Kişisel Verileri Koruma Kurumu (KVKK), 10 Haziran 2025 tarihli ve 2025/1072 sayılı ilke kararıyla, ürün ve hizmet sunumu sırasında SMS doğrulama kodu aracılığıyla ticari elektronik ileti izni alınması uygulamalarına ilişkin önemli bir düzenlemeyi, 26 Haziran 2025 tarihli Resmî Gazete’de yayımlamıştır. ¹ Bu karar, kişisel verilerin hukuka uygun işlenmesi ve bireylerin özgür iradesine dayalı rıza almasının güvence altına alınması amacıyla alınmıştır.

Ne Değişiyor ve Neden Bu Kadar Önemli?

KVKK’ya ulaşan şikayetler üzerine yapılan incelemelerde, bazı veri sorumlularının ödeme, üyelik veya kayıt işlemleri sırasında gönderilen SMS doğrulama kodlarını, aynı zamanda ticari ileti izni almak için kullandığı tespit edilmiştir. Kurul, bu yöntemin hem aydınlatma yükümlülüğünü ihlal ettiğini hem de açık rızanın bilgilendirmeye dayalı ve özgür iradeyle verilmesi şartlarına aykırı olduğunu belirtmiştir.

Bu kararla birlikte artık:

• Doğrulama kodu ile ticari ileti izni alınamayacak. Ticari elektronik ileti izni için doğrulama kodu verilmesinin zorunlu tutulması, açık rızanın Kanun’da belirtilen “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” unsurlarını zedelemektedir.
• “Aydınlatma” ve “açık rıza” süreçleri kesinlikle birbirinden ayrılacak. Şirketler, kişisel verilerin ne amaçla işleneceği hakkında kullanıcıları açıkça bilgilendirmeli (aydınlatma yükümlülüğü). Ticari ileti göndermek için açık rıza alımı ise bu bilgilendirmeden tamamen bağımsız ve kullanıcının kendi özgür iradesiyle gerçekleşmelidir.
• SMS’in amacı açıkça belirtilmeli. Gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususu, katmanlı aydınlatmanın bir gereği olarak açık ve anlaşılır bir biçimde aktarılmalı; SMS içeriklerinde de gerekli bilgilendirme kanalları sağlanmalıdır.
• Ticari elektronik ileti gönderimi, ürün veya hizmet sunumunun ön koşulu gibi gösterilemeyecek. Ticari ileti için açık rıza verilmesi, ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde sunulmamalıdır.
  
  

SMS Kullanımı Tamamen Kalkıyor mu? Hayır, Ancak Amacı Değişmeli!

Bu karar, SMS kullanımının tamamen yasaklandığı anlamına gelmemektedir. Ancak SMS’lerin içeriği ve amacı konusunda köklü bir değişim gerektirmektedir:

• Doğrulama SMS’leri devam edebilir: Ödeme yapma, kayıt açma, üyelik oluşturma ve benzeri işlemlerde güvenlik amacıyla gönderilen doğrulama kodları içeren SMS’ler hala kullanılabilir.
• Fakat bu SMS’ler ticari ileti izni için kullanılamaz: Bu doğrulama SMS’lerinin içinde ticari ileti izni alındığına dair bir ifade olmamalı veya kullanıcının bu SMS’i onaylaması ticari ileti izni verdiği anlamına gelmemelidir.
• Ticari ileti izni ayrı alınmalı: Eğer bir şirketin ticari ileti (reklam, kampanya SMS’i vb.) göndermesi isteniyorsa, bu izni tamamen ayrı bir süreçle, kullanıcının bilgilendirilmiş ve özgür iradesine dayalı olarak alması gerekmektedir. Açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınmalıdır.
  
