Bilgi çağında yaşamanın getirdiği birtakım faydalar olsa da hukuki olarak kurumlara yüklenen yükümlülükler ve verileri işlenen gerçek kişilerin karşı karşıya kaldıkları uyuşmazlıklar bulunmaktadır. Bu olumsuzluklar hukuken korunan verilerimizin ihlaline sebep olmakta ve korumayı gerekmektedir.
Yargı mercilerine ve Kişisel verileri koruma kurumuna intikal eden şikayet ve ihbarların geneline bakıldığında bu uyuşmazlıkların önemli bir bölümünün mağazaların SMS doğrulama kodlarından doğduğu tespit edilmiştir.
Tüketim ekseni çerçevesinde bakıldığında popüler kültüründe etkisiyle alış-veriş alışkanlığının yaygınlaşması kişisel verilerin mağazalar ışığında yorumlanmasını zorunlu hale getirmiştir. Kişisel verilerin ne olduğuna kısaca bakmak gerekirse, Kişisel verileri koruma kanunun 3.maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.” Böylece mağazalarda SMS doğrulama kodu kapsamında bizlerden talep edilen telefon numaraları da birer kişisel veri niteliğindedir. Ayrıca, birçok mağaza ödeme tamamlama ya da bilgilerin güncellenmesi kapsamında telefon numaralarını isteyebilmektedir. Bu gibi durumlarda kişisel verilerin işlenmesi kural gereği belirlenen amaç doğrultusunda yapılmalıdır. Yapılan ihbar ve şikayetlerde ise belirtilen amaç doğrultusunda hareket edilmeyerek yukarıda belirtmiş olduğum saiklerle müşterilerin telefon numarası öğrenilerek SMS doğrulama kodu bağlamında ticari elektronik ileti gönderilmektedir.
Tam da bu noktada tüketicilerin daha bilinçli hareket edebilmesi için Kişisel Verileri Koruma Kanunun 4.maddesindeki genel ilkelerin belirtilmesi gerekmektedir. Bu bağlamda, kişisel verilerimiz kanunda belirtilen usul ve esaslar doğrultusunda, hukuk ve dürüstlük kuralları ışığında, doğru, güncel, özellikle belirli ve meşru amaçlar doğrultusunda işlenmelidir, Ayrıca belirtilmelidir ki, veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işlenmeli, gerekli süre boyunca muhafaza edilmelidir. Örnek olarak belirtmek gerekirse, ticari elektronik ileti amacıyla telefon numaraları işlenecek ise ilgili kişiye bu durum izah edilerek açık rızası alınması gerekmektedir, SMS doğrulama kodu gerekçe gösterilerek açık rıza alınmamalıdır.
Görüleceği üzere, SMS doğrulama kodu ile telefon numaralarının öğrenilmesi suretiyle ticari elektronik ileti gönderilmesi kanunda belirtilen veri işleme usul ve esaslarına uygun düşmemektedir.
Nitekim, 17.12.2021 tarihli Kişisel Verileri Koruma Kurulu’nun “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” uyarınca, yapılan incelemeler neticesinde doğrulama kodu amacıyla gönderilen SMS içeriklerinde müşterilere veri sorumlusu tarafından herhangi bir aydınlatma kapsamında açıklama yapılmadığı ve istenme amacının ticari elektronik ileti gönderme olduğu tespit edilmiştir. Ticari elektronik ileti için veri sorumlularının açık rıza alması gerektiği mevzuat kapsamında yer alırken mağazalar tarafından bu hükümlere uyulmayarak kişiler yanıltılmıştır.
Açık rıza ise belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanarak özgür irade ile açıklanmalıdır. Müşterilerin SMS doğrulama kodu kapsamında elde edilen verilerinin böyle bir açıklamaya dayanmadığı aşikardır. Kişi neye rıza verdiğini bilme hakkına sahiptir.
Kişisel Verileri Koruma Kurulu’nun İşbu Duyurusu Uyarınca Sorun Ne Ve Firmalar Ne Yapmalı?
