EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2023/1653

2023/1653

28/09/2023

Konu: Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

Kuruma intikal ettirilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusuna ait mağazadan alışveriş yaptığı, bu alışveriş esnasında kendisine alışveriş kartı isteyip istemediğinin sorulduğu, kartı istemesi üzerine telefonuna onay kodu gönderildiği, ilgili kişinin önce onay kodunu görevliye okuduğu, sonrasında ise o onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği belirtilerek söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği ve her ne kadar ilgili kişinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

Veri sorumlusunun mağazalarında alışveriş kartı adı altında bir kart uygulaması bulunmadığı, ilgili kişinin belirttiği kartın “hediye kartı” olduğu, hediye kartının yalnızca mağazalardan ürün iadesi gibi durumlarda ücretin bu karta yüklenmesi veya müşterilerin kendi isteği ve talebi doğrultusunda karta yükleme yapılması çerçevesinde münhasıran veri sorumlusu nezdinde ürün satın alınmasında kullanılabildiği, hediye kartlarının hamiline ait olduğu, kişiye özel olmadığı için bir üyelik, kaydolma ve benzeri gibi bir zorunluluk olmaksızın satıldığı ve tamamen müşterinin bu kartı kullanmayı istemesi üzerine hazırlandığı, hediye kartlarının verilmesi kapsamında müşterilerden hiçbir konu ve veri işleme faaliyeti bakımından zorunlu açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve ilgili kişilerin çeşitli yöntemlerle bu aydınlatma metnine ulaşmasının sağlandığı (doğrudan basılı metin, QR ile okutma ve internet sitesi adresi linki ile ulaşma), kasaya gelen müşterilere kolay iade/değişim kapsamında daha öncesinde kayıt olup olmadığının sorulduğu, eğer müşteri kayıtlı değilse; müşteriye kasalarda konumlandırılan Aydınlatma Metni ve “Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?” metninin okunduğu (bu metnin hem kasada bilgilendirme föyü olarak yer aldığı hem de kasa personeli tarafından sesli biçimde her bir müşteriye okunduğu), müşteri kayıt olmak ister ise, müşterinin kendi cep telefonundan “İZİN AD SOYAD” yazarak ilgili numaraya SMS göndermesi gerektiği, diğer bir deyişle, kişilerin yerine kayıt yapılamadığı, söz konusu adım olmaksızın mesaj gönderimi sağlanamadığı, müşteri tarafından gönderilen mesajın üzerine müşteriye SMS ile şifre gönderildiği, şifrenin yer aldığı mesaj içerisinde aydınlatma metni ve açık rıza beyanı dahil olmak üzere gerekli tüm bilgilere yer verildiği ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1653 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi”nin; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ç) bendi uyarınca “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişi”, (ı) bendi uyarınca “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Kanun’un 5’inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • “Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”nda özetle, mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması, ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması hususlarına dikkat çekildiği,
  • “Açık rıza” kavramının Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.” olarak tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
  • Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı,

değerlendirmelerinden hareketle;

  • Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilimiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?