
Kişisel Verileri Koruma Kurumu (KVKK), 10 Haziran 2025 tarihli ve 2025/1072 sayılı ilke kararıyla, ürün ve hizmet sunumu sırasında SMS doğrulama kodu aracılığıyla ticari elektronik ileti izni alınması uygulamalarına ilişkin önemli bir düzenlemeyi, 26 Haziran 2025 tarihli Resmî Gazete’de yayımlamıştır. 1 Bu karar, kişisel verilerin hukuka uygun işlenmesi ve bireylerin özgür iradesine dayalı rıza almasının güvence altına alınması amacıyla alınmıştır.
Ne Değişiyor ve Neden Bu Kadar Önemli?
KVKK’ya ulaşan şikayetler üzerine yapılan incelemelerde, bazı veri sorumlularının ödeme, üyelik veya kayıt işlemleri sırasında gönderilen SMS doğrulama kodlarını, aynı zamanda ticari ileti izni almak için kullandığı tespit edilmiştir. Kurul, bu yöntemin hem aydınlatma yükümlülüğünü ihlal ettiğini hem de açık rızanın bilgilendirmeye dayalı ve özgür iradeyle verilmesi şartlarına aykırı olduğunu belirtmiştir.
Bu kararla birlikte artık:
- Doğrulama kodu ile ticari ileti izni alınamayacak. Ticari elektronik ileti izni için doğrulama kodu verilmesinin zorunlu tutulması, açık rızanın Kanun’da belirtilen “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” unsurlarını zedelemektedir.
- “Aydınlatma” ve “açık rıza” süreçleri kesinlikle birbirinden ayrılacak. Şirketler, kişisel verilerin ne amaçla işleneceği hakkında kullanıcıları açıkça bilgilendirmeli (aydınlatma yükümlülüğü). Ticari ileti göndermek için açık rıza alımı ise bu bilgilendirmeden tamamen bağımsız ve kullanıcının kendi özgür iradesiyle gerçekleşmelidir.
- SMS’in amacı açıkça belirtilmeli. Gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususu, katmanlı aydınlatmanın bir gereği olarak açık ve anlaşılır bir biçimde aktarılmalı; SMS içeriklerinde de gerekli bilgilendirme kanalları sağlanmalıdır.
- Ticari elektronik ileti gönderimi, ürün veya hizmet sunumunun ön koşulu gibi gösterilemeyecek. Ticari ileti için açık rıza verilmesi, ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde sunulmamalıdır.
SMS Kullanımı Tamamen Kalkıyor mu? Hayır, Ancak Amacı Değişmeli!
Bu karar, SMS kullanımının tamamen yasaklandığı anlamına gelmemektedir. Ancak SMS’lerin içeriği ve amacı konusunda köklü bir değişim gerektirmektedir:
- Doğrulama SMS’leri devam edebilir: Ödeme yapma, kayıt açma, üyelik oluşturma ve benzeri işlemlerde güvenlik amacıyla gönderilen doğrulama kodları içeren SMS’ler hala kullanılabilir.
- Fakat bu SMS’ler ticari ileti izni için kullanılamaz: Bu doğrulama SMS’lerinin içinde ticari ileti izni alındığına dair bir ifade olmamalı veya kullanıcının bu SMS’i onaylaması ticari ileti izni verdiği anlamına gelmemelidir.
- Ticari ileti izni ayrı alınmalı: Eğer bir şirketin ticari ileti (reklam, kampanya SMS’i vb.) göndermesi isteniyorsa, bu izni tamamen ayrı bir süreçle, kullanıcının bilgilendirilmiş ve özgür iradesine dayalı olarak alması gerekmektedir. Açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınmalıdır.
SMS ile Ticari İleti İzni Nasıl Alınabilir? (Şartlar)
SMS, ticari elektronik ileti izni almak için bir iletişim kanalı olarak kullanılmaya devam edebilir, ancak bunu yaparken KVKK’nın belirlediği sıkı şartlara uyulması zorunludur:
- Aydınlatma ve Açık Rıza Ayrı Yapılmalı: Kullanıcıya ticari ileti gönderileceği ve kişisel verilerinin bu amaçla işleneceği hakkında açık ve anlaşılır bir aydınlatma metni sunulmalıdır. Bu aydınlatma, açık rıza alınması işleminden ayrı olarak yerine getirilmelidir.
- Özgür İradeye Dayalı Onay: Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. İradeyi sakatlayacak durumlar rızayı geçersiz kılar. Ticari ileti izni için SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde, alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması zorunludur.
- Açık ve Anlaşılır İçerik: SMS ile izin alımı durumunda gönderilecek mesajın içeriği çok net olmalı ve yanıltıcı ifadeler içermemelidir. Ticari elektronik ileti iznine yönelik açık rızanın, ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi için, söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmelidir.
- İYS (İleti Yönetim Sistemi) Entegrasyonu Zorunlu: Alınan tüm ticari elektronik ileti izinlerinin (SMS yoluyla alınanlar dahil) İleti Yönetim Sistemi (İYS) üzerinde kaydı zorunludur.
- Ret Hakkı ve Kolay İptal İmkanı: Gönderilen her ticari elektronik iletide kullanıcıya kolayca ret hakkını kullanma imkanı sunulmalıdır.
Veri Sorumluları Ne Yapmalı ve Yaptırımlar Neler Olacak?
KVKK, veri sorumlularını 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi çerçevesinde gerekli teknik ve idari tedbirleri ivedilikle almaya çağırmaktadır. Bu ilke kararı doğrultusunda, veri sorumlularının:
- Bu uygulamalara derhal son vermesi,
- Konuyla ilgili çalışanlarına düzenli eğitim ve farkındalık çalışmaları yürütmesi,
- Tüm süreçlerini Kanun’a uygun şekilde yeniden yapılandırması gerekmektedir.
Kurul, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi hükümleri çerçevesinde idari işlem tesis edileceğini açıkça belirtmiştir.
Bu önemli ilke kararı, kişisel verilerin korunması ve ticari iletişimin şeffaf ve hukuka uygun bir zeminde yürütülmesi açısından büyük bir adımdır. Veri sorumlularının bu duyuruya titizlikle uymaları, hem hukuki risklerden korunmaları hem de bireylerin kişisel verilerini koruma konusundaki sorumluluklarını yerine getirmeleri açısından hayati önem taşımaktadır.
KVKK’nın yayımladığı ilke kararına ulaşmak için: https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf
Saygılarımızla,
Uzman CRM