  

SMS ile Ticari İleti İzni Nasıl Alınabilir? (Şartlar)

SMS, ticari elektronik ileti izni almak için bir iletişim kanalı olarak kullanılmaya devam edebilir, ancak bunu yaparken KVKK’nın belirlediği sıkı şartlara uyulması zorunludur:

• Aydınlatma ve Açık Rıza Ayrı Yapılmalı: Kullanıcıya ticari ileti gönderileceği ve kişisel verilerinin bu amaçla işleneceği hakkında açık ve anlaşılır bir aydınlatma metni sunulmalıdır. Bu aydınlatma, açık rıza alınması işleminden ayrı olarak yerine getirilmelidir.
• Özgür İradeye Dayalı Onay: Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. İradeyi sakatlayacak durumlar rızayı geçersiz kılar. Ticari ileti izni için SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde, alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması zorunludur.
• Açık ve Anlaşılır İçerik: SMS ile izin alımı durumunda gönderilecek mesajın içeriği çok net olmalı ve yanıltıcı ifadeler içermemelidir. Ticari elektronik ileti iznine yönelik açık rızanın, ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi için, söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmelidir.
• İYS (İleti Yönetim Sistemi) Entegrasyonu Zorunlu: Alınan tüm ticari elektronik ileti izinlerinin (SMS yoluyla alınanlar dahil) İleti Yönetim Sistemi (İYS) üzerinde kaydı zorunludur.
• Ret Hakkı ve Kolay İptal İmkanı: Gönderilen her ticari elektronik iletide kullanıcıya kolayca ret hakkını kullanma imkanı sunulmalıdır.
  
  

Veri Sorumluları Ne Yapmalı ve Yaptırımlar Neler Olacak?

KVKK, veri sorumlularını 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi çerçevesinde gerekli teknik ve idari tedbirleri ivedilikle almaya çağırmaktadır. Bu ilke kararı doğrultusunda, veri sorumlularının:

• Bu uygulamalara derhal son vermesi,
• Konuyla ilgili çalışanlarına düzenli eğitim ve farkındalık çalışmaları yürütmesi,
• Tüm süreçlerini Kanun’a uygun şekilde yeniden yapılandırması gerekmektedir.

Kurul, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi hükümleri çerçevesinde idari işlem tesis edileceğini açıkça belirtmiştir.

Bu önemli ilke kararı, kişisel verilerin korunması ve ticari iletişimin şeffaf ve hukuka uygun bir zeminde yürütülmesi açısından büyük bir adımdır. Veri sorumlularının bu duyuruya titizlikle uymaları, hem hukuki risklerden korunmaları hem de bireylerin kişisel verilerini koruma konusundaki sorumluluklarını yerine getirmeleri açısından hayati önem taşımaktadır.

KVKK’nın yayımladığı ilke kararına ulaşmak için: https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf

Saygılarımızla,

Uzman CRM

Dijitalleşmenin artmasıyla birlikte, müşteriyle iletişim kurulan kanallar çeşitlenmiş; e-posta, SMS, çağrı merkezi, mobil uygulama, web sitesi gibi birçok farklı temas noktası ortaya çıkmıştır. Bu durum, iletişim izinlerinin yönetimini daha karmaşık hale getirmiştir. Türkiye’de Ticaret Bakanlığı öncülüğünde devreye alınan İleti Yönetim Sistemi (İYS), bu alandaki düzeni sağlamak ve tüketicinin tercihlerini korumak amacıyla oluşturulmuştur. Ancak bu sistemin etkinliği, işletmelerin İYS ile çift yönlü, tam entegre bir yapı kurmasına bağlıdır.

Neden Çift Yönlü Entegrasyon Gerekli?

İYS’nin temel işlevi, tüketicilerden alınan ticari elektronik ileti izinlerinin merkezi bir ortamda güvenli şekilde yönetilmesini sağlamaktır. Ancak burada kritik olan, sadece İYS’ye izin göndermek değil; aynı zamanda müşteri farklı kanallar üzerinden izinlerini kaldırdığında, bu tercihin de senkron bir şekilde tüm sistemlerden otomatik olarak kaldırılmasıdır.

