Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1653 sayılı Karar Özeti


"Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1653 sayılı Karar Özeti

 

Karar Tarihi : 28/09/2023
Karar No : 2023/1653
Konu Özeti : Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

 

Kuruma intikal ettirilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusuna ait mağazadan alışveriş yaptığı, bu alışveriş esnasında kendisine alışveriş kartı isteyip istemediğinin sorulduğu, kartı istemesi üzerine telefonuna onay kodu gönderildiği, ilgili kişinin önce onay kodunu görevliye okuduğu, sonrasında ise o onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği belirtilerek söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği ve her ne kadar ilgili kişinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Veri sorumlusunun mağazalarında alışveriş kartı adı altında bir kart uygulaması bulunmadığı, ilgili kişinin belirttiği kartın "hediye kartı" olduğu, hediye kartının yalnızca mağazalardan ürün iadesi gibi durumlarda ücretin bu karta yüklenmesi veya müşterilerin kendi isteği ve talebi doğrultusunda karta yükleme yapılması çerçevesinde münhasıran veri sorumlusu nezdinde ürün satın alınmasında kullanılabildiği, hediye kartlarının hamiline ait olduğu, kişiye özel olmadığı için bir üyelik, kaydolma ve benzeri gibi bir zorunluluk olmaksızın satıldığı ve tamamen müşterinin bu kartı kullanmayı istemesi üzerine hazırlandığı, hediye kartlarının verilmesi kapsamında müşterilerden hiçbir konu ve veri işleme faaliyeti bakımından zorunlu açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve ilgili kişilerin çeşitli yöntemlerle bu aydınlatma metnine ulaşmasının sağlandığı (doğrudan basılı metin, QR ile okutma ve internet sitesi adresi linki ile ulaşma), kasaya gelen müşterilere kolay iade/değişim kapsamında daha öncesinde kayıt olup olmadığının sorulduğu, eğer müşteri kayıtlı değilse; müşteriye kasalarda konumlandırılan Aydınlatma Metni ve "Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?" metninin okunduğu (bu metnin hem kasada bilgilendirme föyü olarak yer aldığı hem de kasa personeli tarafından sesli biçimde her bir müşteriye okunduğu), müşteri kayıt olmak ister ise, müşterinin kendi cep telefonundan “İZİN AD SOYAD” yazarak ilgili numaraya SMS göndermesi gerektiği, diğer bir deyişle, kişilerin yerine kayıt yapılamadığı, söz konusu adım olmaksızın mesaj gönderimi sağlanamadığı, müşteri tarafından gönderilen mesajın üzerine müşteriye SMS ile şifre gönderildiği, şifrenin yer aldığı mesaj içerisinde aydınlatma metni ve açık rıza beyanı dahil olmak üzere gerekli tüm bilgilere yer verildiği ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1653 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi”nin; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ç) bendi uyarınca “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişi”, (ı) bendi uyarınca “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Kanun’un 5’inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • "Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”nda özetle, mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması, ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması hususlarına dikkat çekildiği,
  • “Açık rıza” kavramının Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.” olarak tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
  • Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı,

değerlendirmelerinden hareketle;

  • Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilimiştir.