Nedeniyle İşverenin Fesih Hakkı Ve Hukuki Sonuçları
İşçi ve işveren arasındaki dengenin korunması esasına dayalı dinamik bir alan olan iş hukuku uygulamasında; işçinin iş görme edimini yerine getirememesi hali, özellikle de bu durumun hükümlülük veya tutukluluk gibi bireysel özgürlüğü kısıtlayıcı hallerden kaynaklanması, iş sözleşmesinin feshine ilişkin önemli hukuki sonuçlar doğurmaktadır.
-
13.7.2025
İş Kanunu'nda 14.07.2025 Tarihli Köklü Değişiklik: Turizm Sektöründe Esnek Hafta Tatili Dönemi Başladı!
14 Temmuz 2025'te Resmî Gazete'de yayımlanan 7553 sayılı "Bazı Kanunlarda ve 375 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun" ile , İş Kanunu ve diğer bazı kanunlarda önemli yenilikler getirilmiştir. Bu kapsamda; 14.07.2025 tarihi itibariyle İş Kanunu'nun hafta tatilini düzenleyen 46. Maddesine eklenen hükümle birlikte turizm sektörüne özel esnek hafta tatili uygulamasına geçildiği görülmektedir.
-
8.7.2025
İklim Kanunu Yürürlüğe Girdi
İklim değişikliği ile mücadelede sera gazı emisyonlarının azaltılması ve iklim değişikliğine uyum faaliyetleri ile planlama ve uygulama araçlarını, gelirleri, izin ve denetimi ve bunlara ilişkin yasal ve kurumsal çerçevenin usul ve esasları hakkında düzenlemeler içeren 7552 sayılı İklim Kanunu ("Kanun") 9 Temmuz 2025 tarih ve 32951 sayılı Resmî Gazete'de yayınlanarak yürürlüğe girdi. İşbu Kanun; genel ilke ve hedefleri kazuistik bir bakış açısıyla ortaya koymakta, ayrıntılı ve teknik düzenlemeleri ikincil mevzuata bırakmayı tercih etmektedir.
-
6.7.2025
Tapu Sicilinde Arabuluculuk Uygulamaları
05.04.2023 tarih ve 32154 sayılı Resmî Gazete'de yayımlanan İcra ve İflas Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 7/6/2012 tarihli ve 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu'nda ("Kanun") değişiklikler yapılarak dava şartı- zorunlu- ve ihtiyari arabuluculuk ile çözümlenebilecek uyuşmazlıkların kapsamı genişletilmiştir.
-
26.6.2025
Konkordato Mühletinin Rehinli Alacaklılar Bakımından Sonuçları
İcra ve İflas Kanunu'nun 285. maddesi uyarınca, borçlarını vadesinde ödeyemeyen veya ödeyememe riski taşıyan borçlu, konkordato talep edebilir. Talep üzerine borçluya verilen mühlet süresince İcra İflas Kanunu 294/1 hükmü gereğince hiçbir icra takibi başlatılamaz; başlamış olanlar ise durur.
-
24.6.2025
Ticari Defterlerin Elektronik Ortamda Tutulması Zorunluluğu
14 Şubat 2025 tarihli ve 32813 sayılı Resmî Gazetede yayımlanan İşletmenin Muhasebesiyle İlgili Olmayan Ticari Defterlerin Elektronik Ortamda Tutulması Hakkında Tebliğ ("Tebliğ") ile birlikte ticari defterleri elektronik ortamda tutmakla yükümlü olan ticaret şirketlerinin belirlenmesi, bu defterlerin elektronik ortamda oluşturulması, tutulması, saklanması ve ibrazı ile bu işlemlerin gerçekleştirileceği sistemin işleyişine ilişkin usul ve esaslarını düzenlenmiştir.
-
17.6.2025
Halka Açık Şirketlerde M&A Dinamikleri: Borsa İstanbul Üzerinden Yeni Yatırım Stratejileri
Son yıllarda Türkiye'de halka arzlar rekor seviyelere ulaştı. 2023 ve 2024'te çok sayıda şirket halka arz işlemi sonucunda Borsa İstanbul'da işlem görmeye başladı. Küçük yatırımcıların yoğun ilgisiyle dikkat çeken bu halka arzlar, şirketlerin şeffaflık ve görünürlük kazandığı önemli stratejik hamleler olarak öne çıkmakla birlikte önemli bir finansman aracı olarak da rol oynamaktadır. Halka arz ile birlikte halka açık şirketler/ ortaklıklar artık sadece küçük yatırımcıların değil, yerli / yabancı stratejik ve finansal yatırımcıların da radarına girmektedir.
-
15.6.2025
Yargıtay, Arsa Payı Karşılığı İnşaat Sözleşmelerine İlişkin Olarak Yıllardır Sürdürdüğü "Avans Tapu" Olarak Bilinen İçtihadından Vazgeçti.
Arsa payı karşılığı inşaat sözleşmeleri, ülkemizdeki inşaat sektöründe yaygın bir uygulamadır.
-
10.6.2025
Mesafeli Sözleşmeler Yönetmeliği'nde Yapılan Değişiklik İade Kargo Ücreti Ve Elektronikte Cayma Hakkı
24 Mayıs 2025 tarihli ve 32909 sayılı Resmî Gazete'de yayımlanan Mesafeli Sözleşmeler Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik ("Değişiklik Yönetmeliği") ile mesafeli satışlara yönelik önemli değişikliğe gidildi. Değişiklik Yönetmeliği ile gelen önemli değişiklikler şu şekildedir;
-
4.6.2025
İşçilere Bankalar Aracılığıyla Ödenecek İstihkaklara İlişkin Yönetmelik Değişikliği Hakkında
Çalışma ve Sosyal Güvenlik Bakanlığı tarafından hazırlanarak 4 Haziran 2025 tarihli 32920 sayılı Resmî Gazete 'de yayımlanan "Ücret, Prim, İkramiye ve Bu Nitelikteki Her Türlü İstihkakın Bankalar Aracılığıyla Ödenmesine Dair Yönetmelikte Değişiklik Yapılmasına İlişkin Yönetmelik" 01.07.2025 tarihi itibariyle yürürlüğe girecektir.
-
29.5.2025
Enflasyon Karşısında Nafaka, Nafaka Artırımı ve Döviz Olarak Nafaka Ödenmesi Sorunu
Boşanma davaları sonucunda hükümle hükmedilen yoksulluk ve iştirak nafakaları, genellikle belirli bir tutar üzerinden sabitlenmekte ve yıllar boyunca ya aynı tutarda kalmakta ya da mahkemece belirlenen oranlarda sınırlı şekilde artırılmaktadır. Yine aynı şekilde yargılama sürecince belirlenen tedbir nafakasında yargılamanın uzun sürmesi ve yüksek enflasyon nedeniyle zaman içinde nafakanın yetersiz hale gelmesine neden olmakta; bu da nafaka uygulamasının işlevselliğini önemli ölçüde engellemektedir.
-
22.5.2025
Mazeret İzni Hakkı: Süreler, Uygulama Ve Değerlendirme
Mazeret İzninin Yasal Dayanağı ve Tanımı: İşçinin işgörme edimini yerine getirmesini engelleyecek ancak dürüstlük kuralı gereği çalışmasının kendisinden beklenemeyeceği bazı durumlarda işçinin mazeretli sayılması gerekmektedir. 6645 sayılı Kanun ile 2015 yılında getirilen düzenleme sonucu, işçilerin mazeret izni 4857 sayılı İş Kanunu'nun Ek Madde 2 hükmünde düzenlenmiştir.