Doğru Entegrasyonun Gerektirdikleri:

1. Çift Yönlü Veri Akışı:
   • Müşteri bir e-posta üzerinden “unsubscribe” işlemi gerçekleştirdiğinde bu bilgi İYS’ye anlık iletilmeli.
   • Aynı şekilde İYS’den iletilen bir “ret” (iptal) bildirimi, çağrı merkezi, CRM, SMS gönderim aracı ve e-posta servis sağlayıcısı gibi sistemlerde de otomatik olarak güncellenmelidir.
2. Tüm Kanallardan Toplanan İzinlerin Senkronizasyonu:
   • Çağrı merkezi üzerinden alınan sözlü izin, sistem üzerinde kayıt altına alınarak İYS’ye aktarılmalı.
   • Web sitesi veya mobil uygulama üzerinden alınan izinler, zaman damgası ve kaynağı ile belgelenerek İYS’deki izin kaydıyla tutarlı şekilde işlenmelidir.
3. Ret (İptal) Mekanizmasının Güvenli ve Erişilebilir Olması:
   • SMS üzerindeki kısa numaralarla “iptal” işlemi yapan kullanıcıların tercihi, diğer tüm iletişim platformlarına da anlık yansımalıdır.
   • İYS ret servisi entegre edilerek, kullanıcının aldığı kararın sistem genelinde geçerli olması sağlanmalıdır.

VIA ile Beyan Yükümlülüğü Olmadan İzin Toplama

Bu noktada, VIA ürünü, kurumların İYS’ye entegrasyon sürecinde ihtiyaç duyduğu gelişmiş çözümleri sunar. VIA sayesinde:

• Kullanıcıdan farklı kanallar üzerinden (web, çağrı merkezi, e-posta, mobil vb.) alınan izinler, anında yasal olarak geçerli şekilde delillendirilir.
• Bu izinler, İYS’ye senkron şekilde aktarılır ve birden fazla platform arasında manuel eşleştirme ihtiyacını ortadan kaldırır.
• SMS firması kullanmadan, double opt-in (çift onay) süreçleri doğrudan İYS üzerinden yürütülebilir. Böylece hem maliyetler düşer, hem de veri güvenliği üst düzeye çıkar.
• Ret servisi entegrasyonu sayesinde, kullanıcıların iletileri reddetme işlemi tüm sistemlere aynı anda yansıtılır ve tekrar ileti gönderimi engellenir.

VIA’nın sunduğu bu yapı, özellikle izin süreçlerinde yasal riskleri minimize ederken, aynı zamanda müşteri deneyimini de iyileştirir.

UzmanIYS ile Entegre Yönetim Kolaylığı

Tüm bu süreçlerin tek bir panelden merkezi olarak yönetilmesi ise UzmanIYS ile mümkündür. UzmanIYS:

• İYS entegrasyon sürecinizi baştan sona yönetir,
• VIA ve diğer ürünlerle sorunsuz çalışır,
• Tüm kanallarınızdan toplanan izinlerin takibini ve yönetimini tek platform üzerinden yapmanızı sağlar.

Ayrıca API altyapısıyla, halihazırda kullanılan CRM, ERP veya kampanya yönetim araçlarıyla entegre çalışabilir. Böylece, ret ve onay verileri gerçek zamanlı işlenir ve uyumluluk riskleri ortadan kalkar.

Sonuç

Günümüzde iletişim izni yönetimi yalnızca bir zorunluluk değil, aynı zamanda kurumsal itibar ve müşteri sadakati açısından da stratejik bir öneme sahiptir. İYS entegrasyonunun doğru şekilde yapılması, yalnızca izin gönderimiyle sınırlı kalmayıp, tüm izin/ret verilerinin senkron şekilde tüm sistemlerde güncellenmesini de içermelidir.

Uzman CRM olarak bizler Ticaret Bakanlığı tarafından yetkilendirilmiş resmi İYS entegratörü olarak VIA ve UzmanIYS gibi yenilikçi çözümlerle, bu süreci hem teknik hem de yasal olarak sorunsuz bir hale getirirken, firmaların sürdürülebilir ve güvenli iletişim stratejileri oluşturmasına katkı sağlamaya devam etmekteyiz.