Bilindiği üzere, Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespitinden hareketle söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlamıştır. Ancak mevcut durumda, benzer yöntemlerin yaygın olarak uygulanmaya devam edildiği Kuruma intikal eden ihbar ve şikayetlerden anlaşılmış olup söz konusu kamuoyu duyurusunda güncelleme yapılması gereği hasıl olmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, (2) numaralı fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.
Kanun’un 3’üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerekmektedir. Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.
Öte yandan, Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde;
önem arz etmektedir. Kamuoyuna saygıyla duyurulur.
Kaynak: Kişisel Verileri Koruma Kurumu