Kişisel Verileri Koruma Kurulu’nun 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı, ürün ve hizmet sunumu sırasında ilgili kişilere SMS doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine yönelik uygulamalara ilişkin önemli tespitler içermektedir. Kurula intikal eden ihbar ve şikayetler doğrultusunda yapılan incelemelerde, özellikle ödeme, üyelik oluşturma, kayıt açma ve teklif süreçleri esnasında ilgili kişilerin iletişim bilgilerinin talep edildiği; akabinde gönderilen doğrulama kodunun sisteme girilmesinin alışverişin zorunlu bir unsuru gibi sunulduğu, ancak bu işlem sonrasında veri sorumlusunun faaliyetlerine ilişkin ticari elektronik ileti gönderildiği yönünde iddiaların bulunduğu görülmüştür. Kurul, söz konusu uygulamaların kişisel verilerin işlenmesine ilişkin hukuki dayanaklar ve açık rıza kavramı bakımından değerlendirilmesi gerektiğini ortaya koymuştur.

İlke Kararı’nda özellikle doğrulama kodunun teknik bir güvenlik aracı olmanın ötesine geçerek fiilen bir onay mekanizması gibi kullanılmasının, ilgili kişilerin iradesini yanıltabilecek nitelikte olabileceği vurgulanmıştır. Kurul, SMS doğrulama kodunun verilmesinin alışverişin zorunlu bir parçası gibi sunulmasının, açık rızanın özgür iradeye dayanması gerektiği yönündeki temel ilkeyle bağdaşmayacağını belirtmiş; doğrulama süreci kapsamında ilgili kişilere gönderilen kodun amacının ve bu kodun paylaşılması hâlinde kişisel veriler bakımından doğacak sonuçların açıkça aydınlatılması gerektiğine işaret etmiştir. Bu yönüyle karar, veri sorumlularının aydınlatma yükümlülüğünü yalnızca genel metinlerle yerine getirmelerinin yeterli görülmeyeceğini; doğrulama sürecinin her aşamasında şeffaflık ilkesinin gözetilmesi gerektiğini ortaya koymaktadır.

Kurul’un dikkat çektiği bir diğer husus, birbirinden farklı veri işleme faaliyetlerinin tek bir işlem üzerinden gerçekleştirilmesine yönelik uygulamalardır. Nitekim SMS doğrulama kodu aracılığıyla üyelik sözleşmesinin onaylanması, kişisel verilerin işlenmesine izin verilmesi ve ticari elektronik ileti onayının alınması gibi farklı hukuki sonuçların aynı eylemle sağlanmaya çalışılması, açık rızanın belirli bir konuya ilişkin olma ve bilgilendirmeye dayanma şartlarıyla bağdaşmamaktadır. Kurul, açık rızaya dayalı veri işleme faaliyetlerinde ilgili kişilere ayrı ayrı seçenek sunulması gerektiğini vurgulayarak, tek bir doğrulama işlemiyle çoklu rıza alınması uygulamalarının hukuka uygun kabul edilemeyeceğini açıkça ortaya koymuştur.

Kararın ticari elektronik ileti bakımından en dikkat çekici yönü ise, ticari ileti gönderilmesine yönelik açık rızanın ürün veya hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur gibi sunulmasının hukuka aykırı olduğunun ifade edilmesidir. Kurul’a göre veri sorumluları, ticari ileti onayını alışveriş sürecine entegre ederek fiilen zorunlu hâle getiremez; açık rızanın verilmemesi hâlinde hizmetin sunulmayacağı yönünde bir algı oluşturamaz. Bu yaklaşım, Elektronik Ticaretin Düzenlenmesi Hakkında mevzuat ile kişisel verilerin korunmasına ilişkin düzenlemelerin birlikte yorumlanması bakımından önem arz etmekte olup, özellikle e-ticaret platformları ve fiziksel satış noktalarında kullanılan SMS doğrulama süreçlerinin yeniden yapılandırılmasını gerektirecek niteliktedir.

Kurul ayrıca veri sorumlularının, açık rızaya dayalı veri işleme faaliyetlerinde gerekli teknik ve idari tedbirleri alması gerektiğini hatırlatmış; İlke Kararı’nda belirtilen hususlara aykırı uygulamaların tespiti hâlinde 6698 sayılı Kanun’un 18. maddesi kapsamında idari yaptırım uygulanabileceğini belirtmiştir. Bu çerçevede veri sorumlularının SMS doğrulama metinlerini gözden geçirmeleri, aydınlatma ve açık rıza süreçlerini birbirinden ayrıştırmaları ve ticari elektronik ileti onayını opsiyonel hâle getirmeleri gerekmektedir.

Sonuç olarak 2025/1072 sayılı İlke Kararı, doğrulama kodu uygulamalarının veri işleme süreçlerinde örtülü rıza aracı olarak kullanılmasına yönelik önemli bir sınır çizmekte; açık rıza kavramının teknik bir işlemden ibaret olmadığını, gerçek anlamda özgür iradeye dayalı bir tercih olması gerektiğini bir kez daha ortaya koymaktadır. Kararın özellikle SMS doğrulama süreçlerini ticari ileti onayıyla birleştiren uygulamalar bakımından emsal teşkil edeceği ve veri sorumlularının uyum süreçlerini yeniden değerlendirmesine neden olacağı açıktır.