Veri sorumlusunun mağazada görevlendireceği yetkililerce müşterilere gönderilecek SMS’in ne olduğu, amacının ne olduğu, SMS aracılığıyla iletilen kodun hangi sonuçları doğuracağı açık, net ve anlaşılır şekilde açıklaması gerekmektedir. (Açık rıza alınmasını sağlamak)
Katmanlı aydınlatmanın sağlanması ve mesajlarda işbu kanalların sağlanması ile müşterilerin bilgilendirilmesi gerekmektedir.
Mağazalarda birbirinden farklı işlemlere yönelik tek bir uygulama örneğine son verilmelidir. Böylece, ticari elektronik ileti, müşteri sözleşmesi, veri işleme izni, açık rıza ve doğrulama kodlarının tek bir açık rıza yerine ayrı ayrı müşteriye açıklanmak ve kanuna uygun olmak şartı ile açık rıza alınmalıdır.
Veri sorumlusu olan firmaların mağazalarda açık rıza ile aydınlatma yükümlülüğünü birbirine karıştırmadan, hiçbir karışıklığa sebebiyet vermeyecek şekilde izahı yapılmalıdır.
SMS doğrulama kodu firmalar tarafından ticari elektronik ileti için esas alınacak ise müşterinin açık rızasının alınmasına dikkat edilmelidir. Bu hususta Kişisel Verileri Koruma Kanunun 10.maddesi de dikkate alınarak aydınlatma yapılmalıdır.
Kişisel Verileri İşlenen Kişilerin (Alış-veriş kapsamında müşterilerin) hakları neler?
Öncelikle belirtmek gerekir ki ticari elektronik iletiler için T.C. Ticaret Bakanlığı Ticari Elektronik İleti Şikayet Sistemi mevcuttur. Bu sistem üzerinden e-devlet girişi yapılmak suretiyle ilgili firmanın ticari nitelikteki mesajları şikayet edilebilmektedir.
Bu şikayet yolunun dışında 6698 sayılı kanunun 11.maddesi uyarınca kişisel verisi işlenen kişiler verilerinin işlenip işlenmediğini, işlendi ise buna ilişkin bilgiyi, işlenme amacını ve bu amaca sadık kalınıp kalınmadığını öğrenme hakkına sahiptir.
Ayrıca, kişiler verilerinin yurt dışına aktarılıp aktarılmadığını, eksik yahut yanlış işlenen bilgilerin düzeltilmesini, verilerin otomatik sistemler aracılığıyla analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz hakkına sahiptir.
Kişisel verileri işlenen kişi silinmesini ya da yok edilmesini isteyebileceği gibi, zarara uğramış ise zararının tazmin edilmesini de isteyebilir.
Sonuç olarak, ihtiyaçlarımızın rasyonel olarak tatmin edilmesi ihtiyacı yeni alış-veriş merkezleri ve mağazaların açılmasını beraberinde getirmiş ve mal ve hizmetlere duyulan talebi arttırmıştır. Müşterilerin mağazalardan yaptıkları alış-veriş kişisel verilerin hukuka aykırı elde edilmesi ya da işlenmesi faaliyetlerine sebep olmuş ve hukuken korunmayı gerektirmiştir. Bu durumun en somut örneği Kişisel verileri koruma kurulunun 17.12.2021 tarihli duyurusunda da olduğu üzere ticari elektronik iletilerdir. Bu gibi durumların önüne geçebilmek adına mağazalar, müşterilere gönderilen doğrulama kodlarında yer alan SMS içeriklerinde ya da öncesinde gerekli aydınlatmaları katmanlı olarak müşteriye yapmalı ticari elektronik gönderimine ilişkin açık rıza almalıdırlar.
Av. Gül EYÖVGE
KAYNAKLAR:
1. https://www.kvkk.gov.tr/Icerik/7104/MAGAZALARDA-ALISVERIS-SIRASINDA-ILGILI-KISILERE-SMS-ILE-DOGRULAMA-KODU-GONDERILMESI-SURETIYLE-KISISEL-VERILERIN-ISLENMESINE-ILISKIN-KAMUOYU-DUYURUSU, Erişim Tarihi:20/12/2021.
2. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5, Erişim Tarihi:20/12/2021.
