KOD GÖNDERİMİ VE İŞLEM ONAYI İLE İLGİLİ SORUNLAR
Bir işlem gerçekleştirirken cep telefonlarımıza onay kodu geliyor ve bu kodu girerek işlemi tamamlıyoruz. Ancak, bu süreçte yalnızca işleme onay verdiğimizi sanırken aslında birçok işlem için izin vermiş oluyoruz. Onayladığımız kurum veya şirket, bu işlemden sonra sürekli olarak bizlere tanıtım SMS’leri göndermeye devam ediyor. Bu durumun tüketicileri mağdur etmesinin önlenmesi amacıyla Kişisel Verileri Koruma Kurumu (KVKK) harekete geçti. KVKK, ürün ve hizmet sunumlarında doğrulama kodu gönderilerek kişisel verilerin işlenmesine dair ilke kararını Resmi Gazete’de yayımladı.
ŞİKAYETLERİN ARTIŞI VE İNCELEMELER
Karara göre, ödeme telaşı içinde, üyelik oluşturma ya da kayıt açma gibi işlemler sırasında iletişim bilgilerinin talep edilmesiyle birlikte, vatandaşların cep telefonlarına SMS ile doğrulama kodu gönderilmesi uygulamasıyla ilgili KVKK’ya pek çok şikayet ve ihbar ulaştı. Şikayetlerde, doğrulama kodunun “ödeme işleminin tamamlanması”, “fatura oluşturulması” ve “iletişim bilgilerinin güncellenmesi” gibi nedenlerle talep edildiği, fakat ardından bu kişisel verilerin kullanılarak ticari elektronik ileti gönderildiği belirtildi.
TÜKETİCİLER YANILTILIYOR
Kurumun yaptığı incelemelerde bazı şirketlerin SMS doğrulamasını, ticari ileti onayı ve kişisel verilerin işlenmesine açık rıza almak amacıyla kullandığı ve bu yolla vatandaşları yanıltarak izin aldığı tespit edildi. KVKK, alışveriş sırasında yaygın olarak karşılaşılan bu duruma ilişkin ilke kararı aldı. Buna göre, ürün ve hizmet sunumları sürecinde yapılacak ödemelerde, kayıt açma ve üye olma gibi işlemler sırasında ilgili kişilerin cep telefonlarına gidecek SMS’in amacının ne olduğu ile kodun verilmesi halinde doğacak sonuçların açık ve anlaşılır bir biçimde açıklanması gerekecek.
AÇIK RIZA ALIMINDA YENİ DÜZENLEME
Üyelik onayı, kişisel veri işleme izni ve ticari ileti onayı gibi farklı işlemler, tek bir SMS üzerinden gerçekleştirilemeyecek. Bu işlemler için ayrı ayrı açık rıza alınması gerekecek. Ticari elektronik ileti gönderilmesi için kişisel verilerin işlenmesine rıza verilmesi, işlemin tamamlanabilmesi için zorunlu tutulmayacak. Açık rıza, ürün ve hizmet sunumu tamamlandıktan sonra talep edilecek. Veri sorumlusu tarafından yapılacak bilgilendirmelerde ise işlemin tamamlanması için onay verilmesinin zorunlu olmadığı belirtilecek.
Alınan ilke kararlarına uymayan veri sorumluları hakkında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde yer alan cezai işlemler uygulanacak.