Mağaza Alışverişlerinde “Kod Okutma” ile SMS Onayı: 2023/1653 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 28/09/2023 tarihli ve 2023/1653 sayılı kararı ile mağazalarda kasa başında sıklıkla karşılaşılan; “onay kodu” gönderilmesi suretiyle reklam ve pazarlama izni alınması süreçlerini mercek altına almıştır. Bu karar, alışverişin heyecanı ve kasadaki acele içerisinde alınan rızaların “özgür irade” sakatlığı riskine dikkat çekmektedir.

Olayın Özeti: “Hediye Kartı” mı, “SMS Onayı” mı?

İlgili kişi, bir mağazadan alışveriş yaparken kendisine “alışveriş kartı” isteyip istemediğinin sorulduğunu, kabul etmesi üzerine telefonuna gelen onay kodunu görevliye okuduğunu belirtmiştir. Ancak daha sonra bu kodun aslında “aydınlatma metnini okudum” ve “pazarlama SMS’lerine onay veriyorum” anlamına geldiğini fark ederek, rızasının aldatma yoluyla alındığını iddia etmiş ve şikayetçi olmuştur.

Veri Sorumlusunun Savunması: “Müşteri Kendisi SMS Gönderiyor”

Mağaza yönetimi savunmasında; söz konusu kartın bir “hediye kartı” olduğunu, müşterinin sisteme kayıt olması için bizzat kendi telefonundan “İZİN” yazıp mesaj göndermesi gerektiğini ve ardından gelen şifreyi kasa görevlisine söylemesiyle sürecin tamamlandığını belirtmiştir. Ayrıca şifre mesajının içinde aydınlatma metni linkinin de yer aldığını savunmuştur.

Kurulun Hukuki Değerlendirmesi: “Özgür İrade” Sakatlanabilir

Kurul, somut olayda ilgili kişinin kendi icrai hareketleri (SMS gönderme ve kod okuma) bulunduğu için doğrudan bir ihlal tespiti yapmamış olsa da, mağazalardaki genel uygulama biçimine dair çok önemli uyarı ve talimatlarda bulunmuştur:

1. Özgür İrade Unsuru: Alışverişin tamamlanması aşamasında (kasa başında) ticari ileti izni istenmesi, müşteride “bu rızayı vermezsem alışverişim tamamlanmaz” veya “bu işlem alışverişin zorunlu bir parçasıdır” algısı oluşturabilir. Bu durum, açık rızanın en temel şartı olan “özgür irade” unsurunu zedeler.
2. Katmanlı Aydınlatma: Veri sorumlusu, gönderilen kodun ne işe yarayacağını ve onay verilmesi halinde ne gibi sonuçlar doğacağını ilk aşamada sözlü/açık bir şekilde anlatmalıdır.
3. Metinlerin Ayrıştırılması: Aydınlatma metni (yasal zorunluluk) ile açık rıza onay kodunun (isteğe bağlı izin) aynı kısa mesaj içerisinde sunulması, karmaşıklığa neden olabilir.

Karar Sonucu: “Aldatıcı İzlenimi Ortadan Kaldır” Talimatı

Kurul, somut olay bazında bir ceza uygulamamış ancak veri sorumlusuna şu hususlarda talimat vermiştir:

• Uygulamanın, reklam onayının alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi,
• İlgili kişilerin daha net ve doğru şekilde bilgilendirilmesi,
• Aydınlatma metni ile onay kodunun aynı mesajda sunulmaması,
• Yapılan düzenlemeler hakkında Kurul’a bilgi verilmesi.

Özgür Eralp Perspektifi: “Kasada Gelen Her Kod Alışverişle İlgili Değildir”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, perakende sektörünün pazarlama datası toplamak için “indirim”, “puan” veya “kolay iade” gibi argümanlarla kasada hızlıca onay topladığını görüyoruz. Kurul’un bu kararı, “Hadi şunu onaylayın da işlem bitsin” şeklindeki emrivaki yaklaşımlara karşı duran “Dürüstlük Kuralı”nın bir yansımasıdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, pazarlama onaylarını alışveriş sürecinden fiziksel veya zamansal olarak ayırmalıdır. Onay kodunun ne için olduğunu (reklam mı, fatura mı?) net belirtmeyen her uygulama, ileride “geçersiz rıza” nedeniyle ağır para cezalarına (Md. 18) davetiye çıkarır. Tüketiciler ise telefonlarına gelen her kodu görevliye okumadan önce, mesajın içeriğini dikkatlice okumalı ve bu kodun alışverişi tamamlamak için mi yoksa reklam almak için mi olduğunu teyit etmelidir.

---

Sıkça Sorulan Sorular

1. Kasa görevlisinin telefonuma gönderdiği kodu okumam rıza verdiğim anlamına gelir mi?

Evet, Kurul bu icrai hareketi (kodu söylemeyi) rıza beyanı olarak değerlendirmektedir. Ancak bu rızanın geçerli olması için sizin öncesinde “neye onay verdiğiniz” konusunda tam olarak aydınlatılmış olmanız şarttır.

2. Reklam SMS’i almak istemiyorum ama “kolay iade” için kayıt olmam şart mı?

Hayır. Veri sorumlusu bir hizmeti (iade/değişim) başka bir şarta (reklam onayı) bağlayamaz. Bu durum “açık rızanın hizmet şartına bağlanması” yasağına aykırılık teşkil eder.

3. SMS onayını verdikten sonra nasıl iptal edebilirim?

Verdiğiniz açık rızayı her zaman geri alma hakkınız vardır. Mağazaya başvurarak veya İleti Yönetim Sistemi (İYS) üzerinden bu izinleri dilediğiniz zaman kaldırabilirsiniz.

4. Mağazaların aydınlatma metnini link olarak göndermesi yeterli mi?

Kurul “katmanlı aydınlatma”yı kabul etmektedir; yani kasada kısa bir sözlü bilgilendirme yapılıp detaylar için SMS ile link gönderilmesi mümkündür. Ancak bu linkin çalışıyor ve metnin okunabilir olması gerekir.

5. Bu karardan sonra mağazalar neyi değiştirmeli?

Onay kodunun reklam amaçlı olduğu kasada açıkça söylenmeli ve müşteriye “isterseniz onay vermeden de alışveriş yapabilirsiniz” seçeneği net bir şekilde hissettirilmelidir.

---

Kaynaklar

• KVKK Kurumu – 2023/1653 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 3, 5, 12)
• Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu
• Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik