Bilişim Hukuku

    Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında KVKK İlke Kararı

    -Yorum yapılmamış3 dk Okuma Süresi

    Giriş:

    Bu bilgi notu, Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında İlke Kararı”doğrultusunda,  verdiğimiz hizmetler kapsamında ürünlerimizin ve hizmetlerimizin sunumu sırasında SMS ile doğrulama kodu gönderimi yoluyla kişisel verilerin işlenmesine ilişkin yükümlülüklerin ve uyulması gereken prensiplerin açıklanması amacıyla hazırlanmıştır

    Kapsam

    • Ürün ve hizmet sunumuna ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif verme ve benzeri işlemler sırasında) ilgili kişilerin telefonuna gönderilecek SMS’in amacı ve bu SMS ile iletilen doğrulama kodunun verilmesi halinde ortaya çıkacak sonuçların, katmanlı aydınlatmanın gereği olarak, veri sorumlusu görevlileri tarafından açık ve anlaşılır şekilde ilgili kişilere aktarılması gerekmektedir.
    • Ayrıca, aydınlatma yükümlülüğünün yerine getirilmesi amacıyla söz konusu SMS içeriklerinde de detaylı bilgilendirme kanallarının sağlanması zorunludur.
    • İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verilerin işlenmesi izninin alınması, ticari elektronik ileti onayı gibi farklı veri işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine son verilmelidir.
    • Ticari elektronik ileti gönderimi için kişisel verilerin işlenmesine açık rıza verilmesi, ürün veya hizmet sunumunun tamamlanması için zorunlu bir koşul olarak gösterilmemelidir. 

    Kişisel Verileri Koruma Kurumu, yayımladığı bu ilke kararıyla;

    • Ödeme, üyelik veya kayıt işlemleri sırasında cep telefonuna gönderilen SMS kodları yoluyla ticari elektronik ileti izni veya açık rıza alınmasının sonlandırılması gerektiğini ortaya koymuştur.

     

    Kurulun dikkat çektiği başlıca hususlar şunlardır:

    • Tek bir SMS ile hem üyelik onayı, hem açık rıza, hem de ticari elektronik ileti izni almak hukuka aykırıdır.
    • Aydınlatma ve açık rıza süreçleri birbirinden ayrılmalı; SMS’te neden kod istendiği ve bu kodun ne anlama geldiği açıkça belirtilmelidir.
    • Açık rıza, ürün veya hizmet sunumunun ön şartı haline getirilmemelidir.
    • Bu süreçlerde görev alan personel, düzenli eğitimlerle bilinçlendirilmelidir.
    • Yukarıdaki hususlara uyulmaması halinde veri sorumluları hakkında idari yaptırımlar uygulanacaktır.

    Katmanlı Aydınlatma Uygulama Adımları

    1. Ön Bilgilendirme (İlk Katman) – SMS Gönderim Anında Yapılacaklar
    • SMS doğrulama kodu gönderildiğinde, SMS içeriğinde kodun hangi amaçla istendiği kısa ve açık şekilde belirtilmelidir.
      Örnek:
      “Bu SMS, üyelik kaydınızın doğrulanması için gönderilmiştir. Gönderilen kod, hesabınızın güvenliği için kullanılacaktır.”
    • SMS içinde, kişisel verilerin işlenme amacı ve kapsamını içeren detaylı aydınlatma metnine erişim sağlayan bir link mutlaka yer almalıdır.
      Örnek:
      “Kişisel verilerinizin işlenme detayları için: [www.param.com.tr]”
    • SMS’te verilen kodun ne anlama geldiği, kodun paylaşılmaması gerektiği ve kodun paylaşılması durumunda doğabilecek riskler açıkça ifade edilmelidir.
    1. Detaylı Aydınlatma (İkinci Katman) – Web Sitesi / Dijital Ortamda Sunulacaklar
    • SMS içinde >Detaylı aydınlatma metnine erişim için şu linke ulaşabilirsiniz.

    Örnek Katmanlı Aydınlatma Metni

    (Veri Sorumlusunun Kimliği):
    SMS’te neden kod istendiği ve ne anlama geldiği açıkça belirtilmelidir. Örneğin:
    Kişisel verileriniz üyelik kaydı esnasında sistem için gerekli operasyonel faaliyetlerin yürütülmesi ve iletişimin sağlanması amacıyla kullanılacaktır.

    Detaylı aydınlatma metnine erişim için şu linke ulaşabilirsiniz. [www.param.com.tr/kvkk]

    Açık Rıza Süreçlerinin Ayrı Yönetilmesi

      • SMS doğrulama kodu ile birlikte üyelik onayı, açık rıza veya ticari ileti izni gibi farklı veri işleme faaliyetleri için tek seferde veya tek SMS ile alınmamalıdır.
      • Bu izinler için, ayrı ayrı ve açık biçimde bağımsız açık rıza mekanizmaları oluşturulmalıdır.
    • Ticari elektronik ileti izni ürün veya hizmet sunumunun tamamlanması için zorunlu tutulmamalıdır.

    Sonuç olarak

    • Tek bir SMS ile hem üyelik onayı, hem açık rıza, hem ticari ileti izni almak hukuka aykırıdır. 
    • Aydınlatma ve açık rıza süreçleri ayrılmalı, SMS’te neden kod istendiği ve ne anlama geldiği açıkça belirtilmelidir. 
    • SMS kodu ile üyelik onayı, ticari elektronik ileti izni ve diğer kişisel veri işleme izinlerinin tek bir eylemle alınması yasaktır. Açık rıza, ürün veya hizmet sunumunun ön şartı haline getirilmeden alınmalıdır.
    • Operasyonel süreçlerde görevli personel, katmanlı aydınlatma kapsamı ve önemi hakkında düzenli olarak eğitilmelidir.
    • İşbu karardaki hususlara uyulmaması halinde veri sorumluları için idari yaptırımlar söz konusu olabilecektir.  
    Share.

    Related Posts

    -

    tr_TRTurkish
    tr_TRTurkish