Kasada ödeme aşamasında “telefon numaranızı alalım, SMS kodu geldi mi?” sorusuyla karşılaşmak artık oldukça yaygın. Bu talep çoğu zaman “fiş/fatura işlemleri”, “iade-değişim kolaylığı” ya da “üyelik kaydı” gibi gerekçelerle açıklanmakta; kimi zaman da işlemin tamamlanması için zorunlu bir adım gibi sunulabilmektedir.
Bu aşamada temel soru şudur: Telefon numarası hangi amaçla işlenmektedir ve SMS doğrulaması, kişisel verilerin işlenmesine ilişkin hangi irade açıklamasını doğurmaktadır? Kurul’un hem 28.09.2023 tarihli kararı hem de 10.06.2025 tarihli İlke Kararı, özellikle bu “zorunlu adım gibi sunma” pratiğinin KVKK bakımından doğurabileceği sorunlara odaklanmaktadır.
I. Telefon Numarası Neden Kişisel Veri Ve Kasada Alınması Ne Anlama Geliyor?
Telefon numarası, kimliği belirli veya belirlenebilir kişiye ilişkin olduğundan KVKK kapsamında kişisel veridir. Kasada numaranın alınması, sisteme kaydedilmesi, SMS gönderilmesi ve bu verinin daha sonra farklı amaçlarla kullanılması (örneğin kampanya iletileri) KVKK anlamında “kişisel verilerin işlenmesi”dir.
Bu nedenle veri sorumlusu; hangi veriyi, hangi amaçla, hangi hukuki sebebe dayanarak ve ne kadar süreyle işlediğini ilgili kişiye açık ve anlaşılır biçimde bildirmelidir (aydınlatma yükümlülüğü).
II. Temel Soru: SMS Doğrulaması Hangi Amaçla Kullanılıyor?
Uygulamada sorun şu noktada yoğunlaşıyor: SMS kodu, ödeme/işlemin tamamlanması için zorunluymuş gibi kurgulanıp, gerçekte ticari ileti onayı veya daha geniş bir “izin paketi”nin parçası hâline getirilebiliyor.
Kurul’un 10.06.2025 tarihli İlke Kararı, ticari elektronik ileti onayının satışın zorunlu bir parçası gibi kurgulanmasını ve tek bir doğrulama adımı üzerinden farklı amaçlara ilişkin irade açıklaması alınmasını sorunlu görmektedir. İlke Kararı’nın vurgusu özetle şudur:
- SMS kodunun amacı ve kodun verilmesi hâlinde kişisel veriler açısından hangi sonuçların doğacağı ilgili kişiye açıkça anlatılmalı.
- Üyelik sözleşmesi onayı / veri işleme izni / ticari elektronik ileti onayı gibi farklı işleme faaliyetleri tek bir eylemle “topluca” yaptırılmamalı; gerekiyorsa ayrı ayrı seçenek sunularak açık rıza alınmalı.
- Ticari ileti için açık rıza, ürün/hizmet sunumunun tamamlanması için zorunlu bir unsur gibi sunulmamalı; bunu sağlamak için veri sorumluları teknik ve idari tedbir almalı.
Bu çerçevede “Kasada SMS kodu vermezseniz satış olmaz” şeklindeki bir sunum, özgür irade unsurunu tartışmalı hâle getirir ve açık rızanın özgür iradeye dayanması bakımından risk doğurur.
III. 28.09.2023 Tarihli Kurul Kararı (2023/1653) Neyi İşaret Ediyor?
Kurul’un 28.09.2023 tarihli ve 2023/1653 sayılı kararında, alışveriş sırasında gönderilen doğrulama kodunun; aydınlatma ve onay mekanizmasıyla birlikte ele alındığı ve kişide “işlem için zorunlu” bir onay verildiği algısı doğurabilecek şekilde kurgulanmasının KVKK bakımından tartışmalı sonuçlar üretebileceği değerlendirilmiştir.
Karar, özellikle aydınlatmanın görünürlüğü ve anlaşılabilirliği ile, SMS doğrulaması üzerinden “tek adımda” geniş kapsamlı bir onay alınması riskine dikkat çekmektedir. Bu yönüyle 2023 tarihli karar, 2025 İlke Kararı’nda sistematik biçimde ortaya konulan ilkelerle aynı doğrultuda değerlendirmeler içermektedir.
IV. Sonuç
Kasada SMS doğrulaması tek başına hukuka aykırı bir işlem olarak nitelendirilemez. Belirleyici olan; telefon numarasının hangi amaçla işlendiği, ilgili kişinin yeterince aydınlatılıp aydınlatılmadığı ve özellikle ticari ileti gibi ek amaçlar bakımından özgür iradeye dayalı bir onay yapısının kurulup kurulmadığıdır.
Kurul’un 28.09.2023 tarihli kararı (2023/1653) ile 10.06.2025 tarihli İlke Kararı, uygulamada yaygınlaşan bu yöntemin KVKK açısından sınırını şu noktada çizer: kişisel verilerin farklı amaçlarla işlenmesi, ilgili kişiye açık ve anlaşılır biçimde ayrıştırılarak sunulmalı; satış işlemi ise ticari elektronik ileti onayına fiilen bağlı bir koşul hâline getirilmemelidir.